Skąd pochodzi 4500 BTC na rzekomym portfelu zondacrypto? Prześledziliśmy transakcje i nie wygląda to dobrze
Kiedy prezes giełdy kryptowalutowej publicznie podaje adres portfela jako dowód wypłacalności swojej firmy, oczekiwanie jest jedno: ten ruch kończy dyskusję. Że liczby mówią same za siebie, że blockchain nie kłamie, i że sceptycy mogą się uspokoić. Kiedy jednak zamiast zakończyć debatę, taki ruch dopiero ją rozpoczyna, oznacza to, że mamy do czynienia z czymś poważniejszym niż błąd komunikacyjny. Mamy do czynienia z problemem strukturalnym.
Tak właśnie wygląda sytuacja z adresem 16aEn4p6hK4FMpLtJGpoQZMZ946sDg1Z6n, który 16 kwietnia 2026 roku Przemysław Kral, prezes zondacrypto, wskazał publicznie jako dowód na to, że giełda dysponuje znaczącymi rezerwami bitcoinów jako bazą zabezpieczającą pod wypłaty klientów. Adres faktycznie istnieje. Na blockchainie widnieje na nim około 4503 bitcoinów, co w przybliżeniu odpowiada wartości ponad 300 mln USD po aktualnym kursie. Problem w tym, że Kral twierdzi, że klucze do portfela posiada zaginiony już poprzedni, „zniknięty” w tajemniczych okolicznościach prezes giełdy Sylwester Suszek i nie wiadomo nawet czy ten portfel faktycznie kiedykolwiek należał do zondacrypto (wówczas mówilibyśmy o właścicielstwie BitBay, zanim nastąpił rebrand w aktualną firmę).
Możemy natomiast przyjrzeć się bliżej co dokładnie i skąd trafiło na portfel i o tym będzie głównie poniższy tekst.
Pokaż kotku co masz w środku
Adres na blockchainie to jak konto bankowe widoczne dla każdego. Można sprawdzić, ile środków się na nim znajduje, kiedy tam trafiły, skąd i czy kiedykolwiek wysłano z niego kryptowaluty. Ta transparentność jest jedną z fundamentalnych cech technologii blockchain i stanowi podstawę całej filozofii proof-of-reserves, czyli bezsprzecznego dowodu na posiadanie rezerw. Jeśli giełda chce udowodnić, że posiada określoną ilość kryptowalut, powinna być w stanie wykazać nie tylko, że dany adres istnieje i ma odpowiednie saldo, ale przede wszystkim że faktycznie kontroluje klucz prywatny do tego adresu (to już wiemy- nie kontrolują). Bez tego dowodu sam adres jest tylko pustą liczbą na ekranie, a twierdzenia o właścicielstwie nie są w żaden sposób wiarygodne.
Jeśli chodzi o suche liczby to historia tego konkretnego adresu jest zdumiewająco prosta. Prawie cały stan portfela pochodzi w zasadzie z dwóch transakcji, które miały miejsce w marcu 2016 roku. Pierwsza, z 6 marca, zasilła adres kwotą 4434 bitcoinów. Druga, z 15 marca, dorzuciła kolejne 69,26 BTC. Od tamtej pory z adresu nie wyszedł ani jeden satoshi. Przez ponad dziesięć lat, przez hossy i bessy, przez regulacyjne rewolucje w branży, przez zmiany zarządów i rebranding firmy, przez całą dekadę dynamicznych zmian na rynku kryptowalut, portfel stał nieruchomo. Jedyne późniejsze aktywności to kilka drobnych mikrotransakcji zwanych dustem, które zazwyczaj są technicznym artefaktem lub próbą tagowania adresów przez boty.
| Obiekt | Data | Kwota | Powiązania / interpretacja | Źródło |
|---|---|---|---|---|
Adres 16aEn4...Dg1Z6n | od 06.03.2016 | 4 503,2591 BTC | brak odpływów; publicznie „uśpiony” | BitInfoCharts / CoinEx / Global Ledger |
Tx 4d1a1058...220b7e | 06.03.2016 08:03:46 UTC | +4 434 BTC | pierwsze zasilenie adresu | BitInfoCharts / publiczne wyniki wyszukiwania tx |
Tx b86e1c73...104bb0 | 15.03.2016 21:29:26 UTC | +69,2586 BTC | drugie i ostatnie duże zasilenie | Blockchair / BitInfoCharts |
Tx 04b13f10...da46dd | 30.06.2025 22:54:49 UTC | +0,00000548 BTC | typowy dust | Blockchair |
Tx 511eb665...39699b | 09.07.2025 00:13:20 UTC | +0,00000548 BTC | typowy dust | Blockchair |
| Blok 945370 / 945459 | 16–17.04.2026 | +0,00003 BTC i +0,000005946 BTC | dalsze mikrowpłaty | BitInfoCharts |
Typowy operacyjny cold wallet giełdy, który przez lata służy jako rezerwa klientów, nie wygląda w ten sposób. Giełdy regularnie przebalansowują środki między portfelami hot i cold, obsługują wypłaty, przeprowadzają audyty wymagające testowych transakcji, zmieniają infrastrukturę bezpieczeństwa. Adres, który przez dekadę nie wysłał ani jednego satoshi, wygląda jak portfel, do którego dostęp utracono lub który świadomie porzucono, niż jak aktywnie zarządzana rezerwa.
