В Беларуси началось уголовное расследование по факту хищения криптовалюты. По версии следствия, подозреваемый действовал через несколько крипто-кошельков и взаимодействовал с партнёрами по системе P2P-платформ, чтобы скрыть происхождение и масштаб переводов. В материалах дела отмечается, что при небольших операциях деньги уходили с одного кошелька, а при крупных — с другого. После заключения сделки фигурант отвергал свою связь со вторым кошельком и говорил, что «деньги вы переводили не мне».
Эксперты по криптовалютам отмечают, что подобные случаи подчёркивают риски для владельцев цифровых активов и необходимость более жесткого надзора за операциями с цифровыми активами.
Криптовалютам присуща псевдоанонимность в связи с тем, что пользователь может постоянно создавать новые адреса для совершения каждой операции, а установление связи этого нового адреса с конкретным лицом практически невозможно. При этом, даже если пользователь использует для совершения операций один и тот же кошелёк, идентифицировать его тоже далеко не простая задача. Естественно, все это справедливо до тех пор, пока пользователи не прибегают к услугам централизованных криптобирж, которые проводят идентификацию и верификацию своих клиентов. Правоохранители после подачи заявления также не предпринимают попыток такого установления, полагая, что это бесполезно.
Поделюсь опытом поиска похищенных средств, как дополнительный способ предоставления доказательств. Действительно, при выводе средств с «холодных» криптовалютных адресов на биржи или обменные сервисы, проводящие процедуры KYC, данные пользователей становятся доступными, их можно запросить через суд или по запросу правоохранительных органов. Но как быть, если криптовалютные адреса исключительно «холодные».
Вкратце, перед вами стоит задача двух уровней: первая - установить принадлежность конкретного адреса физическому лицу, сервису, компании; вторая - понять особенности адреса по тому, как он ведёт себя в сети — какие сделки он делает, с кем взаимодействует, какие суммы проходят через него. По этим признакам можно сделать вывод не о конкретном владельце, а о том, к какой сущности адрес относится.
Для использования различных методов и их комбинаций для расследования деятельности кошелька, необходимо понимание какие типы криптовалютных кошельков существуют, типы транзакций по формату адреса. Эту информацию можно почерпнуть на специализированных сайтах и форумах.
Эти знания также помогут вам выявить ряд закономерностей, при работе по исследованию деятельности кошельков.
Итак, большинство транзакций в сети биткоин соответствуют типовой транзакции расходования (один вход – два выхода), когда с одного адреса совершается платеж на другой адрес и при этом часть неизрасходованных средств передается на адрес сдачи.
при совершении такой транзакции сдача равна сумме, отправленной адресом отправителем за вычетом суммы, отправленной на основной адрес, и вычетом комиссии:
Сдача = сумма, входящая в транзакцию - сумма, которую получил больший выход – комиссия майнерам за операцию.
Перемещаемая с первого адреса сумма через цепочку адресов уменьшилась на сумму 3-х сдач и 3-х комиссий, но именно по бОльшей сумме мы сможем определить направление вывода средств.
Повторюсь, в качестве примера, мы рассматриваем транзакции в сети биткоин. При инициации криптовалютного платежа пользователь вводит в своем программном кошельке адрес получателя, сумму платежа и размер комиссии за транзакцию. Кошелек выберет адреса входов транзакции и сгенерирует выход для сдачи, если необходимо.
Сумма сдачи при простом расходовании рассчитывается следующим образом: «Сумма входа - сумма платежа - размер транзакции * ставка комиссии сети»
Специально сгенерировать выход со сдачей на круглую сумму пользователю затруднительно. В таком случае вывод заключается в том, что в простой расходной транзакции выход с круглой суммой, вероятно, является платежом, а значит, оставшийся выход предназначен для получения сдачи.
Еще одним видом анализа транзакций может быть исследование, так называемой общей траты. Поскольку разные адреса отправляют средства в одной транзакции и имеют доступ к приватным ключам друг друга, можно предположить, что все они принадлежат одному владельцу или управляются одним сервисом.
Однако, ограничиваться только таким анализом, я бы не стал, поскольку существуют механизмы CoinJoin, позволяющие объединять входы от разных отправителей в одну транзакцию для ее анонимизации. Этим механизмом пользуются криптовалютные миксеры, поэтому очень легко перепутать такую транзакцию с миксером.
Сервисы микширования (миксеры) позволяют пользователям смешивать свои средства со средствами других пользователей, тем самым усложняя возможности по отслеживанию средств для достижения целей анонимности. В блокчейне миксеры выглядят как смешанные транзакции, состоящие из нескольких входов и нескольких выходов. Обычно для миксеров характерно наличие более 4-х входящих и исходящих транзакций, также им присущи одинаковые суммы в транзакции при проведении операций.
Фиксация доказательств заключается в нахождении правил по которым работает алгоритм миксера и определении соответствий между входным адресом и выходным адресом. Для начального уровня познаний – это достаточно сложный процесс, поэтому профессиональные расследователи используют аналитические сервисы.
Хочу отметить, что использование какого-то отдельного метода может быть ошибочным или не дать результат вовсе. Скорее, для фиксации доказательств необходимо использовать комбинации приведенных методов.
Наиболее популярный метод фиксации, это транзакции общей сдачи. В сети биткоин происходит транзакция, узел упаковывает транзакцию и записывает ее в блокчейн-регистр. После осуществления перевода и снятия комиссии за транзакцию оставшиеся средства чаще всего сохраняются на новом адресе (адресе сдачи). Исследование общей сдачи исходит из того, что адрес отправителя и адрес сдачи принадлежат одному владельцу.
Большинство программных биткойн-кошельков для получения сдачи автоматически генерируют новые адреса. Однако существует такое понятие как повторное использование адресов: программный биткоин-кошелек можно настроить так, чтобы направить сдачу на тот же адрес, откуда эта транзакция вышла. Такое поведение обычно указывает на централизованный сервис либо старые версии кошелька Bitcoin Core. Примером такой транзакции может быть:
Значительная часть традиционного блокчейн-анализа основывается на определении выхода со сдачей. Если выход со сдачей можно успешно определить, это дает возможность отследить активность этого пользователя в серии транзакций, увеличивая степень агрегации между несколькими различными адресами.
Применение различных методов может повысить эффективность работы по исследованию взаимосвязей между криптовалютными адресами и позволит определить принадлежность различных адресов одному владельцу, отнести их к определенной категории, либо понять направление движения средств.
Фиксируйте такие доказательства самостоятельно, это позволит сократить время для принятия решения правоохранительными органами. И да, я все-таки настаиваю на комплексном подходе: невозможно довериться одному индикатору, но правильная комбинация признаков и аналитических инструментов может дать ценную информацию. В этом и есть суть современного расследования криптопреступлений: не одна «волшебная» методика, а синергия знаний, технологий и правовой дисциплины.
Если статья оказалась полезной и помогла вам увидеть тему под новым углом, поддержите наш материал простым способом: подпишитесь на обновления, поставьте лайк и сделайте репост — так вы поможете другим читателям найти качественный разбор и поддержите команду в дальнейшем освещении вопросов цифровых активов и киберправоприменения. Ждём ваши комментарии и идеи для следующих материалов — они помогут сделать материалы ещё полезнее и точнее.
ТГ-канал: Деликатный решала