TOR ONION

🌐

Что такое даркнет-маркетплейс

darknet_market // overview.md

⛔

Правовое предупреждение Участие в незаконных даркнет-рынках является уголовным преступлением в большинстве стран мира. Данный материал носит исключительно образовательный и аналитический характер.

Tor Основная сеть

BTC/XMR Криптовалюты

.onion Домены

PGP Шифрование

📖

Определение

Даркнет-маркетплейс — это торговая площадка, работающая в сети Tor или I2P, доступная только через специализированное ПО. Используют анонимные криптовалюты и шифрование для сокрытия личности участников.

📜

История

Первый крупный маркетплейс — Silk Road — был запущен в 2011 году Россом Ульбрихтом. После его закрытия ФБР в 2013 году появились десятки альтернатив с улучшенными механизмами защиты.

⚙️

Технологическая база

Строятся на связке: Tor Hidden Services (скрытые сервисы), криптографические кошельки, системы эскроу, PGP-шифрование коммуникаций и децентрализованные репутационные системы.

🔭

Масштаб явления

По данным исследователей, крупнейшие рынки обрабатывают сотни миллионов долларов ежегодно. Правоохранительные органы регулярно проводят операции по их закрытию.

ℹ️

Не только незаконное Даркнет также используется журналистами, диссидентами и активистами в авторитарных режимах для безопасной коммуникации. Технологии анонимности сами по себе нейтральны.

🔄

Сеть Tor и принцип луковой маршрутизации

tor_network // onion_routing.md

// Путь пакета данных через сеть Tor

💻 Пользователь

→

🔵 Guard Node

→

🟡 Middle Node

→

🔴 Exit / HSDir

→

🌐 .onion сайт

L3

Внешний слой (Guard Node) — знает IP пользователя, но не знает адресата и содержимое

IP скрыт

L2

Средний узел (Middle Node) — знает только предыдущий и следующий узлы, не знает ни источника ни назначения

Ретранслятор

L1

Выходной узел (Exit / HSDir) — для .onion адресов трафик не покидает сеть Tor, соединение происходит через Rendezvous Point

Нет выхода

Hidden Service Protocol
// Как .onion адрес получает подключение

1. Сервер генерирует пару ключей RSA/ED25519
2. Публичный ключ хешируется → .onion адрес
3. Сервер публикует дескрипторы в HSDir (hidden service directory)
4. Клиент находит дескрипторы, выбирает Rendezvous Point
5. Устанавливается зашифрованный тоннель через 6 ретрансляторов

🧅

Луковая маршрутизация

Данные оборачиваются в несколько слоёв шифрования (как луковица). Каждый узел снимает только свой слой и передаёт дальше, не зная полного пути.

🔑

Адреса .onion v3

Современные адреса содержат 56 символов и основаны на алгоритме Ed25519. Адрес — это фактически публичный ключ сервиса, что исключает подделку.

⚠️

Ограничения анонимности Tor не гарантирует абсолютной анонимности. Атаки корреляции трафика, уязвимости браузера и ошибки OpSec пользователей — основные векторы деанонимизации, используемые правоохранительными органами.

🏗️

Архитектура маркетплейса

marketplace // architecture.md

👑

Администраторы

Владеют приватными ключами сервера. Управляют конфигурацией, собирают комиссию (3–10%), принимают решения по спорам высшего уровня.

🛒

Вендоры (продавцы)

Платят депозит (вендорский залог) для верификации. Создают листинги, управляют репутацией, обрабатывают заказы и коммуникации.

👤

Покупатели

Регистрируются (обычно без e-mail). Оставляют отзывы после сделок. Репутация формируется историей транзакций.

⚖️

Модераторы

Разрешают споры между покупателями и вендорами. Часто используется система мультиподписей, где модератор — третья сторона.

🔒

Эскроу система

Средства покупателя блокируются на мультисиг-адресе. Освобождаются вендору только при подтверждении получения товара.

⭐

Рейтинговая система

Отзывы верифицированных покупателей. Рейтинг продавца — ключевой фактор доверия. Накрутка обнаруживается анализом паттернов.

