Как работает blockchain transparency

Начнём с фундамента. Публичный блокчейн — это распределённая база данных, в которой каждая транзакция записана навечно и видна всем. Bitcoin, Ethereum, BSC, Tron, Polygon, Arbitrum, Avalanche — все они устроены по этому принципу. Когда мошенник переводит ваши деньги со своего адреса на следующий, эта запись появляется в сети в течение секунд и остаётся там навсегда.

Есть две основные модели работы блокчейна, и это важно понимать для трассировки. UTXO-модель (Bitcoin, Litecoin, Bitcoin Cash) — средства представлены как набор «монеток» (unspent outputs), каждая из которых тратится целиком. Account-модель (Ethereum, BSC, Tron, большинство современных сетей) — это балансы на адресах, как банковские счета. Разница принципиальна: в UTXO мы видим, из каких именно входов собрана транзакция, что даёт мощные эвристики для кластеризации; в account-модели проще следовать за балансом, но сложнее объединять адреса одного владельца.

В каждой транзакции фиксируется минимум пять вещей: адрес отправителя, адрес получателя, сумма, временная метка (block timestamp) и комиссия. В Ethereum-подобных сетях добавляется поле input data — это вызовы смарт-контрактов, которые позволяют видеть не просто переводы, а свопы на Uniswap, депозиты в лендинг, bridge-операции, взаимодействие с миксером Tornado Cash.

Ключевой миф, который надо развеять сразу: адреса не анонимны, они псевдонимны. Сам по себе адрес 0xABC...123 ничего не говорит о владельце. Но как только этот адрес хоть раз взаимодействовал с сервисом, проходящим KYC (биржа, on-ramp, OTC), связь между адресом и личностью зафиксирована в базах данных compliance-отделов и forensics-компаний. А дальше эта связь распространяется по всей цепочке через эвристики кластеризации.

Что видят Chainalysis, TRM Labs и Elliptic

Три компании доминируют на рынке blockchain-форензики: Chainalysis (основной партнёр FBI, DEA, IRS), TRM Labs (быстро растущий игрок с фокусом на compliance и investigation) и Elliptic (сильный акцент на санкционный скрининг и банки). Все трое решают одну и ту же задачу — превратить публичные, но сырые данные блокчейна в actionable разведку — но делают это через три собственные базы данных и собственные эвристики.

На техническом уровне работу этих инструментов можно свести к трём слоям.

Слой 1. Clustering эвристики. Алгоритмы объединения адресов по признаку единого владельца. Основные: common-input-ownership heuristic (если два адреса появились в inputs одной транзакции — они контролируются одним лицом, классическая эвристика для BTC); change address detection (выявление «сдачи» по паттернам поведения кошелька); behavioural clustering (группировка по времени активности, размерам транзакций, комиссиям); peel chain detection (последовательные транзакции с отщеплением небольших сумм — типичный паттерн отмывания). В результате один реальный кошелёк на выходе может содержать десятки тысяч адресов, сгруппированных в один кластер.

Слой 2. Attribution базы. Это самое ценное, чего нет у бесплатных explorers. Chainalysis утверждает о 1+ миллиарде размеченных адресов. Категории: биржи (Binance, Coinbase, Bybit, OKX, Kraken — с точностью до конкретных депозитных и горячих кошельков), OTC-сервисы, миксеры (Tornado Cash, Wasabi, ChipMixer), dark markets, ransomware-группы, известные скам-проекты, OFAC-санкционные адреса, северокорейские группы вроде Lazarus. Эти базы пополняются как из публичных источников (судебные дела, санкции), так и из внутренней аналитики и partnerships с самими биржами.

Слой 3. Real-time monitoring и alerts. Партнёры форензик-компаний (Interpol, FinCEN, большинство крупных бирж) получают автоматические предупреждения, когда средства с маркированного как «фрод» адреса пытаются попасть в их системы. Это то, что даёт возврату реальный шанс: биржа не просто узнает о проблеме — она узнаёт о ней до того, как деньги будут обналичены.

Разница между Etherscan и Chainalysis — как разница между телефонным справочником и полноценной системой оперативного учёта. Оба показывают данные, но только один превращает их в действие.

Что невозможно увидеть

Трассировка — мощный инструмент, но у неё есть чёткие границы. Есть сценарии, где цепочка обрывается физически, и никакой forensics это изменить не может.

