Dwa niezależne dochodzenia wskazują na systematyczne wykorzystywanie estońskiej infrastruktury korporacyjnej i kryptowalutowej do wyprowadzania środków powiązanych z rosyjskim kompleksem zbrojeniowo-przemysłowym (OPK FR), obchodzenia sankcji oraz prania dochodów z przestępstw w skali porównywalnej ze skandalem Danske Bank (€200 mld).
Schemat 1 (Riedella / Rudow): wykonawca IT dla rosyjskich służb (producent ŚOI z certyfikacją FSB) utrzymywał €13 mln na giełdach kryptowalut przez estońską spółkę. Te €13 mln stanowią jedynie 5% wolumenu jednego konta (zgodnie z zeznaniami Wieriesowa). Rzeczywista skala sieci ≈ 200 kont × €260 mln = €13–52 mld obrotów. Sprawę prowadzi były Prokurator Generalny Estonii, któremu prokuratura przekazała materiały sprawy karnej tego samego dnia, w którym wniesiono pozew cywilny. Postępowanie karne umorzono bez ustalenia losu €12 mln.
Schemat 2 (Fiszman / HitBTC): petersburski programista Grigorij Fiszman zbudował konglomerat (HitBTC, Changelly, Freewallet, Cointelegraph, BeQuant i in.) o miesięcznym obrocie handlowym $20+ mld — faktycznie nielegalną globalną infrastrukturę do prania kryptowalut: wykorzystywaną do prania środków z WannaCry, WEX i dziesiątek ataków hakerskich.
🇵🇱 Kontekst polski: Polska już posiada materiały dotyczące tej sprawy. 28.06.2025 Polska ekstradowała Dymitra Wasiljewa (Fontanka, 28.06.2025) — figuranta w sprawie Riedella OÜ. Polskie organy ścigania dysponują dokumentami sprawy oraz kontekstem operacyjnym. Niniejszy brief uzupełnia tę bazę o pełną analizę sieci, schematów blockchain oraz powiązań z OPK FR i konkretne rekomendacje dla ABW, AW, Prokuratury Krajowej i GIIF.
Skąd Riedella OÜ — estońska spółka-córka moskiewskiego wykonawcy IT dla służb mundurowych z oficjalną stratą €276 tys. w 2019 r. — pozyskała €13 000 000 w kryptowalutach na Binance i Huobi? Ani estońska prokuratura, ani sąd tego pytania nie postawiły. Śledczy, którego materiały stały się podstawą pozwu cywilnego, podlegał prokuraturze, którą przez 9 lat kierował adwokat powoda — Norman Aas.
Zgodnie z zeznaniami Andrieja Wieriesowa (umorzona sprawa karna nr 19230100730), z całkowitego wolumenu środków na rachunkach „skradziono" jedynie ~5%. Daje to bezpośrednią kalkulację rzeczywistej skali operacji Riedella OÜ — spółki, która w sprawozdaniach publicznych wykazywała stratę €276 tys./rok.
Wniosek: Riedella OÜ nie jest „ofiarą hakerów". To profesjonalny operator finansowy z miliardowym obrotem, wykorzystujący estońską powłokę korporacyjną do przepuszczania strumienia pieniężnego, którego pochodzenie nie zostało zweryfikowane. Skala jest porównywalna ze skandalem Danske Bank Estonia (€200 mld) — w odpowiedniku kryptowalutowym.
Bezpośredni cytat z zeznań Andrieja Juriewicza Wieriesowa:
Oznacza to: scentralizowaną sieć 200–300 kont na cudze nazwiska, wspólny arkusz Google z hasłami, dostęp dla wszystkich pracowników Riedella OÜ. To nie „ofiara hakerów" — to przemysłowa infrastruktura prania pieniędzy poprzez podstawione konta KYC. Odszyfrowanie jednego konta w materiałach sprawy (Riedella OÜ na Binance) wykazało operacje na ~€13M — to jedynie część widocznego wierzchołka.