Страницы и разделы типичного маркетплейса

/

Главная страница — новые листинги, топ вендоры, объявления, статус сети

Public

/m

Маркет — каталог с категориями, поиском, фильтрами по цене, рейтингу, локации

Public

/u

Профиль пользователя — история, статистика, PGP-ключ, уровень доверия

Auth

/pm

Личные сообщения — зашифрованный PGP мессенджер для переговоров с вендорами

Auth

/admin

Панель администратора — управление пользователями, финансами, конфигурацией

Admin

💡

Технический стек Большинство маркетплейсов написаны на PHP или Python (Flask/Django), используют SQLite/MariaDB, хранятся на серверах через Tor Hidden Service. Некоторые реализуют полностью децентрализованную архитектуру без центрального сервера.

💰

Финансовые механизмы

finance // crypto_transactions.md

01

Пополнение кошелька

Покупатель создаёт аккаунт, получает уникальный адрес депозита на маркетплейсе. Переводит Bitcoin или Monero через миксеры/CoinJoin для разрыва цепочки отслеживания.

02

Оформление заказа

Средства переходят в эскроу — мультиподписной адрес (2-of-3: покупатель, продавец, модератор). Ни одна из сторон не может получить деньги без согласия другой.

03

Отправка и подтверждение

Продавец отправляет товар, предоставляет трекинг. Покупатель подтверждает получение, средства разблокируются и переходят вендору.

04

Финализация и отзыв

Транзакция закрывается. Покупатель оставляет отзыв. Маркетплейс автоматически удерживает комиссию (обычно 2–6% от суммы сделки).

₿

Bitcoin (BTC)

Исторически первая криптовалюта даркнета. Псевдоанонимна — все транзакции публичны в блокчейне. Требует дополнительных средств анонимизации: миксеры, CoinJoin, Lightning Network.

🔒

Monero (XMR)

Предпочтительная валюта современных маркетплейсов. Использует Ring Signatures, Stealth Addresses и RingCT для полной конфиденциальности. Анализ блокчейна крайне затруднён.

Multisig Escrow // 2-of-3 схема

Ключ_1: Покупатель
Ключ_2: Продавец
Ключ_3: Арбитр (маркетплейс)

// Для разблокировки средств нужны любые 2 из 3 подписей
// Администратор не может украсть деньги единолично

⚠️

Exit Scam Наиболее распространённый вид мошенничества — администраторы внезапно закрывают маркетплейс, присваивая средства из эскроу. Именно поэтому появились системы мультиподписи, исключающие возможность единоличного контроля над средствами.

🛡️

Средства обеспечения анонимности

security // opsec_guide.md

🔐

PGP-шифрование

Вся переписка шифруется публичным ключом получателя. Только владелец приватного ключа может прочитать сообщение. Используется для передачи адресов доставки и конфиденциальной информации.

🌐

Tor Browser

Единственный рекомендуемый браузер. Блокирует JavaScript-эксплойты, WebRTC-утечки, цифровые отпечатки. Регулярно обновляется для закрытия уязвимостей.

💻

Tails OS

Операционная система на базе Linux, запускается с USB, не оставляет следов на диске. Весь трафик принудительно маршрутизируется через Tor. Используется параноидальными пользователями.

🔄

Криптомиксеры

Сервисы для «отмывания» криптовалюты: смешивают монеты множества пользователей, разрывая связь между входящим и исходящим адресом в блокчейне.

📬

Dead Drop

Метод доставки физических товаров: продавец прячет товар в тайнике и сообщает координаты. Исключает личный контакт и позволяет анонимно получить посылку.

🎭

OpSec (Operational Security)

Комплекс мер: использование одноразовых аккаунтов, уникальные ники, никогда не раскрывать личную информацию, не смешивать реальную и анонимную деятельность.

