Зібрані матеріали вказують на систематичне використання естонської корпоративної та крипто-інфраструктури для виведення коштів, пов'язаних з оборонно-промисловим комплексом РФ, обходу санкцій та відмивання злочинних доходів у масштабах, співставних зі скандалом Danske Bank (€200 млрд). Ці потоки безпосередньо живлять державний апарат країни-агресора та фінансують війну проти України.
Схема 1 (Riedella / Рудов): ІТ-підрядник силових структур РФ (виробник ЗЗІ, сертифікований ФСБ) тримав €13 млн на крипто-біржах через естонську юридичну особу. Ці €13 млн — лише 5% від обсягу одного акаунта (за свідченнями Вєрєсова). Реальний масштаб мережі ≈ 200 акаунтів × €260 млн = €13–52 млрд обороту. Справу веде колишній Генеральний прокурор Естонії, якому прокуратура передала матеріали КС у той самий день, коли подано цивільний позов. Кримінальне провадження закрито без встановлення долі €12 млн.
Схема 2 (Фішман / HitBTC): Петербурзький програміст Григорій Фішман побудував конгломерат (HitBTC, Changelly, Freewallet, Cointelegraph, BeQuant та ін.) з торговим оборотом $20+ млрд/міс — фактично нелегальну глобальну інфраструктуру для відмивання крипти: вона використовувалася для відмивання коштів WannaCry, WEX і десятків хакерських атак.
Звідки в Riedella OÜ — естонської «доньки» московського ІТ-підрядника силовиків з офіційним збитком €276 тис. у 2019 р. — взялися €13 000 000 у крипті на Binance і Huobi? Ні естонська прокуратура, ні суд цього питання не поставили. Слідчий, чиї матеріали лягли в основу цивільного позову, підпорядковувався прокуратурі, якою 9 років керував адвокат позивача Норман Аас.
За свідченнями Андрія Вєрєсова (закрите КС №19230100730), від загального обсягу коштів на рахунках було «викрадено» лише ~5%. Це дає прямий розрахунок реального масштабу операцій Riedella OÜ — компанії, яка у публічній звітності декларувала збиток €276 тис./рік.
Висновок: Riedella OÜ — це не «жертва хакерів». Це професійний фінансовий оператор з багатомільярдним оборотом, який використовував естонську корпоративну оболонку для пропуску грошового потоку, походження якого не верифіковано. Масштаб співмірний зі скандалом Danske Bank Estonia (€200 млрд) — але у крипто-еквіваленті.
Пряма цитата зі свідчень Андрія Юрійовича Вєрєсова:
Це означає: централізована мережа з 200–300 акаунтів на чужі імена, спільна Google-таблиця паролів, доступ мають усі співробітники Riedella OÜ. Це не «жертва хакерів» — це промислова інфраструктура відмивання через підставні KYC-акаунти. Розшифровка одного акаунта в матеріалах справи (Riedella OÜ on Binance) показала операції на ~€13M — це лише частина видимої верхівки.
З матеріалів: «potential linkage to money laundering of Russian oil oligarchs (Fishman's clients/Investors)». Тобто Riedella OÜ — операційна одиниця у ширшій мережі, асоційованій з Григорієм Фішманом (див. Розділ 4). Справа Riedella у внутрішньому листуванні захисту називається напряму: «Fishmans Case». Естонська прокуратура цей зв'язок також не дослідила.