Z materiałów: „potential linkage to money laundering of Russian oil oligarchs (Fishman's clients/Investors)". Innymi słowy Riedella OÜ stanowi jednostkę operacyjną w szerszej sieci powiązanej z Grigorijem Fiszmanem (zob. Rozdział 4). Sprawa Riedella w wewnętrznej korespondencji obrony nazywana jest wprost: „Fishmans Case". Estońska prokuratura tego powiązania również nie zbadała.
| Parametr | Danske Bank (Estonia, 2007–2015) | Riedella / Estonian Crypto (2018–2023) |
|---|---|---|
| Wolumen całkowity | €200 mld | >$1 mld udokumentowane; 55% światowych dostawców usług kryptowalutowych — w Estonii 2021 |
| Mechanizm | Rachunki korespondencyjne | Licencje kryptowalutowe bez KYC (oficerowie AML — taksówkarze i spawacze) |
| Powiązanie z FR | Rosyjscy klienci-spółki fasadowe | Spółki z certyfikacją FSB; giełdy objęte sankcjami OFAC |
| Reakcja prokuratury | Spóźniona, kary pieniężne | Faktycznie brak — postępowanie umorzone bez ścigania €12M |
| Postać kluczowa | Menedżerowie oddziału | Były Prokurator Generalny — adwokat powoda |
Pełen zbiór adresów blockchain z materiałów rosyjskiej sprawy karnej nr 1190***** (Protokół przesłuchania A.J. Wieriesowa z 12.05.2020, Sankt Petersburg) oraz estońskiej sprawy karnej nr 19230100730. Raport Riedella OÜ: skradziono ~880 BTC + 6 499,98 ETH + 999 998,1 USDT. Prokuratura Estonii nie prześledziła żadnego z tych adresów poza końcowym odbiorcą USDT.
Hot/cold wallets HitBTC są oznaczone w publicznych bazach danych. Przeszły przez nie: WEX 10 000 BTC (lis. 2022), Ripple insider $112,5M (lut. 2024), US Gov address $19,2M (paź. 2024).
| Baza | Co znajdziesz | Link |
|---|---|---|
| Arkham Intelligence | Oznaczone portfele HitBTC, BeQuant, Freewallet, Changelly | arkham → entity/hitbtc |
| Etherscan Labels | Oznaczone adresy HitBTC na Ethereum | etherscan.io/accounts/label/hitbtc |
| Bitquery (HitBTC) | Wszystkie adresy depozytowe/withdraw na giełdach | bitquery.io/labs/hitbtc |
| Walletexplorer (BTC) | Klastry HitBTC według adresów Bitcoin | walletexplorer.com/wallet/HitBTC.com |
| Śledztwa ZachXBT | Publiczne adresy ze zrzutami ekranu trasowania | t.me/investigations (kanał TG) |
| OpenSanctions Cryptos | Adresy objęte sankcjami (Garantex, Hydra itd.) | opensanctions.org/datasets/crypto |
Krok 1: Wniosek do Binance przez sąd apelacyjny (lub kanał EGMONT FIU-to-FIU) — pełna lista transakcji withdraw z kont Riedella OÜ z 10.07.2019. Przechowywane 10 lat, dostępne.
Krok 2: Po uzyskaniu listy adresów pierwszego poziomu — analiza w Chainalysis Reactor / TRM Labs / Crystal Intelligence lub odpowiedniku OSS (GraphSense).
Krok 3: Porównanie ze znanymi klastrami HitBTC / Changelly / MinerGate — wysokie prawdopodobieństwo zbieżności, biorąc pod uwagę, że oba schematy mają petersburskie korzenie i działają przez Estonię.
| Spółka | Rola | Regulator | Skandale |
|---|---|---|---|
| HitBTC | Giełda kryptowalut (fasada) | BRAK BVI likw. 2023, SVG — fikcyjne | WannaCry, WEX 10k BTC, Ripple $112M, US Gov $19M, blokady kont |
| Freewallet | Portfel powierniczy | FCA Warning 2023 Malta MFSA Warning | Ukryte prowizje $50/mies., blokady, kradzież Monero |
| Cointelegraph | Przykrywka medialna, manipulacja | Brak | Fałszywy BTC ETF paź. 2023 → $136M likwidacji |
| Changelly | Kantor bez KYC | Brak istotnego | Założyciele = założyciele MinerGate; wykorzystywany do layeringu |
| BeQuant | Fasada „instytucjonalna" | Malta MFSA — zwróciła licencję 2022 | Właściciel Georgy Zarya (Rosjanin → obywatelstwo brytyjskie) |
| MinerGate | Pul wydobywczy (zamknięty 2023) | Brak | Wypłata → automatycznie do Freewallet; wspólni założyciele z Changelly |
| TradeSanta | Bot tradingowy | Brak | 0% prowizji na HitBTC dla użytkowników — bezpośrednie przekierowanie ruchu |
| Coin360 | Agregator (JV z Hilbert Group) | Brak | 60% — Hilbert; 40% Cointelegraph + Chiron Partners |
| LTFS Enterprise (Cypr) | Oprogramowanie dla giełd (matching + custody) | Brak | Dyrektorzy anonimowi; profil odpowiada rdzeniowi technologicznemu HitBTC |
| Data | Zdarzenie | Kwota | Źródło |
|---|---|---|---|
| 2017–2018 | WannaCry ransomware — część okupu przeszła przez HitBTC | B/d | Le Monde |
| Listopad 2022 | WEX 10 000 BTC — ~65 BTC (~$1M) na adres HitBTC | $1M+ | GetBlock |
| Luty 2024 | Włamanie Ripple insider — pranie przez HitBTC | $112,5M | ZachXBT (TG: 1963527562) |
| Październik 2024 | Włamanie na adres rządu USA — wypłata przez HitBTC | $19,2M | ZachXBT |
| Listopad 2024 | Włamanie kasyno Metawin — HitBTC nested service | $4M+ | ZachXBT |
| Październik 2023 | Cointelegraph fałszywy BTC ETF → manipulacja rynkiem | $136M likwidacji | Coinglass / Reuters |
„HitBTC — bezsprzecznie najgorszy przykład" spośród 83 analizowanych giełd. „Praktycznie cały deklarowany wolumen — wash trading". CipherBlade (Richard Sanders): „największe pod względem skali i czasu trwania oszustwo w historii kryptowalut". Brak realnych rezerw przy deklarowanych miliardowych obrotach.
