Это краткая версия рассылки «Теплицы социальных технологий». Каждую неделю мы рассказываем о самом важном в области технологий и безопасности: как уберечь свои данные, финансы и себя в условиях блокировок, шатдаунов и финансовых ограничений. На сайте публикуется ограниченная версия рассылке. Хотите получать полную? Подпишитесь!
Пока мировые крипторынки ждут нового американского законодательства, а российские держатели кошельков — заодно и набор отечественных ограничений. Ну, а мы решили суммировать все главные наборы рисков для тех, кто собирает и делает донаты в криптовалютах.
К сожалению, список очень длинный — точнее, наиболее короткий из возможных. Государства, криптобиржи, бизнес — все постарались, чтобы нам было сложнее безопасно делать донаты, да и просто платить в крипте. Но это не повод перестать использовать цифровые валюты для донатов. Город — опасное место, кирпич упасть может, машина сбить может, но мы же не перестаем передвигаться по нему. Так и с криптовалютами. Да, это отдельный мир с опасностями на каждом углу. Хорошая новость в том, что почти все эти риски предсказуемы. А, значит, и избегаемы.
Это своеобразный мини-чек-лист и краткий список всего, что стоит помнить. А более подробно о том, как минимизировать риски, можно почитать в специальном разделе у нас на сайте.
1. KYC‑биржи и фиатные он‑/офф‑рампы
- Риск: Многие биржи и платежные шлюзы собирают и хранят паспортные данные, IP, историю операций и обязаны делиться ими с регуляторами и правоохранителями.
- В зоне риска: Доноры и сборщики, которые через один и тот же KYC‑аккаунт делают и бытовые платежи, и чувствительные донаты; россияне, продолжающие пользоваться российскими биржами и банками за рубежом.
- Решение:
- Развести повседневные и чувствительные операции по разным платформам и кошелькам.
- Выводить средства с бирж на свои кошельки, а не хранить там крупные суммы.
- Понимать, что российские лицензированные платформы по умолчанию прозрачны для силовиков.
2. Travel Rule и «свои» кошельки
- Риск: в ЕС провайдер обязан передавать данные об отправителе и получателе по всем криптопереводам; при суммах свыше €1000 через self‑hosted кошелек он должен удостовериться, что этот кошелек действительно ваш.
- В зоне риска: Доноры и сборщики, работающие с европейскими CASP и крупными суммами. НКО, принимающие большие пожертвования из юрисдикций, которые банками считаются «странами высокого риска» (например, из России).
- Решение:
- Планировать маршруты заранее: какие юрисдикции и провайдеры вы используете, как выглядит экономический смысл платежа.
- Не делать резких, трудно объяснимых переводов крупных сумм.
- Стремиться использовать юрлица/фонды в предсказуемых правовых режимах.
3. Блокчейн‑аналитика (Chainalysis, TRM и др.)
- Риск: Аналитические компании группируют адреса по кластерам, помечают связи с биржами, миксерами, санкционными сервисами; их данные используют регуляторы, налоговые и силовики.
- В зоне риска: Все, чьи транзакции ходят через уже «отмеченные» биржи/миксеры, а также тех, чьи адреса публично связаны с организациями, которые в РФ признаны «террористическими», «экстремистскими» или «нежелательными».
- Решение:
- Не смешивать в одной цепочке чувствительные и бытовые потоки.
- Понимать, что один засвеченный адрес останется связан с организацией навсегда.
4. Российские банки и платежные системы
- Риск: Банки и платёжные агрегаторы в РФ обязаны отдавать силовикам данные о транзакциях. Платежи криптой, например, уже фигурируют в уголовных делах о поддержке ФБК.
- В зоне риска: Все доноры и получатели средств внутри России. Россияне‑эмигранты, которые продолжают покупать/выводить крипту через российские карты и счета.
- Что можно сделать:
- Общий совет: если можно не использовать российские сервисы, не делайте этого.