Типичные ошибки OpSec, которые приводят к деанонимизации

01

Повторное использование адресов — один биткоин-адрес для нескольких транзакций позволяет отследить всю историю

Критично

02

JavaScript в Tor — даже в браузере Tor JS-эксплойты могут раскрыть реальный IP адрес

Критично

03

Уникальный стиль написания — стилометрический анализ текстов позволяет идентифицировать автора

Высокий

04

Метаданные файлов — EXIF данных в фото может содержать GPS-координаты и модель устройства

Высокий

05

Использование реального адреса — доставка на домашний адрес или почтовый ящик с видеонаблюдением

Критично

♻️

Жизненный цикл маркетплейса

operations // lifecycle.md

I

Запуск и набор пользователей

Рекламируется на форумах даркнета (Dread, аналоги Reddit). Предлагает низкие комиссии и вендорские залоги для привлечения продавцов. Инвайт-система для контроля доступа.

II

Рост и консолидация

Увеличение базы вендоров и покупателей, улучшение функциональности. Маркетплейс начинает занимать значимую долю рынка. Конкуренция за пользователей с другими площадками.

III

Пик активности и угрозы

Максимальный оборот. Привлекает внимание правоохранительных органов. Угрозы: DDoS-атаки от конкурентов, внедрение агентов под прикрытием, технические уязвимости.

IV

Закрытие

Три сценария: 1) Захват серверов правоохранительными органами; 2) Exit scam — администраторы исчезают с деньгами; 3) Добровольное закрытие из соображений безопасности.

V

Миграция пользователей

После закрытия площадки пользователи мигрируют на альтернативы. Если закрытие произошло из-за правоохранительных органов — часть пользователей деанонимизируется.

📊

Средний срок жизни маркетплейса По данным академических исследований, средняя продолжительность работы крупного даркнет-маркетплейса составляет около 8–12 месяцев. Лишь единицы работали более 2–3 лет до закрытия.

⚡

Риски, угрозы и методы расследования

threats // law_enforcement.md

🚨

Активная работа правоохранительных органов Операции Europol, ФБР, ФСБ и других ведомств регулярно приводят к арестам. Агенты под прикрытием — стандартная практика расследований даркнет-площадок.

🕵️

Агенты под прикрытием

Правоохранители создают аккаунты, совершают сделки, собирают доказательства. При захвате маркетплейса получают доступ к базам данных переписки и транзакций.

🔗

Анализ блокчейна

Компании (Chainalysis, CipherTrace) специализируются на деанонимизации Bitcoin транзакций. Даже через миксеры можно восстановить цепочку при наличии точки входа/выхода.

📡

Атаки на Tor

Атаки корреляции трафика, анализ времени задержек, захват выходных узлов. Государственные акторы способны контролировать значительную часть инфраструктуры сети.

🎯

Физическое наблюдение

При доставке физических товаров — наблюдение за почтовыми ящиками, контролируемые поставки, сотрудничество с почтовыми службами разных стран.

💸

Скам и мошенничество

Фиктивные листинги, подмена адресов кошельков, phishing-сайты с похожими .onion адресами. Фишинг — одна из главных угроз для покупателей.

🦠

Малварь

Вредоносное ПО, распространяемое через торговые площадки. Клипперы подменяют адреса криптокошельков в буфере обмена. Кейлоггеры перехватывают пароли.

Известные операции правоохранительных органов

2013

Silk Road — закрытие ФБР. Основатель Росс Ульбрихт арестован после деанонимизации через CAPTCHA-сервис

FBI

2017

AlphaBay & Hansa — операция Bayonet. Europol намеренно управлял Hansa 27 дней, собирая данные о пользователях перед закрытием

Europol / DEA

2021

DarkMarket — крупнейший маркетплейс на тот момент, закрыт Europol. Захвачено 20 серверов в Украине и Молдове

Europol

2022

Hydra Market — крупнейшая русскоязычная площадка закрыта совместной операцией США и Германии. Конфисковано $25 млн

BKA / DOJ

⚖️

Правовые последствия Участие в даркнет-маркетплейсах — тяжкое уголовное преступление с реальными сроками заключения. Технические меры анонимности не защищают от ошибок поведения и методов физического расследования.

