TL;DR: 4 мая 2026 года в промежутке с 14:11:06 до 14:12:18 UTC мультисиг Tether подал 19 предложений
addBlackList, нацеленных на Tron-адреса, связанные с обрушившейся Ponzi-схемой DSJ Exchange / BG Wealth Sharing, и исполнил их все в рамках единого транзакционного батча. Общая замороженная сумма: $38,430,800.62. Средний интервал заморозки: 70 секунд. Утечек во время интервала: ноль. Этот батч — крупнейшая в нашей базе одноблоковая заморозка USDT на Tron, в 4,4 раза превышающая предыдущий самый крупный батч. ZachXBT, координировавший операцию вместе с Tether, Binance, OKX и правоохранительными органами США, утверждает, что вся схема пропустила через себя более $150M, причем $92M были отмыты через несколько блокчейнов за неделю до заморозки. Всего возвращено на текущий момент: ~$41,5M, или около 28%.
В 14:11:06 UTC 4 мая 2026 года мультисиг Tron USDT начал подавать предложения addBlackList, нацеленные на кошельки, контролируемые Ponzi-схемой, называвшей себя DSJ Exchange. Их было 19. Через три секунды все 19 уже находились в блокчейне, а через 72 секунды после появления первого предложения каждое из них было исполнено. Этот батч заблокировал $38,4 миллиона на 19 адресах в одной транзакции.
За всю историю включения адресов в черный список Tron USDT ни один другой скоординированный батч не приближается к этим показателям. Следующий по величине — восемь адресов, $8,72 миллиона, 31 марта 2026 года — занимает менее четверти от этого объема. Мы подтвердили результат двумя независимыми пайплайнами анализа (Python с psycopg2 и Go с pgx/v5), которые вернули идентичные числа.
У целей было имя: DSJ Exchange, также известная как DSJEX, торговая платформа-фасад для Ponzi-схемы под названием BG Wealth Sharing. По данным он-чейн расследователя ZachXBT, который раскрыл операцию 5 мая, через депозиты с 2025 года было пропущено более $150 миллионов, и за семь дней до заморозки $92 миллиона тихо ушли через кросс-чейн мосты и DEX-агрегаторы.
Это не была рутинная блокировка. Это была скоординированная операция по полному перекрытию: подписанты мультисига Tether действовали вместе со службой безопасности Binance, OKX и правоохранительными органами США, опираясь на расследование ZachXBT. На стороне Tron, когда настал момент, все предложения попали в блокчейн одновременно.
Блокировка на уровне блока
Большинство заморозок Tron USDT происходят по одному адресу за раз. Подписант мультисига подает предложение addBlackList, другие подписанты подтверждают его, и когда порог (на текущий момент 2 из N) достигнут, заморозка исполняется. На Tron, где задержка мультисига короткая, типичный интервал составляет от 60 до 80 секунд. Этот интервал — то, что мы называем интервалом заморозки — это окно, которое мы ранее проанализировали и обнаружили, что оно эксплуатировалось 449 раз с общим объемом ускользнувших средств более $215 миллионов.
4 мая отличие было не в длине, а в масштабе и синхронизации: интервал составил обычные 70 секунд. Вот все 19 адресов основного батча, замороженных в 14:12:18 UTC:
Итого: $38,430,800.62 на 19 адресах, все исполнены в одном транзакционном батче в 2026-05-04 14:12:18 UTC.
О чем говорит распределение
На Рисунке 1 показаны 19 адресов основного батча по сумме заморозки. $38,4 миллиона распределены неравномерно: один адрес — TAQa4FZweNjbxq69adEhPnFQeKZqkN1pJa — содержал на себе $9,43 миллиона, около четверти всей суммы.
Анализ недавних входящих переводов на этот кошелек показывает шаблон консолидации, который ожидаемо встречается, когда оператор сшивает мелкие депозиты в один кошелек-расходник перед их выводом: между 07:19 и 07:54 2 мая четыре перевода на общую сумму $2,4 миллиона пришли с одного питающего адреса, TKPTe5J5NzXyscatzqVmjrjWPy4av3mjfr.