5. Публичность реквизитов и цифровой след
- Риск: Статические адреса на сайтах и в соцсетях, боты для донатов, скриншоты переводов и открытые чаты создают устойчивый след; помеченный властями адрес легко мониторить по всем входящим/исходящим транзакциям.
- В зоне риска: Сборщики донатов, публичные активисты. Кроме того, доноры, которые показывают данные о пожертвованиях из своих криптокошельков, где можно идентифицировать плательщика.
- Что можно сделать:
- Использовать для сборов адреса, генерируемые под каждого донора (HD‑кошельки), а не один и тот же годами.
- Не публиковать скриншоты и подробности чувствительных платежей.
- Помнить, что открытая реклама реквизитов «экстремистской» или «нежелательной» организации сама по себе риск в РФ.
6. Статус получателя
- Какой риск: после включения организации в «экстремистские» реестры любая помощь трактуется как финансирование незаконной, по мнению российских властей, деятельности. В России уже есть прецеденты с осуждением людей именно за криптодонаты организациям, признанным государством «экстремистскими» и «террористическими».
- В зоне риска: Доноры и сборщики, связанные с такими организациями, в том числе живущие за пределами РФ.
- Решение:
- Если посещаете Россию, проверяйте статус организации в российских реестрах.
7. Миксеры и privacy‑монеты под прицелом
- Риск: Миксеры и некоторые privacy‑инструменты сами становятся объектом санкций и уголовных дел. Tornado Cash и другие сервисы внесены в санкционные списки, их использование в ряде юрисдикций трактуется как нарушение санкций. Биржи массово делистят Monero/Zcash и блокируют депозиты с подозрительных миксеров.
- В зоне риска: Пользователеи, полностью полагающиеся на миксеры и privacy‑монеты как на единственный щит, особенно если они потом идут через KYC‑офф‑рамп.
- Решение:
- Относиться к миксерам как к одному из инструментов, а не к «кнопке невидимости».
- Следить за правовым статусом сервиса в своей юрисдикции и избегать явно санкционированных решений.
8. Адрес‑гигиена и повторное использование кошельков
- Риск: Повторное использование адресов связывает все транзакции в одну историю, облегчая блокчейн‑аналитику; смешивание личных расходов, донатов и гонораров в одном кошельке разрушает разделение идентичностей.
- В зоне риска: Активисты и НКО, использующие один адрес для всего, а также любые пользователи, которые «ленятся» разделять кошельки.
- Решение:
- Не переиспользовать адреса; заводить отдельные кошельки под разные роли: личное, организация, хранение, операции повышенного риска.
- Не тащить все средства в один большой кошелек без необходимости.
9. Сетевой след: IP, устройства, мобильные кошельки
- Риск: Сервисы и биржи логируют IP, устройство, браузер; провайдеры и операторы связи в ряде стран (включая РФ) обязаны хранить и выдавать эти данные. Мобильные кошельки стали основной целью атак: фишинг, малварь, поддельные обновления, перехват SMS‑кодов.
- В зоне риска: Все, кто делает криптооперации, используя один профиль с соцсетями, почтой и основным номером телефона.
- Решение:
- Для операций с повышенным риском использовать VPN/Tor и по возможности отдельное устройство или хотя бы отдельный профиль браузера.
- Не ставить криптоприложения из случайных источников, внимательно проверять домены и ссылки.
- Поменять двухфаторную аутентификацию с смс на приложения‑аутентификаторы.
10. Безопасность ключей и резервных копий
- Риск: Утечка seed‑фразы или компрометация устройства приводит не только к потере средств, но и к компрометации всей сети контактов и доноров.
- В зоне риска: Сборщики, держащие крупные балансы, и активные доноры, использующие один и тот же ключевой набор для многих операций.
- Решение:
- Для значимых сумм использовать аппаратные кошельки и офлайн‑хранение seed‑фраз, а не фото и заметки в телефоне.
- Шифровать устройства, ставить длинные пароли, по возможности использовать мультиподпись и распределение доступа в командах НКО.
- Регулярно тренироваться в восстановлении кошелька из бэкапа и периодически пересматривать свою модель угроз.