Już po ujawnieniu adresu Kral stwierdził zresztą, że dostęp do klucza prywatnego posiada rzekomo Sylwester Suszek, były prezes spółki, który zaginął w tajemniczych okolicznościach po tym, jak ktoś „zgarnął” go do samochodu na jednej ze stacji benzynowych w Czeladzi przy wyłączonych kamerach przemysłowych. Innymi słowy: Kral publicznie pokazuje portfel, deklaruje go jako swój, ale jednocześnie przyznaje, że nie może nim dysponować. Blockchain potwierdza istnienie salda. Nie potwierdza kontroli. A to właśnie kontrola jest tym, co ma jakiekolwiek znaczenie dla klientów.
Przeczytaj też o najnowszych zmianach w protokole Bitcoina:
Bitcoin pod presją: stare portfele mogą zostać zamrożone
Brudne pieniądze na blockchainie jako zabezpieczenie
Niezależnie od kwestii dostępu do klucza, historia pochodzenia środków na adresie jest równie interesująca. Narzędzia do analizy przepływów kryptowalut pozwalają na śledzenie, z jakich źródeł fundusze trafiły na dany adres, nawet jeśli droga jest długa i wieloetapowa. Wyniki analizy dla ww. portfela przedstawia tabela poniżej:
| Kategoria | % | Przykłady | Głębokość / charakter | Odczyt analityczny |
|---|---|---|---|---|
| Suspended Exchange | 49,06% | BTC-e / WEX, MtGox | pośrednio, wiele ścieżek | najwyższa historyczna ekspozycja |
| Unknown Single Wallet Service | 11,90% | nieokreślone | pośrednio | brak publicznego przypisania podmiotu |
| FinCEN Sanctions | 9,72% | UAPS / PinPays / PM2BTC itp. | pośrednio, m.in. depth 2 | podwyższona wrażliwość compliance |
| Small Transactions | 8,63% | liczne małe wejścia | bezpośrednio | dusting / tagowanie / śmieciowe wpłaty |
| Maximum Depth Reached | 8,56% | nieokreślone | pośrednio, do depth 20 | część śladów jest odległa |
| Mixing Service | 2,10% | BitMixer | pośrednio | sygnał AML |
| Exchange + Low-Risk Exchange | 5,61% | Bitfinex, Bithumb, LocalBitcoins | pośrednio | część przepływów ma normalny giełdowy charakter |
Znaczna część śladów prowadzi pośrednio do podmiotów, które są w świecie krypto synonimem problemów. BTC-e i jego następca WEX to giełda, która przez lata służyła do prania pieniędzy na masową skalę i ostatecznie doczekała się wieloletnich postępowań karnych oraz kary blisko 110 milionów dolarów nałożonej przez amerykański FinCEN. MtGox to giełda, której upadek w 2014 roku wstrząsnął całą branżą. BitMixer to tzw. mikser kryptowalutowy, czyli narzędzie służące do zaciemniania ścieżki przepływu środków. Pojawiają się też ślady prowadzące do podmiotów objętych sankcjami.
Pośrednie powiązania w analizie blockchain nie są jeszcze dowodem przestępstwa. W 2016 roku ekosystem kryptowalutowy był znacznie mniej dojrzały regulacyjnie, przepływy między giełdami, serwisami OTC i innymi usługami były chaotyczne i nierzadko przypadkowe. Fundusze, które na którymś etapie długiego łańcucha transakcji zetknęły się ze źródłem o złej reputacji, niekoniecznie same były z automatu nielegalne.
Niemniej jednak dla każdej giełdy, która chce działać w zgodzie z obowiązującymi regulacjami, która poszukuje partnerów i kontrahentów z rynków regulowanych, taki profil ryzyka jest poważnym obciążeniem. Profil, w którym ponad połowa śladów prowadzi do podmiotów objętych blokadami lub postępowaniami regulacyjnymi, jest czerwoną flagą niezależnie od intencji właściciela portfela.