Остальные 18 адресов чисто разделились на два уровня:
- 11 кошельков уровня $2M — десять с ровно $2,000,000.00 и один с $2,000,010.54
- 7 кошельков уровня $1M — пять с ровно $1,000,000.00, плюс $1,000,010 и $1,000,008.08
Такое слоение круглыми числами — $1M, $2M, $1M, $2M — это сигнатура ручного оператора, заправляющего «горячие» кошельки фиксированными порциями, а не распределения через смарт-контракт или автоматизированной выгрузки. Кто-то пополнял кошельки вручную, вероятно, перед выплатой, которая так и не состоялась.
Три необычные суммы ($2,000,010.54, $1,000,010.00, $1,000,008.08) выглядят как доплаты по типу «депозит плюс начисленный доход», когда кошелек был пополнен круглой суммой, а позже к нему добавилась небольшая комиссия или процент. Внутри Ponzi такие микрокорректировки обычно указывают на внутренний учетный слой, имитирующий доходность, — движение цифр в книгах, а не реальный продукт. Суммы слишком круглые для прибыли/убытка от реальной торговли; это рационирование.
Почему утечек ноль
Мы подробно разобрали проблему интервала заморозки еще в феврале. Из 8310 исполненных заморозок на Tron и Ethereum 449 — или 5,4% — наблюдали хотя бы один исходящий перевод между подачей предложения и его исполнением. Всего ускользнуло: $215,5 миллиона. Только за 2025 год — $141,7 миллиона.
Поэтому для 4 мая возникает естественный вопрос: сколько из 19 адресов рванули к выходу за свои 70-секундные интервалы заморозки? Мы прогнали один и тот же запрос через наши Python- и Go-пайплайны по он-чейн датасету; оба вернули одинаковый ответ: ноль. Никаких переводов ни с одного из 19 кошельков в течение 69–72-секундного окна, когда каждое предложение уже было в блокчейне, но еще не было исполнено.
Статистически это не то, что можно было бы ожидать. При исторической доле утечек 5,4% можно было бы предсказать, что примерно один из 19 рванет на выход; специфический для Tron показатель 6,2% за 2025 год предсказывал бы чуть больше. Не произошло ни того, ни другого. Когда 19 адресов попадают под удар одновременно, оператору приходится выбирать, какие из них опустошать за 70 секунд, и оператор DSJ не выбрал ни одного.
Выбрать все все равно не было реальной возможностью. Чтобы вытащить $38,4 миллиона за 70 секунд, нужно было бы транслировать 19 отдельных переводов, подписать каждый и добиться их подтверждения внутри окна заморозки. Время блока на Tron около 3 секунд, что оставляет бюджет в 23 блока — выполнимо для одного-двух переводов, но не для 19. Даже с заранее подписанными транзакциями и активным подписантом при таком объеме вы будете гонять собственный порядок nonce, оценки газа и реверты контракта.
Оператор DSJ даже не попытался. Не было ни частичных выводов, ни отложенных трансляций в соответствующих блоках, ничего, что выглядело бы как паническое нажатие кнопки. В нашем анализе $215M успешные утечки обычно происходили через 12–24 секунды после подачи предложения — внутри интервала. Те операторы, которые сбегают, — это операторы, которые наблюдают вживую; оператор DSJ не наблюдал.
Рисунок 2 показывает таймлайн с 14:11:06 до 14:12:18 с заштрихованным интервалом. Каждый кошелек оставался нетронутым на протяжении всего окна.
Одного блокчейн нам сказать не может: знал ли оператор о приближающейся заморозке и решил не сопротивляться, или батч действительно застал его врасплох. Трасса показывает только, что ничего не пыталось уйти.
За цифрами: чем была DSJ
Предложения addBlackList не сообщают, почему кошелек замораживается. «Почему» пришло из раскрытия ZachXBT, подтвержденного параллельными предупреждениями регуляторов как минимум пяти юрисдикций.