| Параметр | Danske Bank (Естонія, 2007–2015) | Riedella / Estonian Crypto (2018–2023) |
|---|---|---|
| Загальний обсяг | €200 млрд | >$1 млрд задокументовано; 55% світових крипто-провайдерів — в Естонії 2021 |
| Механізм | Кореспондентські рахунки | Крипто-ліцензії без KYC (AML-офіцери — таксисти та зварники) |
| Зв'язок з РФ | Російські клієнти-оболонки | Компанії з ФСБ-сертифікацією; OFAC-санкційовані біржі |
| Реакція прокуратури | Запізніла, штрафи | Відсутня по суті — КС закрито без відстеження €12M |
| Ключова фігура | Менеджери філії | Колишній Генпрокурор — адвокат позивача |
Повний масив блокчейн-адрес з матеріалів російського КС №1190***** (Протокол допиту А.Ю. Вєрєсова від 12.05.2020, Санкт-Петербург) та естонського КС №19230100730. Звіт Riedella OÜ: викрадено ~880 BTC + 6 499,98 ETH + 999 998,1 USDT. Прокуратура Естонії не відстежувала жодну з цих адрес окрім кінцевого USDT-отримувача.
Hot/cold wallets HitBTC анотовано в публічних базах даних. Через них пройшли: WEX 10 000 BTC (лист. 2022), Ripple insider $112.5M (лют. 2024), US Gov address $19.2M (жовт. 2024).
| База | Що знайдете | Посилання |
|---|---|---|
| Arkham Intelligence | Анотовані гаманці HitBTC, BeQuant, Freewallet, Changelly | arkham → entity/hitbtc |
| Etherscan Labels | Помічені адреси HitBTC на Ethereum | etherscan.io/accounts/label/hitbtc |
| Bitquery (HitBTC) | Усі депозит/withdraw адреси по біржах | bitquery.io/labs/hitbtc |
| Walletexplorer (BTC) | Кластери HitBTC за біткоїн-адресами | walletexplorer.com/wallet/HitBTC.com |
| ZachXBT розслідування | Публічні адреси зі скріншотами трасування | t.me/investigations (TG-канал) |
| OpenSanctions Cryptos | Адреси під санкціями (Garantex, Hydra тощо) | opensanctions.org/datasets/crypto |
Крок 1: Запит у Binance через апеляційний суд (або EGMONT FIU-to-FIU) — повний список withdraw-транзакцій з акаунтів Riedella OÜ за 10.07.2019. Зберігаються 10 років, доступні.
Крок 2: Отримавши список адрес першого рівня — прогнати через Chainalysis Reactor / TRM Labs / Crystal Intelligence або OSS-аналог (GraphSense).
Крок 3: Зіставити з відомими кластерами HitBTC / Changelly / MinerGate — висока ймовірність збігів з огляду на те, що обидві схеми мають петербурзьке коріння і працюють через Естонію.
| Компанія | Роль | Регулятор | Скандали |
|---|---|---|---|
| HitBTC | Крипто-біржа (фасад) | НЕМАЄ BVI ліквід. 2023, SVG — фіктивне | WannaCry, WEX 10k BTC, Ripple $112M, US Gov $19M, заморозка рахунків |
| Freewallet | Кастодіальний гаманець | FCA Warning 2023 Malta MFSA Warning | Приховані комісії $50/міс, заморозка, крадіжка Monero |
| Cointelegraph | Медіа-прикриття, маніпуляція | Немає | Фейковий BTC ETF Oct 2023 → $136M ліквідацій |
| Changelly | Обмінник без KYC | Немає значущого | Засновники = засновники MinerGate; використовується для layering |
| BeQuant | «Інституційний» фасад | Malta MFSA — здала ліцензію 2022 | Власник Georgy Zarya (росіянин → британське громадянство) |
| MinerGate | Майнінг-пул (закритий 2023) | Немає | Виведення → авто на Freewallet; спільні засновники з Changelly |
| TradeSanta | Торговий бот | Немає | 0% комісія на HitBTC для користувачів — пряме перенаправлення трафіку |
| Coin360 | Агрегатор (JV з Hilbert Group) | Немає | 60% — Hilbert; 40% Cointelegraph + Chiron Partners |
| LTFS Enterprise (Кіпр) | ПЗ для бірж (matching + custody) | Немає | Директори анонімні; профіль відповідає технологічному ядру HitBTC |
| Дата | Подія | Сума | Джерело |
|---|---|---|---|
| 2017–2018 | WannaCry ransomware — частина викупу пройшла через HitBTC | Н/д | Le Monde |
| Листопад 2022 | WEX 10 000 BTC — ~65 BTC (~$1M) на адресу HitBTC | $1M+ | GetBlock |
| Лютий 2024 | Злам Ripple insider — відмивання через HitBTC | $112.5M | ZachXBT (TG: 1963527562) |
| Жовтень 2024 | Злам адреси уряду США — виведення через HitBTC | $19.2M | ZachXBT |
| Листопад 2024 | Злам Metawin казино — HitBTC nested service | $4M+ | ZachXBT |
| Жовтень 2023 | Cointelegraph фейковий BTC ETF → маніпуляція ринком | $136M ліквідацій | Coinglass / Reuters |
«HitBTC — безумовно найгірший приклад» серед 83 проаналізованих бірж. «Практично весь заявлений обсяг — wash trading». CipherBlade (Річард Сандерс): «найбільше за масштабом і тривалістю шахрайство в історії криптовалют». Жодних реальних резервів при заявлених мільярдних оборотах.
