Как русский и украинец открывали крипто-прачечную в Грузии

Недавно в Грузии накрыли AudiA6 — крипто-прачечную, через которую, по версии американских властей, могли пройти около 10 333 BTC. На момент транзакций это почти $390 млн.

В центре дела два человека: украинец Руслан Ткачук и россиянин Александр Леденев. Оба находились в Грузии. США считают их старшими участниками организации AudiA6 и добиваются экстрадиции.

Пока это обвинения, не приговор. Но сама история уже выглядит как готовый сценарий для фильма про цифровой криминал, только без гениев. Потому что люди продавали клиентам анонимность, а сами оставили после себя Cloudflare, Gmail, Hetzner, CRM, бэкапы, форумы, домены, паспорта, селфи и тысячи биржевых аккаунтов.

Что вообще делал AudiA6

AudiA6 продавал простую услугу — отправляешь грязную крипту, получаешь обратно «почищенные» деньги.

В рекламе это выглядело как анонимность, защита от AML и спокойный вывод средств. На деле, если верить материалам следствия, схема была не про магический «невидимый блокчейн», а про классическую крипто-прачечную. Сервис принимал грязную крипту на контролируемые кошельки, дальше прогонял её через миксинг, внутреннюю инфраструктуру и несколько слоёв переводов, а клиенту возвращал уже более «чистые» монеты с меньшим AML-риском.

Отдельную роль играла сеть биржевых KYC-аккаунтов. Они были нужны не для того, чтобы напрямую заливать туда очевидно грязную крипту и сразу ловить блокировку, а как часть инфраструктуры для выдачи, обмена и маскировки происхождения средств. Проще говоря: клиент сдавал грязный актив, а назад получал крипту, которая для рынка выглядела значительно спокойнее.

То есть это был НЕ какой-то магический криптомиксер нового поколения. Не смарт-контракт, не технология приватности, не киберпанк из будущего. Просто ручной отмыв через чужие KYC-аккаунты.

Клиентам обещали невидимость. По факту им продавали не «чудо-анонимность», а возможность обменять грязный актив на более чистую ликвидность с меньшим AML-риском. Примерно за 5%.

Очень крепкий бизнес-план — взять комиссию, несколько лет думать, что ты умнее всех, а потом сидеть в Грузии и ждать, не отправят ли тебя в США.

Их нашли там, где они сами светились

Самая смешная часть истории в том, что AudiA6 начали раскручивать не с какого-то суперсекретного блокчейн-анализа. Их подсветили форумы.

По данным из разбора дела, следователи нашли пост на Dark2Web, где упоминались Azazello как технарь и AudiA6 как часть команды. Потом обнаружили рекламу AudiA6 сразу на нескольких русскоязычных дарк-форумах. Одинаковые объявления, одинаковые контакты, одинаковые домены.

Люди продавали услугу «мы спрячем ваши деньги», но рекламировались на площадках, которые давно читают не только клиенты, но и аналитики, следователи и люди в погонах.

Это примерно как открыть подпольный обменник и повесить баннер на трассе: «Отмываем аккуратно, писать сюда».

Контрольные прогоны и очень разговорчивые менеджеры

С декабря 2022 года по май 2026-го агенты провели через AudiA6 несколько контрольных операций. И это тоже важный момент. Следствие, судя по материалам, не просто смотрело на адреса в блокчейне. Агенты общались с менеджерами сервиса как обычные клиенты и прямо писали, что деньги могут быть связаны с ransomware, скамом, украденным эфиром или продажей запрещённых товаров.

По логике нормального сервиса после такого разговор должен был закончиться. Но, по версии следствия, в AudiA6 отвечали спокойно. Где-то говорили, что это не проблема. Где-то советовали прогонять деньги через миксер. Где-то фактически показывали, что происхождение средств их не особо волнует.

Для суда это уже совсем другой уровень. Это не «мы просто технический сервис для приватности». Это история про сервис, который понимал, с чем работает, и всё равно брал деньги.

Внутри была не лавочка, а маленький финтех для криминала

Когда в 2023 году следствие получило копию исландского сервера, история стала выглядеть ещё интереснее.

Там, по данным треда, были не только сайты и мессенджеры. Там была полноценная CRM-система, 25 учётных записей сотрудников, база примерно из 6 000 аккаунтов криптобирж, папки со сканами паспортов и селфи для KYC, а ещё почтовая база на 500 000+ писем.

Это уже не «два анонима в телеге». Это маленькая операционная компания для киберкриминала.

Сотрудники, клиенты, база, документы, аккаунты, процессы. Почти финтех. Только вместо красивой презентации для инвесторов — даркнет, дропы и деньги, которые лучше не показывать банку.

