Как отслеживают криптовалютные адреса: полное руководство

Несмотря на то, что криптовалютная индустрия сильно изменилась за последние годы и стала более регулируемой, преступники все еще используют цифровые деньги для отмывания средств, вымогательства, торговли наркотиками, обхода санкций и финансирования террористических группировок. Поэтому следователям приходится уметь работать с криптовалютами и использовать их как доказательства в расследованиях. GetBlock AML Research раскрывает детали анализа криптовалютных адресов, который используется в расследованиях.

Представьте, что в деле появляется подозрительный криптовалютный адрес. Или известно, что была проведена конкретная оплата в криптовалюте, но неясно, как ее отследить. С чего начать? На что обратить внимание? Каким образом превратить данные из блокчейна в полезную информацию для дела?

Этот материал дает практическую схему для расследований с использованием криптовалют. В нем объясняются два разных подхода, которые применяются в зависимости от ситуации, а также описываются конкретные приемы, помогающие добывать нужные сведения. Самое важное — разобраться, что криптовалютные расследования не такие уж сложные и технически запутанные, как может показаться на первый взгляд.

Что важно знать о криптовалютных адресах

Когда человек впервые видит криптовалютный адрес, он кажется случайным набором букв и цифр, вроде такого: 1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa. На деле это похоже на номер банковского счета, но с рядом особенностей:

деньги можно отправить на адрес без разрешения владельца, никто не может запретить поступления;

• все прозрачно — любой человек может посмотреть историю транзакций этого адреса;
• адресы можно создавать мгновенно и в неограниченном количестве;
• адреса не показывают напрямую, кто их владелец;
• все переводы навсегда записаны в блокчейне и не могут быть удалены;
• транзакции работают по всему миру, без банков и посредников.

Для следователей эти особенности означают как новые возможности, так и трудности. С одной стороны, все прозрачно, и это дает полную историю движения средств. С другой — из-за анонимности и легкости создания новых адресов преступники могут быстро запутывать след.

В тексте мы будем использовать слова «адрес» и «кошелек» как равнозначные. Технически кошелек — это программа, которая может управлять сразу несколькими адресами, но в расследованиях эти термины часто путают.

Два подхода к расследованию

Любое расследование в мире криптовалют можно разделить на два типа. Все зависит от того, с какой информации вы начинаете. Правильный выбор метода помогает экономить время и увеличивает шансы выйти на результат.

1. Подход через связи и окружение

Если у следователя есть адрес, но нет деталей, например, он найден в переписке или в телефоне подозреваемого, это называется расследованием связей. Цель — понять, с какими другими адресами этот кошелек «дружит» и как он используется.

Сначала смотрят на первую транзакцию. Кто отправил деньги на этот адрес? Если это крупная биржа, значит, владелец, скорее всего, вывел деньги со своего аккаунта, чтобы хранить их отдельно.

Если же первая транзакция пришла от другого кошелька, в который перед этим отправили весь баланс, возможно, речь идет о переносе средств самим владельцем. Это как переложить деньги из одного кармана в другой. С виду похоже на передачу другим людям, но фактически все остается у одного человека. Преступники часто используют такие приемы, чтобы усложнить отслеживание.

Дальше исследуют «образ жизни» кошелька. Получает ли он много мелких платежей, а потом делает один крупный перевод? Это может говорить о том, что кто-то собирает оплату за услуги или товары. Например, десятки переводов по 50–200 долларов, а затем один перевод на 8 тысяч — возможный признак торговли запрещенными веществами.

Важно смотреть и на регулярность. Если кошелек раз в неделю отправляет деньги одним и тем же адресам, это похоже на постоянные расчеты или деловые связи. Также обращают внимание на суммы. Люди любят круглые числа — переводы ровно на 500 или 1000 долларов часто говорят о преднамеренных действиях.

Значение имеет и скорость движения денег. Средства могут лежать неделями, а могут уходить через пару часов. Быстрое движение похоже на отмывание денег, а долгие накопления — на подготовку крупной покупки.

Ключевой момент — понять, где деньги обналичиваются. В конечном счете преступникам нужны обычные деньги, поэтому они выводят криптовалюту в реальный мир: через биржи, банкоматы, обменные сервисы. Именно эти точки дают следователям шанс выйти на личность преступника.

2. Подход через отслеживание во времени

Бывает и другая ситуация: нужно отследить конкретный перевод, который уже признан подозрительным. Допустим, известно, что 15 июня преступная группа получила 25 тысяч долларов в криптовалюте. В этом случае неважно, чем занимался кошелек раньше. Важно проследить именно этот перевод.

Задача — идти по цепочке транзакций: куда ушли деньги, с кем они смешались, как разделились на части. Если, например, 25 тысяч сложили вместе с 30 тысячами других средств, и через час вышел перевод на 55 тысяч, следователь продолжает отслеживать уже всю сумму.

Цель проста — следить за деньгами до тех пор, пока не появится возможность принять меры: выйти на обменный сервис, зафиксировать покупку товара, найти связь с другим подозреваемым. Такой метод превращает отдельный перевод в целую картину финансовой деятельности.

Пять полезных приемов

Независимо от подхода, есть универсальные техники, которые помогают находить улики:

• Определить прямых контрагентов. Найти, с кем кошелек работает напрямую: с биржами, сервисами, другими пользователями. Это первые точки, где можно запросить данные.
• Анализировать шаблоны. Систематические небольшие платежи и редкие крупные выводы похожи на работу магазина. Слишком сложные схемы с десятками лишних переводов часто говорят о попытке запутать следы.
• Смотреть на оплату комиссий. За переводы всегда платят комиссию в основной валюте сети. Тот, кто платит эту комиссию, обычно и контролирует кошелек.
• Обращать внимание на переходы между разными блокчейнами. Преступники все чаще переводят деньги между разными криптовалютами и сетями, думая, что это замаскирует следы. Но такие переводы все равно можно отследить.
• Строить хронологию. Для суда или прокурора важно видеть не технические детали, а историю событий: откуда деньги пришли, как двигались и где закончились.

Постоянные записи как преимущество

В отличие от банковских систем, где данные могут быть неполными или скрытыми, блокчейн хранит все транзакции навсегда и с точными отметками времени. Поэтому при правильном подходе расследования с использованием криптовалют могут быть даже более убедительными.

С чего начать

Многие думают, что работа с криптовалютами требует глубоких технических знаний. На самом деле главное — терпение, внимание к деталям и умение видеть закономерности.

Когда криптовалютные данные становятся частью общей картины расследования, они помогают связывать экономические преступления, кибератаки и международные сети. Например, организованные группировки, финансирующиеся через криптовалюту, можно рассматривать не изолированно, а как часть больших схем. Это дает возможность выстраивать полное понимание их финансовой инфраструктуры.