Связаться с нами
Услуги О компании Блог

Обзор действующей практики и проблем при осмотре, наложении ареста и последующей реализации криптовалюты в Российской Федерации

Примечание:
Специалисты Paranoid Security довольно часто выходят экспертами в уголовных делах с участием криптовалют. В связи с этим хочется отразить проблемные зоны, а также сделать обзор западной практики.
Отметим, что приведённые рекомендации отражают исключительно профессиональное мнение специалистов в области информационной безопасности и не являются юридическим заключением или консультацией.

Процесс начинается с того, что следователь передаёт специалисту одно или несколько устройств, на которых могут храниться криптовалютные активы: будь то мобильные телефоны, флеш-накопители или специализированные хардварные кошельки. После получения устройств эксперт приступает к их анализу, чтобы выявить следы цифровых кошельков, восстановить доступ к криптоактивам и подтвердить факт владения криптовалютой конкретным лицом.

Мобильные кошельки — это обычное приложение в телефоне, например Trust Wallet.

Флеш-накопитель — на примере Bitcoin Core — файл с расширением .dat, который служит для восстановления кошелька. Может быть установлен как с паролем, так и без.

Хардварный кошелек — это специальное небольшое устройство, похожее на флешку, которое используется для безопасного хранения криптовалют. В отличие от онлайн-кошельков, которые постоянно подключены к интернету, хардварный кошелёк хранит секретные ключи отдельно от сети. Чтобы совершить перевод криптовалюты с такого кошелька, нужно физически подтвердить транзакцию кнопками на устройстве. Коими является Ledger, SafePal, Trezor и т.д.

Одна из первых и наиболее распространённых проблем при работе с мобильными кошельками заключается в отсутствии доступа к интернету. Мобильные устройства поступают в следственные органы, как правило, в активированном «авиарежиме», и в таком состоянии могут находиться по несколько месяцев. Из-за высокой волатильности криптовалюты это существенно затрудняет определение её точного курса на момент осмотра устройства и составления протокола. В таких случаях специалистам приходится искать компромиссное решение: либо отключать «авиарежим» и фиксировать актуальный курс, рискуя вмешаться в исходное состояние устройства, либо отражать в протоколе лишь количество криптоактивов без привязки к рублю или доллару США. На сегодняшний день чёткой и единой практики по этому вопросу нет, и требования следственных органов часто отличаются друг от друга.

Далее, следователь идет в суд для наложения ареста. Причем алгоритм ареста криптовалюты выглядит не совсем в привычной нам форме, криптовалюта изъятая у обвиняемых будет переведена на другой кошелек. В первом уголовном деле возникла дилемма не попадает ли это под статью 303 УК РФ? Изменяет ли это вещдок? Оставим этот вопрос компетентным органам.

После принятия положительного решения суда, специалист совместно со следователем создаёт новый криптовалютный кошелёк, подробно фиксируя каждый шаг в протоколе. Иногда эта процедура осуществляется на компьютере следователя, иногда — на личном ноутбуке специалиста. Однако оба эти подхода имеют очевидные и весьма серьёзные недостатки.

Первый случай:

При создании кошелька на рабочем компьютере следователя последний получает полный доступ к кошельку, включая Seed-фразу — уникальный набор из 12-24 случайных слов, служащих ключом к криптоактивам. И хотя профессионализм сотрудников правоохранительных органов не вызывает сомнений, нельзя исключать вероятность компрометации рабочего компьютера вследствие заражения вредоносным ПО, несанкционированного доступа или даже банального увольнения сотрудника, имеющего доступ к Seed-фразам.

Второй случай:

Создание кошелька на личном компьютере специалиста также не гарантирует полной безопасности. Даже когда специалист демонстративно отходит от ноутбука и предоставляет следователю возможность самостоятельно зафиксировать Seed-фразы, это не исключает потенциальной возможности последующего восстановления доступа самим специалистом. Например, с помощью кейлогера, скрытой записи экрана или скрипта, делающего невидимый для следователя скриншот с конфиденциальной информацией, эксперт теоретически может сохранить контроль над созданным кошельком, несмотря на публичное удаление всех данных в присутствии сотрудников правоохранительных органов.

Очевидно, что оба сценария недостаточно безопасны, требуют внимательного подхода и проработки специальных регламентов для минимизации рисков компрометации криптовалютных активов, изъятых в рамках уголовных дел.

Решения: нашей стране необходимо кастодиальное или некастодиальное хранение криптокошельков.