Розслідування Lenta.ru про Віктора Мангазєєва вперше публічно пов'язало Григорія Фішмана з конкретними фінансовими операціями: позов Фішмана у High Court Лондона на $19,7 млн, арешт активів Мангазєєва на $20 млн у Великій Британії. За матеріалами тієї ж справи суд High Court публічно розкрив, що Фішман — власник HitBTC, Freewallet та Cointelegraph (Рамблер/Фінанси, tek.fm, вересень 2025).
| Дата | Подія | Сума | Джерело |
|---|---|---|---|
| 2017 | WannaCry ransomware — викуп відмито через HitBTC | ~$140K BTC | Quartz |
| 2017–2018 | BTC-e після вилучення ФБР — частина BTC через HitBTC | — | Wikipedia |
| Груд 2017 | Масові скарги на заморозку рахунків HitBTC, погрози class action на Reddit/Bitcointalk | — | Bitcointalk |
| Травень 2018 | Karma Group vs HitBTC — лістинговий збір, послуг не надано | 527,01 ETH | Karma Medium · Coinspeaker |
| Січень 2019 | Заморозка перед Proof-of-Keys — HitBTC масово блокує виведення | сотні тис. скарг | Finance Magnates |
| 2019 | SEC/Bitwise звіт: HitBTC — «безумовно найгірший приклад» wash trading серед 83 бірж | 95% обсягу фейк | Bitwise SEC |
| 2019 | HitBTC визнано «insolvent scam operation» (CipherBlade / Richard Sanders) | резерв < 90 BTC | CryptoBriefing |
| Лист 2021 | Lazarus Group laundering — відмивання BTC через Changelly (розкриття через ShapeShift API bug, Convex Labs) | Lazarus operation | BankInfoSec |
| Лист 2022 | WEX 10 000 BTC — ~65 BTC пройшли через HitBTC | ~$1M+ (лише видима частина) | GetBlock |
| Лист 2022 | CrossTower викуповує BeQuant (фінансує Lydian Group Фішмана/Лопеса) | не розкрито | PRNewswire |
| Квіт 2023 | Фішинг-клон HitBTC (hitbt2c.lol) — викрадено через підробку | ~$15M | CoinDesk/Chainalysis |
| Травень 2023 | Фішман подає позов до Алекса Гребньова (Samcoins/MAPS/OXY, Alameda-backed) | $750K → $19.7M | XBO |
| Червень 2023 | Atomic Wallet злам (спільний founder з Changelly — Konstantin Gladych) — Lazarus DPRK | $100M+ | Elliptic |
| Жовт 2023 | Cointelegraph фейковий твіт про BlackRock BTC ETF | $100–136M ліквідацій | CoinDesk |
| Лист 2023 | BVI FSC: HiTech Digital Business Ltd (HitBTC) виключена та ліквідована | de-registration | BVI FSC |
| Груд 2023 | UK FCA Warning проти Freewallet | не авторизовано | FCA |
| Лют 2024 | Ripple insider hack — відмивання через HitBTC | $112,5M | ZachXBT (TG: 1963527562) |
| Берез 2024 | SVG FSA: документи HitBTC «є неправдивими та підробленими» | fraudulent docs | SVG FSA |
| Жовт 2024 | Злам адреси уряду США — виведення через HitBTC | $19,2M | ZachXBT |
| Верес 2023 | Позов Фішмана до Мангазєєва (High Court London), арешт активів | $19,7M позов / $20M арешт | Lenta.ru |
| Червень 2025 | Cointelegraph front-end exploit — фейковий airdrop pop-up | фішинг | CoinDesk |