🔗

Ссылки и зеркала

access // mirrors_and_links.md

⛔

Предупреждение о фишинге Подавляющее большинство «актуальных ссылок» в открытом интернете являются фишинговыми. Они созданы для кражи криптовалюты и учётных данных. Раздел описывает механизмы — не конкретные ресурсы.

Как найти актуальную ссылку на сайт

ℹ️

Проблема: ссылки постоянно меняются Даркнет-сайты не имеют постоянных адресов — .onion ссылки меняются при перезапуске сервиса, после DDoS-атак или превентивно из соображений безопасности. Это основная причина существования зеркал и агрегаторов ссылок.

01

Официальные каналы площадки

Крупные маркетплейсы ведут верифицированные каналы в Telegram, Thread-посты на форуме Dread (даркнет-аналог Reddit) или отдельный «канарейка»-сайт, где публикуют актуальные адреса с PGP-подписью администраторов. Подпись можно проверить публичным ключом, который публиковался с момента запуска площадки.

02

Агрегаторы и индексаторы

Существуют специализированные .onion сайты-каталоги, которые отслеживают доступность рынков и публикуют актуальные адреса. Однако агрегаторы сами становятся мишенями фишеров — рядом с реальной ссылкой может находиться поддельная. Проверка через PGP-подпись остаётся единственным надёжным методом верификации.

03

Сообщества и форумы

Тематические форумы (darknet-аналоги Reddit, специализированные чаты) где участники верифицируют ссылки коллективно. Актуальная ссылка, подтверждённая множеством независимых участников с репутацией, вызывает больше доверия, чем анонимный пост.

04

Проверка подлинности ссылки

Перед использованием любой ссылки: сверить с PGP-подписью администратора, убедиться что адрес совпадает с ранее известным (первые и последние символы), проверить SSL-сертификат внутри Tor (некоторые .onion сайты его используют), не вводить учётные данные если что-то вызывает сомнения.

Что такое зеркало сайта и как оно работает

💡

Зеркало (Mirror) Зеркало — это полная копия сайта, работающая на отдельном .onion адресе с тем же контентом и базой данных. Используется для повышения доступности и устойчивости к атакам.

🪞

Технический принцип

Зеркало — это второй (или третий) Hidden Service, указывающий на тот же backend-сервер или на реплику базы данных. Оба адреса обслуживают одинаковый контент, аккаунты и кошельки синхронизированы в реальном времени через зашифрованный канал.

⚡

Зачем нужны зеркала

Основная причина — устойчивость к DDoS-атакам. Если один адрес перегружен или недоступен, пользователи переключаются на зеркало. Также используется для балансировки нагрузки между несколькими серверами в разных юрисдикциях.

🔀

Типы зеркал

Горячее зеркало — синхронизировано в реальном времени, полностью идентично. Холодное зеркало — статическая копия для чтения, актуализируется периодически. Резервное — активируется только при падении основного.

🎭

Поддельные зеркала (фишинг)

Злоумышленники создают визуально идентичные копии сайтов на похожих .onion адресах. Пользователь вводит логин/пароль, деньги перенаправляются мошеннику. Отличить можно только через PGP-верификацию официального адреса.

Схема работы зеркал
// Один backend — несколько точек доступа

onion_address_1.onion ──┐
onion_address_2.onion ──┤──→ Backend Server ──→ Database
onion_address_3.onion ──┘

// Все три адреса — официальные зеркала одного маркетплейса
// Авторизация и кошельки — единая база данных

✓

Опубликовано в официальном канале — администратор разместил адрес с PGP-подписью, которая верифицируется их публичным ключом

Доверенное

?

Упомянуто на форуме — несколько участников с репутацией подтвердили работоспособность, но нет PGP-подписи администратора

Осторожно

✗

Найдено в поисковике / анонимный пост — неизвестный источник без верификации. Вероятность фишинга крайне высока

Не доверять

⚠️

Правило одного источника Единственный надёжный способ получить актуальную ссылку — верифицированный PGP-подписанный пост от администраторов площадки. Любой другой источник является потенциально скомпрометированным. Потеря криптовалюты через фишинговые зеркала необратима.