Кастодиальное хранение криптокошельков — это способ хранения криптовалют, при котором доступ к вашим монетам контролирует третья сторона (например, криптобиржа, банк или специальный сервис). По сути, вы доверяете хранение своих средств кому-то ещё.

Представьте это как банк, который хранит ваши деньги. Вы не носите наличные с собой, а доверяете банку, что деньги будут в безопасности и всегда доступны. Аналогично работает кастодиальный кошелёк — вы создаёте аккаунт в специальном сервисе, а он уже отвечает за хранение и защиту ваших криптовалют.

Некастодиальное хранение криптокошельков — это способ хранения криптовалют, при котором вы полностью сами контролируете свои средства и ключи от кошелька. Другими словами, никто, кроме вас, не имеет доступа к вашим монетам и не управляет ими.

Представьте это как хранение наличных денег дома в сейфе. Вы лично отвечаете за их безопасность и знаете код доступа только вы. Аналогично, с некастодиальным кошельком вы сами храните и защищаете ключи от кошелька.

Первый вариант — провайдером услуг хранения и управления криптовалютными кошельками становится государственный подрядчик, прошедший все необходимые сертификационные процедуры с применением так называемой «православной» криптографии.

Второй вариант — роль провайдера полностью берёт на себя непосредственно государство.

Как это выглядит на практике?

Независимо от выбранного варианта, общий алгоритм остаётся неизменным. Следственным органам предоставляется централизованная платформа с пользовательским интерфейсом, где каждому подразделению или отделу выделяется собственный аккаунт. Внутри него содержится реестр уже созданных кошельков. Следователь, работая с интерфейсом, выбирает свободный кошелёк из реестра, заполняет простую форму (например, номер уголовного дела), после чего кошелёк становится закреплённым именно за ним и становится недоступным для других пользователей системы. Такой подход обеспечивает прозрачность процесса, исключает риски несанкционированного доступа, а также позволяет легко контролировать и аудировать действия с криптовалютными активами в рамках расследования. Если в части осмотра криптоактивов и наложения на них ареста уже сформированы механизмы и понятная практика, то вопрос их последующей реализации и зачисления в доход государства на сегодняшний день остаётся гораздо более сложным и неоднозначным.

1. Через какую платформу или биржу следует реализовывать изъятую криптовалюту?

Необходимо определить надёжные и юридически прозрачные механизмы реализации криптоактивов, учитывая риски взаимодействия с зарубежными платформами, вопросы безопасности, а также требования российского законодательства, которого, к сожалению, пока нет.

Хотя криптовалютные биржи в России фактически уже существуют, их правовой статус по-прежнему остаётся неопределённым. Это существенно затрудняет работу с изъятыми криптоактивами, создавая дополнительные юридические и организационные риски. Поэтому мы настоятельно рекомендуем Правительству Российской Федерации уделить особое внимание этой проблеме и в приоритетном порядке разработать соответствующую нормативную базу, которая позволит обеспечить прозрачность и безопасность операций с криптовалютами, в том числе и при реализации изъятых в ходе уголовных дел активов.

2. Что делать с криптовалютой, помеченной («промаркированной») аналитическими системами «недружественных стран»?

Такие метки могут существенно осложнить или даже полностью блокировать реализацию криптовалюты на крупных международных биржах, что требует выработки альтернативных решений или создания национальной инфраструктуры, независимой от внешних ограничений.

На практике государство формально не «очищает» биткоины или другие криптовалюты, поскольку неизменность блокчейна не позволяет стереть следы их прежних владельцев или транзакций. Фактически речь идёт о реализации активов, законно конфискованных по решению суда.

Например, когда покупатель приобретает конфискованные монеты на аукционе, проводимом службой U.S. Marshals (специально созданная служба в США), он получает официальное документальное подтверждение права собственности — договор, расписку или платёжный документ, подтверждающие, что криптоактивы перешли к нему легитимным путём. Именно такая документированная цепочка владения снимает вопросы о законности происхождения монет, ведь государственные органы (федеральный суд и Министерство юстиции) признали эти активы законно конфискованными и официально выставили на открытый аукцион.

Кроме того, крупнейшие аналитические сервисы, такие как Chainalysis или Elliptic, оперативно обновляют статус подобных криптоактивов, как правило, после первой успешной процедуры KYC на авторитетных биржах.

Однако в текущей геополитической ситуации эти ведущие AML-провайдеры прекратили своё сотрудничество с Россией. А учитывая, что именно они интегрированы во многие крупные международные криптобиржи, участники российских аукционов, приобретшие конфискованную криптовалюту, могут столкнуться с серьёзными рисками, вплоть до блокировки аккаунтов и полной утраты приобретённых криптоактивов. Это ещё раз подчёркивает необходимость оперативной разработки собственного надёжного механизма реализации и учёта криптоактивов на территории России.