| Серп–Верес 2025 | Lenta.ru / Газета.ru / tek.fm: ім'я Фішмана розкрито як власника HitBTC + Freewallet + Cointelegraph | розкриття | tek.fm |
BankInfoSecurity (Mathew J. Schwartz, листопад 2021), на основі розслідування Convex Labs через вразливість API ShapeShift: «Lazarus also appeared to exchange some bitcoin at Changelly, another exchange.» Це перша і найконкретніша публічна згадка Changelly у контексті відмивання коштів північнокорейської хакерської групи Lazarus. Провідний слідчий IRS-CI: «Відмивання складніше за самі хакерські атаки».
| Категорія | Опис | Джерело |
|---|---|---|
| LAZARUS | Пряма згадка Changelly як каналу відмивання BTC Lazarus Group | BankInfoSec 2021 |
| $100M+ HACK | Atomic Wallet (спільний founder) — зламано Lazarus, $100M+ викрадено | Elliptic |
| US TREASURY | Allegations: «flagged transactions by U.S. Treasury», співпраця з ransomware | Cybercriminal.com |
| FCA UK | Не авторизовано FCA · «уникайте цієї фірми» | FCA |
| FROZEN FUNDS | Сотні скарг: KYC-trap (своп пройшов — гроші зникли — підтримка мовчить міс.) | Trustpilot · BlockNuggets |
| КАНАДА | Заборонено в Ontario (OSC non-compliance) | OSC Ontario |
| FINCEN | Зареєстровано як MSB — але це базова реєстрація, не ліцензія. «Basic compliance, not comprehensive oversight» | Bitget Academy |
Якщо €12 млн з Riedella-акаунтів проходили через Changelly — це крипто-обмінник без реального KYC, з підтвердженим зв'язком з Lazarus та російською командою з СПб. Через Changelly кошти можна було обміняти на Monero (privacy coin) або на токени без відстеження. Акаунти Riedella + структура Changelly = ідеальна пара для безпечного відмивання грошових потоків, походження яких потрібно приховати.
Обидві схеми мають петербурзьке коріння, діють через естонські/ЄС юрособи, уникають AML-перевірок через пов'язаних з РФ фіксерів (Аас — Норман / Рудов — Триніті) та відсутність реального регулювання на рівні крипто-інфраструктури. У справі Riedella €12M, які зникли, могли пройти саме через HitBTC або Changelly — тобто обидві схеми можуть виявитися одним ланцюгом.
У разі встановлення факту відмивання доходів від контрактів із силовими структурами РФ — активи Riedella OÜ та Trinity Europe OÜ (включно з €12M, які зникли) підлягають конфіскації як кошти, пов'язані з фінансуванням агресії проти України. Заморожені активи можуть бути спрямовані на фонд відновлення України у межах міжнародних механізмів використання активів країни-агресора. Окремо — активи HitBTC / Lydian Group, які транзитували кошти підсанкційних осіб (Garantex / WEX). Рекомендована форма залучення: 20% від суми конфіскації для партнерів, які надали оперативні матеріали.