Śledztwo Lenta.ru w sprawie Wiktora Mangaziejewa po raz pierwszy publicznie powiązało Grigorija Fiszmana z konkretnymi operacjami finansowymi: pozew Fiszmana w High Court Londynu na $19,7 mln, zajęcie aktywów Mangaziejewa o wartości $20 mln w UK. Z materiałów tej samej sprawy High Court publicznie ujawnił, że Fiszman jest właścicielem HitBTC, Freewallet i Cointelegraph (Rambler/Finanse, tek.fm, wrzesień 2025).
| Data | Zdarzenie | Kwota | Źródło |
|---|---|---|---|
| 2017 | WannaCry ransomware — okup wyprany przez HitBTC | ~$140K BTC | Quartz |
| 2017–2018 | BTC-e po zajęciu przez FBI — część BTC przez HitBTC | — | Wikipedia |
| Gru 2017 | Masowe skargi na blokowanie kont HitBTC, groźby class action na Reddicie/Bitcointalk | — | Bitcointalk |
| Maj 2018 | Karma Group vs HitBTC — opłata za listing, usługi nie zostały wykonane | 527,01 ETH | Karma Medium · Coinspeaker |
| Sty 2019 | Blokada przed Proof-of-Keys — HitBTC masowo blokuje wypłaty | setki tys. skarg | Finance Magnates |
| 2019 | Raport SEC/Bitwise: HitBTC — „bezsprzecznie najgorszy przykład" wash tradingu wśród 83 giełd | 95% wolumenu fałszywe | Bitwise SEC |
| 2019 | HitBTC uznany za „insolvent scam operation" (CipherBlade / Richard Sanders) | rezerwa < 90 BTC | CryptoBriefing |
| Lis 2021 | Lazarus Group laundering — pranie BTC przez Changelly (ujawnione przez ShapeShift API bug, Convex Labs) | operacja Lazarus | BankInfoSec |
| Lis 2022 | WEX 10 000 BTC — ~65 BTC przeszło przez HitBTC | ~$1M+ (tylko widoczna część) | GetBlock |
| Lis 2022 | CrossTower wykupuje BeQuant (finansuje Lydian Group Fiszmana/Lopeza) | nieujawnione | PRNewswire |
| Kwi 2023 | Phishingowy klon HitBTC (hitbt2c.lol) — kradzież przez podróbkę | ~$15M | CoinDesk/Chainalysis |
| Maj 2023 | Fiszman wnosi pozew przeciwko Aleksowi Griebniewowi (Samcoins/MAPS/OXY, Alameda-backed) | $750K → $19,7M | XBO |
| Czerwiec 2023 | Atomic Wallet hack (wspólny founder z Changelly — Konstantin Gładycz) — Lazarus DPRK | $100M+ | Elliptic |
| Paź 2023 | Cointelegraph fałszywy tweet o BlackRock BTC ETF | $100–136M likwidacji | CoinDesk |
| Lis 2023 | BVI FSC: HiTech Digital Business Ltd (HitBTC) wykreślona i zlikwidowana | de-registration | BVI FSC |
| Gru 2023 | UK FCA Warning przeciwko Freewallet | nie autoryzowany | FCA |
| Lut 2024 | Ripple insider hack — pranie przez HitBTC | $112,5M | ZachXBT (TG: 1963527562) |
| Marz 2024 | SVG FSA: dokumenty HitBTC „są fałszywe i podrobione" | fraudulent docs | SVG FSA |
| Paź 2024 | Włamanie na adres rządu USA — wypłata przez HitBTC | $19,2M | ZachXBT |
| Wrz 2023 | Pozew Fiszmana przeciwko Mangaziejewowi (High Court London), zajęcie aktywów | $19,7M pozew / $20M zajęcie | Lenta.ru |
| Czerwiec 2025 | Cointelegraph front-end exploit — fałszywe pop-up airdrop | phishing | CoinDesk |
| Sie–Wrz 2025 | Lenta.ru / Gazeta.ru / tek.fm: nazwisko Fiszmana ujawnione jako właściciela HitBTC + Freewallet + Cointelegraph | ujawnienie | tek.fm |
BankInfoSecurity (Mathew J. Schwartz, listopad 2021), na podstawie śledztwa Convex Labs przez lukę w API ShapeShift: „Lazarus also appeared to exchange some bitcoin at Changelly, another exchange." Jest to pierwsze i najbardziej konkretne publiczne wzmiankowanie Changelly w kontekście prania środków północnokoreańskiej grupy hakerskiej Lazarus. Główny śledczy IRS-CI: „Pranie pieniędzy jest trudniejsze od samych ataków hakerskich".