3. Как корректно определить стоимость изъятых криптоактивов с учётом их волатильности?

Отсутствие стабильного курса криптовалюты, резкие колебания её стоимости, даже в течение нескольких часов, создают значительные сложности в оценке.

В качестве практического решения можно предложить следующий механизм реализации конфискованной криптовалюты:

Росимущество — федеральный орган, который по закону (Положение о Росимуществе, утв. постановлением Правительства РФ № 432 от 05.06.2008) управляет обращённым в собственность государства имуществом и организует его реализацию.

Информирование о проведении аукциона

Росимущество или уполномоченный правительством кастодиан заранее публикует информацию о предстоящем аукционе на официальном сайте и в пресс-релизах. В объявлении указываются:

  • объём и тип реализуемой криптовалюты;
  • точная дата и время проведения аукциона;
  • условия для участия, включая минимальный взнос и процедуру регистрации участников.

Регистрация участников и внесение залога

Для обеспечения серьёзности намерений участников и предотвращения мошеннических действий или «шуточных» заявок, Росимущество (или кастодиан) требует внесения денежного залога. Размер залога может значительно варьироваться: от сотен тысяч рублей до нескольких миллионов — в зависимости от размера и значимости продаваемого лота. Все участники обязаны подтвердить свою личность и пройти процедуру KYC/AML в соответствии с № 115-ФЗ.

Проведение аукциона

Сам аукцион может проходить в формате закрытых заявок, когда участники отправляют свои предложения в запечатанном виде. По завершении срока приёма заявок Росимущество или назначенный кастодиан раскрывает их и выбирает победителей на основании самых высоких предложенных ставок. Реже применяется формат открытых торгов, если объёмы или конкретные условия это позволяют.

Определение и уведомление победителей

После определения победителя (или нескольких победителей, если лот был разделён) Росимущество официально уведомляет его о выигрыше. Победитель обязан в установленный срок перечислить оставшуюся часть суммы за вычетом ранее внесённого залога на указанный официальный счёт.

Передача криптоактивов

После подтверждения факта полной оплаты, Росимущество или кастодиан осуществляет перевод криптовалюты на кошелёк, указанный победителем аукциона. Передача криптоактивов строго документируется, что исключает риски двойного списания, иные ошибки и позволяет обеспечить полную прозрачность и надёжность всего процесса.

Ключевые особенности механизма аукциона

Важно подчеркнуть, что аукцион по продаже конфискованной криптовалюты принципиально отличается от привычной биржевой торговли. Здесь отсутствует традиционная биржевая механика с моментальными ставками и строгими рыночными котировками. Вместо этого каждый участник самостоятельно определяет своё ценовое предложение, исходя из собственной оценки рынка и личных ожиданий относительно стоимости криптовалюты.

Ценовая волатильность между судебным решением и датой аукциона

Государство не пытается угадать идеальный момент продажи криптоактивов и не подстраивает дату аукциона под изменения курса биткоина или других криптовалют. Главной целью Росимущества (или назначенного кастодиана) является быстрая и прозрачная конвертация конфискованных активов в фиатные средства. Таким образом, если на момент судебного решения биткоин оценивался в $50,000, а к моменту проведения аукциона курс упал до $45,000 — аукцион не будет отложен в ожидании возврата прежнего уровня цен. Продажа состоится по тем условиям и ставкам, которые будут предложены участниками именно в дату проведения аукциона.

Отсутствие официальной минимальной цены и право отказа

Хотя строгого минимального ценового порога не устанавливается, Росимущество (или уполномоченный кастодиан) имеет право отклонить отдельные предложения, посчитав их неоправданно низкими или противоречащими интересам государства. Также существует возможность отказаться от всех поступивших заявок, если ни одно предложение не будет удовлетворять установленным критериям экономической целесообразности.

Paraniod Security Анализ обновлений Microsoft Patch Tuesday – Май 2025 13 мая
Анализ обновлений Microsoft Patch Tuesday – Май 2025
Paraniod Security Анализ уязвимости Use-After-Free в ole32.dll (CVE-2025-21298) 7 мая
Анализ уязвимости Use-After-Free в ole32.dll (CVE-2025-21298)
Paraniod Security Обход KASLR в Windows: Атака на механизм предварительной выборки 6 мая
Обход KASLR в Windows: Атака на механизм предварительной выборки