Найти в Дзене
AML Crypto
303 подписчика

Рассказываем как происходят расследования краж криптовалют

1
7 мин
Оглавление

Расследование криптовалютных инцидентов — это процесс анализа движения цифровых активов после краж, взломов или мошеннических схем. В отличие от традиционной финансовой системы, где транзакции проходят через банки и регулируемые структуры, блокчейн предоставляет полную прозрачность: каждая операция навсегда фиксируется в распределённом реестре. Однако именно эта «прозрачная анонимность» и делает расследование одновременно возможным и сложным.

Главная задача такого расследования — понять, как похищенные или незаконно полученные средства перемещаются в сети:

  • каким образом злоумышленники пытаются «отмыть» деньги через сервисы микширования, мосты (bridges) или DeFi-протоколы;
  • на какие централизованные биржи (CEX) в итоге попадают активы для вывода в фиат или обмена на более ликвидные токены.

По сути, расследование — это поиск «финансового следа», который преступники пытаются максимально усложнить. И здесь на помощь приходят специальные инструменты и методики анализа блокчейна, позволяющие отследить цепочку транзакций, выявить связи между кошельками и в конечном счёте — приблизиться к реальным фигурантам дела.

Когда злоумышленники пытаются скрыть следы украденных криптовалют, они используют разные схемы отмывания. Чаще всего цель одна — разорвать прямую связь между изначальным кошельком и конечным выводом средств. Для этого применяются мосты и переходы между сетями, миксеры и свапы на DEX, дробление на множество адресов, перевод в стейблкоины или приватные монеты. Также всё чаще встречается использование решений второго уровня (Layer 2) и комбинирование нескольких методов подряд.

Основные схемы отмывания

-2

Мосты (bridges) – перевод активов из одной сети в другую, чтобы усложнить отслеживание.

-3

Миксеры (mixers / tumblers) – смешивание средств с чужими транзакциями для разрыва связей.

DEX-свапы – обмен на другие токены через децентрализованные биржи (Uniswap, PancakeSwap и др.).

Дробление (peel chain) – постепенное распределение средств малыми частями на множество адресов.

-4

Chain hopping (прыжки между сетями) – последовательные обмены через мосты и DEX в разных блокчейнах.

Использование стейблкоинов – конвертация в USDT/USDC/DAI для упрощения вывода или хранения.

Privacy-монеты – перевод в Monero (XMR), Zcash или Dash, где анонимность выше.

Layer 2 / Rollups – использование решений второго уровня (Arbitrum, Optimism) для «растворения» транзакций.

Методы отслеживания адресов в блокчейне

-5

В рамках расследования одна из ключевых задач заключается в установлении достоверной связи между адресами, находящимися под контролем предполагаемых злоумышленников, и централизованными сервисами (CEX). Для этого применялся комплекс аналитических методов, используемых в международной практике blockchain-forensics. Ниже представлены основные подходы.

1. Детерминированный трекинг (Deterministic Tracing)

Метод применяется в случаях, когда средства перемещаются напрямую и непрерывно от адреса фигуранта к кошелькам централизованных платформ. Он эффективен при следующих условиях:

  • транзакции следуют друг за другом без значительного вмешательства сторонних адресов;
  • отсутствуют операции по микшированию или смене сети (например, TRON → TRON);
  • маршрут может быть полностью восстановлен с помощью блокчейн-эксплореров (Tronscan, BSCscan и др.).

Подтверждение связи в этом случае основано на непрерывной последовательности транзакционных хэшей и временных меток.

2. Кластеризация и поведенческий анализ (Cluster & Behavioral Analysis)

Применяется для выявления групп адресов, которые с высокой вероятностью контролируются одним субъектом. Основаниями для объединения выступают:

  • совпадение источников или получателей средств;
  • синхронная активность;
  • повторяющиеся модели распределения активов;
  • общие технические признаки (например, IP или устройства при наличии данных от CEX).

Такой подход позволяет доказательно связать большое количество промежуточных адресов в единую группу, а значит, и установить принадлежность активов одному оператору.