Co gorsza- takie środki bardzo ciężko (lub niemożliwe) byłoby legalnie wypłacić do fiatów, nawet gdyby decydenci w zondacrypto posiadali klucz prywatny do tego portfela.
Zobacz też news o problemach innych platform krypto:
Uwaga, popularna giełda padła ofiarą ataku! Jeżeli z niej korzystałeś należy natychmiast działać
Audyty aż do skutku
Kolejnym problemem jest powiązanie tych środków ze sprawozdaniami finansowymi.
W roku 2021 audytor odmówił wyrażenia opinii o sprawozdaniu zondacrypto ze względu na „ograniczony zakres badania”. W roku 2022 zastrzeżenia dotyczyły kryptowalut wartości 155 milionów euro, co do których brakowało odpowiednich dowodów istnienia i posiadania, szczególnie dla środków przechowywanych u zewnętrznych usługodawców. W roku 2023 audytor stwierdził, że kryptoaktywa o wartości 172 milionów euro zostały wprawdzie zidentyfikowane, ale nie udało się potwierdzić, czy spółka sprawuje nad nimi faktyczną kontrolę w sensie operacyjnym. Zarząd proponował zastąpienie standardowego badania notarialnym poświadczeniem własności, co jest rozwiązaniem niekonwencjonalnym i w standardach audytorskich wysoce niewystarczającym.
Do tego dochodzi niepokojący wątek z raportu za 2024 rok, gdzie spółka ujawniła, że środki klientów mogły być przez nią używane do inwestycji krótko i długoterminowych, zgodnie z warunkami umownymi. Należności pożyczkowe wzrosły w tym samym czasie do 93,6 miliona euro, w tym 75 milionów w pożyczce denominowanej w kryptowalutach. Dla klientów, którzy zakładali, że ich środki są spokojnie przechowywane na zimnym portfelu, taka informacja może być zaskoczeniem.
Jeśli wspomniany przez Krala adres miał być centralnym dowodem bezpieczeństwa rezerw, to przez lata spółka poświadczała że „brudny” portfel do którego nie ma kluczy ma znaczenie operacyjne. Jeśli zaś adres nie był do tej pory głównym cold walletem, lecz teraz nagle nim się stał na potrzeby komunikacji kryzysowej, to nadal nie wiemy gdzie trzymane są „te właściwe” środki. Być może zostały pożyczone?
Mamy w zasadzie do dyspozycji trzy scenariusze, z których każdy jest nieprzyjemny na swój własny sposób.
Nasz pierwszy tekst z pełnym oświadczeniem Krala:
Wybierz swoją truciznę
Pierwszy zakłada, że adres podany przez Krala jest autentycznym historycznym skarbcem z epoki BitBay, zasilonym w 2016 roku i potem nieużywanym. To tłumaczyłoby wiek UTXO, brak wypływów i zbieżność czasową z poprzednim brandem. Nie tłumaczy jednak dlaczego leży nieaktywny. Historyczny cold wallet to nie to samo co aktywna rezerwa.
Drugi scenariusz zakłada, że adres należy do grupy, ale dostęp do niego został faktycznie utracony z powodów opisanych przez prezesa. W tym wariancie 4503 bitcoiny są ekonomicznie martwe mimo tego, że blockchain pokazuje pełne saldo. Dla celów praktycznej wypłacalności zasób nieobsługiwalny jest wart tyle samo co zasób nieistniejący.
Trzeci scenariusz to gra pod publikę. Zakłada, że adres został publicznie pokazany jako dowód bezpieczeństwa rezerw mimo że jest przypadkowym adresem na blockchainie w którym mniej więcej zgadza się kwota wcześniej wspomniana przez Krala.
Odpowiedni dowód wymagałby co najmniej kryptograficznego podpisu wiadomości kluczem prywatnym do adresu, pełnoprawnego proof-of-reserves z zewnętrzną weryfikacją lub przynajmniej jawnej testowej transakcji potwierdzającej kontrolę. Żadnego z tych dowodów w publicznie dostępnych materiałach dotyczących tego adresu nie ma.
Oznacza to, że o ile nie dojdzie do jakiegoś spektakularnego przełomu w sprawie (jak odnalezienie Suszka lub „wypłynięcie” właściwego colda walletu), klienci i wierzyciele zondacrypto mają niewielkie szanse na odzyskanie swoich środków.
Aktualizacja: Minister Sprawiedliwości Żurek ogłosił właśnie wszczęcie postępowania przeciwko zondacrypto z paragrafów o oszustwo i pranie brudnych pieniędzy.