DSJ Exchange — DSJEX — был фронтендом. BG Wealth Sharing — рекрутинговым слоем. Вместе они вели то, что BehindMLM классифицирует как «Ponzi с одной кнопкой»: пользователям предлагалось внести USDT, а затем вставлять «торговые сигналы», присылаемые через WhatsApp, BonChat и Telegram, в фейковую торговую платформу, которая отображала сфабрикованную прибыль.
Завлекали обещанием 1,3%–2,6% доходности в день — числами, которые при сложном проценте удваивают деньги примерно за 60 дней, и именно это должно было насторожить. Рекрутинг шел на многоуровневых реферальных комиссиях. Достоверность создавалась вымышленным CEO по имени «Stephen Beard» (такого человека не существует). Уклонение обеспечивалось чередующимися доменами: bg877.com, bg661.com, dsjex.net, dsj89.com, dsjex123.com и еще как минимум полудюжиной вариантов.
Регуляторы заметили это задолго до действий на блокчейне. Комиссия по ценным бумагам Альберты выпустила предупреждение 17 февраля 2026 года. Министерство торговли Юты последовало 10 марта. DFI штата Вашингтон предупредило 10 апреля. Резервный банк Тонги выпустил собственное предупреждение о варианте, нацеленном на диаспору, — DSJ активно вербовала жертв из Тонги, Новой Зеландии и Австралии. Подразделение финансовой разведки Науру сделало то же самое, отметив, что приложение BG Wealth содержало вредоносное ПО, которое наряду с финансовым ущербом эксфильтровало пользовательские данные.
Ни одно из этих предупреждений не заморозило ни одного доллара.
Этот разрыв заслуживает определенного внимания. Пять юрисдикций, самая ранняя — более чем за два месяца до заморозки, все говорили публике, что эти кошельки связаны со скамом, и ни у одной из них не было односторонних полномочий заблокировать средства. Заморозка стейблкоинов лежит за периметром регулирования, в котором действует большинство органов защиты потребителей, поэтому ведомства могли предупреждать, но не могли действовать на блокчейне.
Затем, 2 мая, операторы сделали то, что делает каждая разваливающаяся Ponzi: придумали повод потребовать еще больше денег. Согласно сводке IFW Global по скаму, участникам сообщили, что проект готовится к IPO и что им нужно заплатить 12% «налог», прежде чем выводы возобновятся. Выводы уже были отключены. Эти 12% были финальной откачкой — выжиманием последней доходности из жертв, которые все еще хотели верить, что сделка реальна. Через два дня Tether заблокировал кошельки.
Деньги, которые уже ушли
Цифра $38,4 миллиона меньше, чем кажется. Расследование ZachXBT отследило примерно $92 миллиона, прошедших через сеть между 27 апреля и 3 мая, в семидневном окне между предупреждением Вашингтона и заморозкой. Большая часть этих средств ушла за дверь до того, как любой адрес из батча 4 мая был помечен.
Описанный маршрут:
- Кросс-чейн мосты, включая Bridgers, Butter Network и USDT0, чтобы вытолкнуть стоимость с Tron на цепи, где Tether не может в одностороннем порядке заморозить
- Циклы оборачивания и разворачивания USDD для размывания следа через стейблкоин, который Tether не выпускает
- Финальные точки приземления на адресах для депозитов на биржах и в OTC-кластерах кошельков
Каждое из этих звеньев — отдельный тип препятствия для возврата. Мосты добавляют задержку финализации плюс целевую цепь, где набор инструментов для возврата отличается. USDD — это нативный для Tron алгоритмический стейблкоин; обертывание в него и обратно размазывает след, не покидая нативной инфраструктуры Tron. А как только средства попадают на биржи или OTC-дески, возврат становится проблемой юридической процедуры, а не он-чейн задачей.
Общая сумма, возвращенная на текущий момент, по данным ZachXBT, составляет около $41,5 миллиона. Заморозка USDT на Tron только что прошлась по счетам на $38,4 миллиона; оставшиеся ~$3,1 миллиона пришли от скоординированных действий Binance, OKX и других платформ, удерживающих фиатные шлюзы, связанные с операцией. На фоне $150M+, которые ZachXBT приводит как общий объем депозитов, это доля возврата примерно 28%.