3. Анализ примеси (Taint Analysis / Coin Flow Scoring)

Методика направлена на оценку степени «загрязнённости» адресов, вступивших в контакт с незаконно полученными средствами. С её помощью можно определить:

  • процентное содержание похищенных активов на конечных кошельках;
  • долю активов, дошедших до бирж даже после их смешивания с «чистыми» средствами;
  • вероятность участия адреса в операциях по отмыванию средств.

Анализ примеси незаменим при сложных схемах, включающих использование миксеров, мостов или P2P-обменов.

4. Временная и объёмная корреляция (Temporal & Volume Correlation)

Метод основывается на сопоставлении транзакционной активности по времени и объёму. Он включает в себя:

  • выявление совпадений времени поступления и последующего вывода средств;
  • анализ сходных объёмов переводов;
  • оценку временных интервалов (time gap) между транзакциями.

Применение данного подхода повышает степень уверенности в принадлежности адресов одной и той же транзакционной цепочке.

5. Анализ конечных адресов (CEX Deposit Attribution)

Метод используется для подтверждения факта поступления средств на конкретные централизованные сервисы. Основные источники подтверждения:

  • базы данных известных депозитных адресов (как открытые, так и закрытые);
  • официальная информация от бирж;
  • сигнатуры адресов (мемо, тег, chain id).

Этот анализ необходим для фиксации юридически значимой «точки остановки» активов — момента их попадания на централизованную платформу.

Применение указанных методов в совокупности позволяет аналитически и логически подтвердить происхождение активов, восстановить маршрут их движения и определить конечную дислокацию.

Блокировка средств и конечная цель расследования

Ключевым этапом любого расследования в сфере blockchain-forensics является установление фактического контролёра похищенных активов и фиксация движения средств до момента их попадания на контролируемую площадку (в первую очередь — централизованную биржу).

Блокировка активов на стороне биржи выполняет две стратегические функции:

  1. Превентивную — предотвращает дальнейшее перемещение и «отмывание» похищенных средств;
  2. Доказательную — обеспечивает сохранение данных, которые могут подтвердить связь между транзакцией и конкретным пользователем.

Важно понимать, что сама по себе блокировка — это не финал расследования, а инструмент для удержания активов в доступном юридическом поле до установления личности злоумышленника и принятия правового решения.

Конечная цель блокчейн-расследования

Несмотря на техническую направленность, блокчейн-расследование имеет юридическую и процессуальную цельустановление лица, совершившего хищение.

Именно через идентификацию контролёра кошельков и сбор доказательств, подтверждающих его связь с преступной активностью, расследование выходит из «технической плоскости» в правовую сферу ответственности.

Блокчейн предоставляет полную прозрачность транзакций, но не раскрывает, кто именно стоит за конкретными адресами. Поэтому на завершающем этапе расследования решающую роль играют централизованные сервисы (CEX), где:

  • проводится верификация пользователей (KYC/AML);
  • сохраняются логи входов, IP-адреса, устройства;
  • фиксируются внутренние идентификаторы и движения средств между аккаунтами.

Через эти данные можно установить реального владельца или пользователя аккаунта, на который поступили похищенные средства.

Завершение расследования

После установления личности злоумышленника возможны несколько сценариев завершения дела:

  1. Судебное разбирательство — возбуждение уголовного дела, предъявление обвинения и последующее рассмотрение в суде, включая ходатайства о конфискации активов.
  2. Переговоры с злоумышленником — в некоторых случаях, особенно при киберинцидентах без организованной структуры, допускается досудебное урегулирование или возврат средств по согласованию сторон (в том числе при посредничестве биржи или правоохранительных органов).
  3. Международное сотрудничество — если фигурант или биржа находятся за пределами юрисдикции, расследование продолжается в рамках межгосударственных процедур (MLA, запросы INTERPOL, Egmont и др.).

Таким образом, блокчейн-расследование — это не просто анализ транзакций, а комплексный процесс установления личности злоумышленника, блокировки активов и доведения дела до процессуального результата — судебного решения или возврата похищенных средств.

Список источников

Блокчейн-экплореры:

-6

Сервисы для получения разметки по криптовалютным адресам:

-7

Эксплореры по основным децентрализованным мостам:

-8

Визуализаторы смарт-контрактов:

-9

Работа с Big Data:

-10

Создание графов связей:

-11

Трекинг адресов в блокчейне:

-12