Как отслеживают перемещение криптовалют. Введение в блокчейн-трейсинг

Расследование инцидентов, связанных с цифровыми активами, — это процесс изучения перемещения криптовалюты после краж, взломов или различных мошеннических схем. GetBlock AML Research публикует краткое руководство по блокчейн-трейсингу.

В отличие от традиционной финансовой сферы, где операции проходят через банки и регулируемые компании, блокчейн работает иначе: каждая транзакция становится частью открытого журнала, который невозможно изменить. Но именно сочетание прозрачности и псевдонимности создает двойственный эффект — расследование становится одновременно и доступным, и технически сложным.

Основная цель такого анализа — понять, как перемещаются украденные или незаконно полученные активы. Важно установить:

• какими способами злоумышленники пытаются скрыть следы — через сервисы смешивания, мосты между сетями или DeFi-протоколы;
• на какие централизованные биржи в конечном итоге поступают средства для вывода в фиат или обмена.

По своей сути расследование напоминает поиск «финансового следа», который преступники стремятся максимально запутать. Этому противостоят специальные методики анализа блокчейна, позволяющие восстановить цепочку транзакций, обнаружить связи между кошельками и в итоге приблизиться к конкретным фигурантам.

Чтобы спрятать путь украденных средств, злоумышленники используют разнообразные способы обфускации. Их основная задача — разорвать связь между исходным адресом и конечным получателем. В ход идут мосты для переходов между сетями, смешивание активов, обмены на DEX, разбиение на множество мелких сумм, конвертация в стейблкоины или более приватные монеты. Все чаще применяется также перевод в решения второго уровня и комбинирование сразу нескольких методов подряд.

Основные способы сокрытия происхождения средств

• Бриджи (bridges) — перенос активов из одной сети в другую, усложняющий отслеживание.
• Миксеры — методы смешивания монет, исключающие прямую связь между транзакциями.
• DEX-обмены — перевод средств в другие токены на децентрализованных площадках.
• Peel-chain (дробление) — отправка небольших сумм на множество разных адресов.
• Chain hopping — последовательные операции в нескольких сетях подряд.
• Перевод в стейблкоины — упрощение хранения и вывода средств.
• Privacy-коины — уход в сети с повышенным уровнем анонимности (например, XMR).
• Использование Layer 2 и rollups — растворение транзакций среди более массивных потоков данных второго уровня.

Методы отслеживания адресов в ходе расследования

Одной из ключевых задач расследования является установление связи между адресами, находящимися под контролем предполагаемых злоумышленников, и централизованными сервисами, через которые средства могут быть выведены. Для этого применяется комплекс аналитических подходов, широко используемых в профессиональной практике блокчейн-аналитики.

Детерминированный анализ (Deterministic Tracing)

Этот метод применяется в ситуациях, когда средства движутся по прямой цепочке без вмешательства множества посторонних адресов. Он эффективен, когда:

• транзакции идут последовательно и без смешивания;
• сеть не меняется (например, TRON → TRON);
• весь путь легко прослеживается через открытые обозреватели.

Подтверждение связи основывается на цепочке хэшей и временных меток без разрывов.

Кластеризация и поведенческий анализ

Используется для выявления групп адресов, управляемых одним и тем же субъектом. В качестве критериев учитываются:

• общие источники и получатели средств;
• одновременная активность;
• повторяющиеся шаблоны движения активов;
• общие технические признаки.

Этот подход позволяет объединить множество промежуточных адресов и доказать их принадлежность одному оператору.

Анализ примеси (Taint Analysis)

Позволяет определить степень «зараженности» адресов, соприкасавшихся с украденными средствами. Метод помогает выяснить:

• какая доля похищенных средств попала на тот или иной адрес;
• какая часть дошла до бирж, даже после смешивания;
• участвовал ли адрес в отмывании.

Анализ примеси особенно важен при сложных схемах с использованием миксеров, мостов и P2P-площадок.

Корреляция по времени и объему

Метод предполагает сопоставление транзакций по:

• времени отправки и получения;
• объему операций;
• интервалам между переводами.

Так удается повысить точность установления принадлежности адресов одной цепочке событий.

Определение конечных депозитных адресов (CEX Attribution)

Метод помогает установить факт поступления активов на централизованные сервисы. Подтверждение используют:

• базы известных депозитных адресов;
• данные от бирж;
• идентификаторы типа мемо или тегов.

Это позволяет точно зафиксировать момент, когда средства пересекают границу централизованной площадки.

Совокупное использование этих методов помогает восстановить весь путь активов, установить контролера и определить конечную точку вывода.

Блокировка средств и финальная цель расследования

Одним из ключевых этапов является определение лица, фактически управляющего похищенными активами, и фиксация перемещения средств до момента их попадания на платформу, контролируемую централизованно.

Блокировка активов на стороне биржи выполняет два критически важных назначения:

• Превентивное — остановка дальнейшего движения украденных средств.
• Доказательное — сохранение данных, подтверждающих связь пользователя с конкретными транзакциями.

Важно понимать, что блокировка — не финал расследования, а инструмент, позволяющий удерживать активы в зоне действия закона до установления фактического злоумышленника.

Итоги расследования

Несмотря на техническую составляющую, итоговый результат расследования всегда юридический. Он заключается в установлении личности человека, связанного с незаконными транзакциями.

Блокчейн показывает все движения средств, но не раскрывает, кто управляет адресами. Поэтому на завершающем этапе основную роль играют централизованные сервисы, где хранятся:

• логины и устройства пользователей;
• IP-адреса;
• внутренние идентификаторы и история операций.

Благодаря этим данным возможно установить человека, на чей аккаунт поступили похищенные активы.

Завершение расследования

После идентификации фигуранта возможны несколько вариантов развития событий:

• Судебный процесс — возбуждение дела, обвинение, конфискация активов.
• Досудебные переговоры — возврат средств по соглашению сторон или через посредников.
• Международное сотрудничество — если участники или площадки находятся в других странах, дело перерастает в формат межгосударственных процедур.

Таким образом, расследование в блокчейн-среде — это комплексная работа, включающая анализ транзакций, установление контролера активов, блокировку средств и юридическое завершение процесса — от суда до возврата похищенного.