Не лучшее число для жертв, но и не удивительное. К моменту, когда Ponzi видимо обрушивается, большая часть того, что должно было выйти, уже вышла — обычно неделями или месяцами раньше, медленной струйкой операторской отщипки. Заморозка, которая приходит в конце, — это на самом деле не возврат, а сдерживание. Эти $92M назад не вернутся. Что заморозка делает — так это останавливает следующие $38,4M от того, чтобы присоединиться к ним.
Правдоподобный потенциал в подобных случаях лежит выше по потоку: более быстрые конвейеры от регулятора к эмитенту, заранее помеченные кластеры кошельков, которые можно заморозить пакетом до публичного коллапса. Ничего из этого для DSJ не существовало. Заморозка пришла только после коллапса, что ограничило сверху то, что можно было спасти.
Почему эта заморозка была быстрее большинства
Средний интервал в 70 секунд 4 мая — это быстро, но не рекорд для Tron. Мы видели батчи мультисига Tron, исполненные менее чем за 3 секунды, когда подписанты были уже выровнены: батч из 23 адресов 11 марта 2026 года имел средний интервал 2,7 секунды. Особенным 4 мая делал не интервал, а одновременность.
Чтобы понять, почему одновременность важнее длины интервала, посмотрим, как Ponzi-оператор обычно реагирует на одиночную заморозку:
- Он мониторит мультисиг-контракт на входящие предложения
addBlackList(это многие операторы автоматизируют — контракт публичный). - Когда предложение, нацеленное на их кошелек, попадает в блокчейн, у них есть ~70 секунд, чтобы транслировать перевод до исполнения.
- Если они подготовлены — заранее подписанные транзакции наготове, автоматизация следит за мемпулом — они успевают.
Именно это мы видим во всех 449 исторических утечках. Большинство операторов запускают скрипты, которые автоматически опустошают кошелек при обнаружении предложения, и доля утечек растет, когда эти скрипты хорошо настроены. Особенно высока она — 6,2% на Tron в 2025 году — у операторов с активными дрейн-ботами.
Режим отказа этих ботов — самая интересная часть. Они построены так, чтобы обрабатывать один адрес за раз. Когда 19 предложений приходят в 3-секундном окне, и все нацелены на кошельки, контролируемые одним и тем же оператором, логика дрейна не масштабируется: каждая транзакция вывода должна быть подписана, транслирована и подтверждена, и каждая борется с другими за слоты в той же последовательности nonce оператора. Подписывающая мощность ограничена, и 19 одновременных предложений выходят за этот предел независимо от железа или того, насколько хорошо написан скрипт.
Назовем это защитой через одновременную блокировку группы адресов: перегружая ёмкость окна реакции оператора, мультисиг закрывает интервал заморозки, который существовал бы для любого отдельного адреса. Интервал не короче, он просто непреодолим при таком объеме. Рисунок 3 показывает структурное различие между заморозкой одного адреса (которую типичный дрейн-бот может победить) и скоординированным батчем из 19 кошельков (которую — не может).
Этот шаблон защиты зависит от трех вещей:
- Заранее размещенные подписанты мультисига, готовые подтвердить за секунды, а не за минуты, со списком адресов, распределенным заранее
- Скоординированная подача, при которой все предложения попадают в блокчейн в близкой последовательности (3 секунды в данном случае)
- Полнота списка адресов, чтобы после батча не осталось очевидного запасного кошелька, пригодного для использования
Координация ZachXBT с Tether, Binance и OKX обеспечила первые два пункта. Полноту списка адресов мы не можем оценить только по он-чейн данным.