| Kategoria | Opis | Źródło |
|---|---|---|
| LAZARUS | Bezpośrednie wzmiankowanie Changelly jako kanału prania BTC Lazarus Group | BankInfoSec 2021 |
| $100M+ HACK | Atomic Wallet (wspólny founder) — zhakowany przez Lazarus, skradziono $100M+ | Elliptic |
| US TREASURY | Allegations: „flagged transactions by U.S. Treasury", współpraca z ransomware | Cybercriminal.com |
| FCA UK | Nie autoryzowany przez FCA · „należy unikać tej firmy" | FCA |
| FROZEN FUNDS | Setki skarg: KYC-trap (swap przeszedł — pieniądze zniknęły — wsparcie milczy miesiącami) | Trustpilot · BlockNuggets |
| KANADA | Zakazany w Ontario (OSC non-compliance) | OSC Ontario |
| FINCEN | Zarejestrowany jako MSB — to jednak rejestracja podstawowa, nie licencja. „Basic compliance, not comprehensive oversight" | Bitget Academy |
Jeśli €12 mln z kont Riedella przeszło przez Changelly — to kantor kryptowalut bez realnego KYC, z potwierdzonym powiązaniem z Lazarus i rosyjskim zespołem z SPb. Przez Changelly środki można było wymienić na Monero (privacy coin) lub na tokeny niemożliwe do prześledzenia. Konta Riedella + struktura Changelly = idealna para do bezpiecznego prania strumieni pieniężnych, których pochodzenie wymaga ukrycia.
Oba schematy mają petersburskie korzenie, działają przez estońskie/UE osoby prawne, omijają kontrole AML poprzez powiązanych z FR fixerów (Aas — Norman / Rudow — Trinity) oraz brak realnej regulacji na poziomie infrastruktury kryptowalutowej. W sprawie Riedella €12M, które zniknęły, mogły przejść właśnie przez HitBTC lub Changelly — co oznacza, że oba schematy mogą okazać się jednym łańcuchem.
Polska 28.06.2025 dokonała ekstradycji Dymitra Wasiljewa (figuranta sprawy Riedella) — Fontanka, 28.06.2025. Polskie organy ścigania posiadają zatem dokumenty sprawy oraz kontekst operacyjny. Niniejszy brief uzupełnia tę bazę o pełną mapę sieci, wykaz adresów blockchain oraz powiązań z OPK FR — co umożliwia rozszerzenie postępowania o wątek prania pieniędzy z rosyjskiego kompleksu zbrojeniowo-przemysłowego.
W przypadku ustalenia faktu prania dochodów z kontraktów ze strukturami siłowymi FR — aktywa Riedella OÜ i Trinity Europe OÜ (w tym €12M, które zniknęły) podlegają konfiskacie jako środki powiązane z finansowaniem agresji. Odrębnie — aktywa HitBTC / Lydian Group, przez które tranzytowano środki osób objętych sankcjami (Garantex / WEX). Polska, jako państwo członkowskie UE objęte stanem podwyższonego ryzyka ze strony FR, ma uzasadniony interes w prowadzeniu postępowania z elementem konfiskaty na rzecz pomocy Ukrainie zgodnie z mechanizmem UE dotyczącym wykorzystania zamrożonych aktywów rosyjskich.