Отдельно в материалах всплывали внутренние логи с риск-оценками адресов. Примерно 2 900 проверок. И около половины из них были выше порога 25%, который сами же AudiA6 называли чувствительным для бирж.

Проще говоря, они не строили приватность. Они пытались протащить грязные деньги так, чтобы биржи их не откусили на комплаенсе.

Сломались не на блокчейне, а на бытовухе

Главный урок этой истории очень простой: криптоследы важны, но людей часто ловят не на блокчейне. Их ловят на обычной цифровой бытовухе.

Сначала Cloudflare показал, куда ходил трафик AudiA6. Потом через международные запросы вышли на исландский сервер. Затем выяснилось, что бэкапы уходили в Hetzner Storage Box в Германии.

Немцы поделились данными. Storage Box, по данным из треда, оказался оформлен на Александра Леденева и содержал бэкапы AudiA6 и Dark2Web.

Дальше стало ещё красивее. В том же хранилище нашли папки с бэкапами легальных сайтов. В том числе грузинского сервиса аренды машин, где фигурировал Руслан Ткачук с временным ВНЖ Грузии.

То есть рядом лежали чистый бизнес и крипто-прачечная. На одном диске. В одной инфраструктуре. С точки зрения OPSEC это не просто ошибка. Это уже почти искусство саморазоблачения.

Как ники превратились в реальные имена

По Ткачуку следствие связывало ники AudiA6 и xai с украинским номером телефона. Потом подняли Google-аккаунт, где были письма на имя Ruslan Tkachuk, украинские адреса и документы с упоминанием украденных карт и gift card data.

По Леденеву цепочка шла через Gmail, адрес azzazelllo на mail.ru, аренду Hetzner, письма с обращением Alexander Ledenev, бронирование грузинского отеля и тестовые письма с доменов AudiA6.

В этом и суть. Никакой магии. Просто много маленьких следов, которые годами собирались в одну линию. Форум. Почта. Хостинг. Домены. Бэкапы. Телефоны. Документы. Реклама. Серверы.

В какой-то момент это перестаёт быть набором совпадений и становится делом, которое можно положить на стол прокурору.

Почему пришли сразу 11 стран

AudiA6 был не локальной грузинской историей. Сеть обработала около 10 333 BTC с 2021 года. Правоохранители считают, что сервисом пользовались участники даркнета, ransomware-группы и киберпреступники, которым нужно было обналичивать и маскировать украденные цифровые активы.

Поэтому в операции участвовали США, Грузия, Германия, Франция, Исландия, Польша, Великобритания, Канада, Австралия, Япония и Швейцария. Это уже не «пришли к обменнику». Это международная зачистка инфраструктуры.

В итоге задержали двух предполагаемых администраторов, изъяли серверы, отключили домены, заморозили криптоактивы, заблокировали Telegram-аккаунты и повесили на сайты AudiA6 и Dark2Web баннеры правоохранителей.

Всегда есть что-то особенно символичное в таких баннерах. Вчера сайт продавал приватность. Сегодня на нём висит табличка спецслужб.

Причём тут Сеул и USDT

История AudiA6 хорошо ложится в общий тренд. Крипта давно стала не только инструментом инвесторов и трейдеров, но и удобной трубой для серых денег.

В Южной Корее полиция недавно задержала людей по делу об отмывании USDT для мошеннической сети, связанной с Камбоджей. Там схема была другой, суммы меньше, но логика похожая: банковские счета, криптобиржи, стейблкоин, быстрые переводы, попытка спрятать происхождение средств.

USDT в таких историях стал почти идеальным рабочим инструментом. Это цифровой доллар, который удобно гонять между биржами, странами и кошельками. Он не скачет как биткоин, быстро переводится и понятен всем участникам серого рынка.

Но проблема для таких схем в том, что вокруг USDT почти всегда есть инфраструктура. Биржи, KYC, банки, телефоны, аккаунты, логи, провайдеры. А значит, следы всё равно остаются.

Главный вывод

AudiA6 продавал клиентам ощущение, что они где-то сбоку от закона. Что можно отправить грязную крипту, заплатить комиссию и выйти чистым.

Но эта история показывает обратное. Крипта не делает грязные деньги невидимыми. Она просто оставляет другие следы. А если к этим следам добавить Cloudflare, Hetzner, Gmail, форумы, биржевые аккаунты, KYC-документы, CRM и бэкапы, то вся «анонимность» превращается в аккуратную папку с доказательствами.

Вчера сервис обещал спрятать деньги. Сегодня прячут уже сам сервис.

И это главный сигнал для серого крипторынка. Времена, когда можно было спокойно продавать «чистые транзакции» в даркнете и думать, что никто не смотрит, заканчиваются. Если через тебя проходят деньги ransomware-групп, даркнета и международных скам-сетей, однажды за твоей прачечной могут прийти сразу 11 стран.