4 мая в контексте
Чтобы ранжировать произошедшее, мы вытащили все батчи заморозки Tron USDT, в которых одна метка времени исполнения покрывала пять или более адресов, и упорядочили по общей сумме. Запрос был кросс-валидирован на Python и Go.
| Ранг | Дата (UTC) | Адресов | Всего заморожено | Средний интервал |
|---|---|---|---|---|
| 1 | 2026-05-04 14:12:18 | 19 | $38,430,800.62 | 70.3s |
| 2 | 2026-03-31 20:57:15 | 8 | $8,724,744.65 | 74.6s |
| 3 | 2026-03-27 19:32:24 | 7 | $5,570,189.95 | 71.1s |
| 4 | 2026-03-31 20:57:18 | 7 | $4,171,169.54 | 74.1s |
| 5 | 2026-03-27 19:32:27 | 9 | $3,776,144.95 | 71.0s |
Батч DSJ в 4,4 раза больше предыдущего рекорда. За всю историю пакетной заморозки Tron USDT в нашем датасете — с 2020 года — ни один скоординированный батч и близко не подошел.
Более полезная рамка, чем заголовочная диаграмма: из более чем $1,29 миллиарда, замороженных на Tron USDT в 2026 году на текущий момент, на батч DSJ приходится примерно 3% годового объема за одно дневное 72-секундное окно — один оператор, одна схема, одна скоординированная операция. По мере того как проходит больше времени, именно этот случай команды комплаенса будут цитировать как пример, когда будут объяснять, как выглядит скоординированная заморозка в масштабе.
Что показывает этот случай
Самая большая переменная в возврате — не то, как быстро мультисиг подписывает, а то, есть ли что-то в кошельке, когда предложение приземляется. К моменту, когда батч 4 мая ударил, $92M уже было отмыто за предыдущую неделю, поэтому заморозка зафиксировала $38,4M, но потолок возврата был задан семью днями ранее. Конвейер комплаенса, который получает 7-дневное преимущество в обнаружении, бьет конвейер, который скашивает 15 секунд с подписания. И доля возврата 28% — это примерно реалистичный потолок для поздних операций по разгрому Ponzi: к моменту, когда схема видимо обрушивается, большая часть того, что уходит, уже ушла, поэтому заморозка после коллапса — это сдерживание, а не возмещение. Победы — выше по потоку, в те месяцы, когда жертвы еще депонируют, а оператор еще отщипывает. 4 мая было правильным действием; просто это было не правильное время для большей доли возврата.
Кросс-чейн отмывание остается незакрытой дырой. Эти $92 миллиона, перемещенные между 27 апреля и 3 мая, прошли через DEX-агрегаторы, три моста и петлю на оборачиваемом стейблкоине. Эмитенты стейблкоинов могут заморозить на своей нативной цепи, но не могут отменить транзит через мост, поэтому возврат ограничен тем, какая часть отмытого объема покидает цепь эмитента. И хотя пять юрисдикций предупреждали о DSJ между 17 февраля и 27 апреля, ни одно из этих предупреждений не остановило ни единого доллара от ухода. Управление стейблкоинами — это место, где действие происходит на блокчейне; все остальное — это сигналинг. Команды комплаенса, которые рассматривают предупреждения регуляторов как триггеры, а не как конечные точки, ловят операции раньше.
Батч 4 мая также делает структурное замечание о дизайне защиты. Подача 19 предложений за 3 секунды не просто сэкономила время подписантов — она перегрузила окно реакции оператора способом, на который не способна никакая заморозка одного адреса. При нацеливании на связанный кластер объединение в батч — это не workflow-удобство, а защита. Победа в одновременности, а не в скорости.
Замечание о Phalcon Compliance
Мы отслеживаем каждое исполненное и ожидающее предложение о заморозке по Ethereum и Tron USDT в BlockSec USDT Freeze Dashboard. 19 адресов основного батча — все ссылки приведены выше. Для команд комплаенса, которым нужны оповещения в реальном времени о предложениях о заморозке, нацеленных на кошельки в их портфеле — включая окно интервала заморозки, в котором переводы для побега еще возможны — продукт Phalcon Compliance пропускает те же данные через скрининг-API.
В случае DSJ данные были там всегда. Заморозка приземлилась, потому что кто-то — в данном случае ZachXBT — связал след отмывания с чистым списком адресов, и подписанты мультисига были готовы, когда батч ударил. Эта координация — та часть, которая занимает недели расследовательской работы; он-чейн исполнение, как только у вас есть чистый список и выровненные подписанты, — это вопрос секунд.