Приватные монеты (Monero, Zcash shielded, Dash PrivateSend)

Monero использует ring signatures, stealth addresses и RingCT — протокольные механизмы, которые скрывают отправителя, получателя и сумму транзакции. Анализ on-chain данных Monero на данный момент не даёт достоверных результатов; академические работы показывают лишь вероятностные атаки при старых версиях протокола. Zcash поддерживает два типа адресов: прозрачные (t-addresses), которые трассируются как обычные, и экранированные (z-addresses) — они полностью непроницаемы через zk-SNARKs. Dash PrivateSend использует CoinJoin под капотом и частично трассируется.

CoinJoin миксеры (Wasabi, Samourai) при правильном использовании

CoinJoin — это транзакция, в которой несколько пользователей объединяют свои входы и получают выходы одинакового номинала. После этого привязка «кто получил что» становится вероятностной. Wasabi Wallet и Samourai Wallet автоматизируют это с координатором. Важный нюанс: если пользователь смешивает неправильно (например, оставляет change connected to pre-mix address), tracing всё ещё работает. Но при чистом использовании и достаточном anonymity set — цепочка фактически рвётся.

Off-chain переводы (Lightning Network и некоторые каналы)

Lightning Network — это layer-2 поверх Bitcoin. Транзакции внутри каналов не попадают в основной блокчейн — видны только открытие и закрытие канала. Внутри маршрутизации Lightning достичь полной прозрачности невозможно. На практике суммы в Lightning редко превышают несколько тысяч долларов, поэтому для крупных краж это ограничение встречается нечасто.

Физический OTC-обмен без on-chain следа

Если мошенник встретился с покупателем и обменял крипту на наличные без перевода на биржу — on-chain виден только последний перевод на кошелёк контрагента, но дальше следов нет. Такая схема типична для отмывания в юрисдикциях с развитой неформальной OTC-сетью. Здесь работают уже не blockchain forensics, а традиционные оперативно-розыскные методы.

Путь украденных средств — типичный маршрут

За сотни кейсов мы видели один и тот же базовый маршрут, по которому идут украденные средства. Его стоит знать, потому что на каждом шаге есть окно возможностей для перехвата:

  1. Кража → первый адрес мошенника. Сразу после получения средств скамер обычно не трогает деньги 1–6 часов — ждёт, «поднялся ли шум». Это ваше самое критичное окно реагирования.
  2. Промежуточные wallets (splitting). Сумма дробится на 3–10 меньших частей и распределяется по «одноразовым» адресам, чтобы сломать автоматическую кластеризацию и растянуть время обналичивания.
  3. Cross-chain bridges. Перевод из ETH в BSC, из BSC в Tron, из Tron обратно в ETH. Каждый bridge — это смена сети и частичная потеря автоматического отслеживания у слабых tracking-систем. Chainalysis и TRM умеют следовать через bridges (Wormhole, Stargate, Thorchain), но анализ занимает больше времени.
  4. DEX-свопы. Uniswap, PancakeSwap, Curve. Часто используются не для реального обмена, а чтобы запутать tracker: USDT → ETH → WBTC → USDT. Форензик-инструменты это видят, но визуальная карта усложняется.
  5. Mixer или CoinJoin. Tornado Cash (до санкций OFAC 2022), Wasabi, ChipMixer, Sinbad. После санкций OFAC многие платформы автоматически блокируют депозиты с выходов Tornado Cash — это сильно ударило по эффективности отмывания.
  6. Re-aggregation на чистом адресе. После микшера средства пересобираются на новом адресе, который формально не имеет никакой связи с исходным. В идеальном случае для мошенника — это «чистый» адрес.
  7. Deposit на CEX для обналичивания. Финальная точка: Binance, OKX, Kraken, Bybit, Coinbase, реже — локальные биржи вроде Garantex (под санкциями OFAC). Именно здесь мы и ловим. Если compliance сработал — деньги заморожены. Если не сработал — скамер выводит фиат или покупает товары/другую крипту.

Когда трассировка даёт шанс на возврат

Честная матрица условий, при которых мы готовы браться за кейс с положительной оценкой:

  • Средства ещё не успели уйти в mixer или приватные монеты. Если в цепочке видна только конвертация между прозрачными сетями — мы идём дальше.
  • Конечная точка — регулируемая биржа с полноценным KYC. Binance, Coinbase, Kraken, Bybit, OKX. Compliance-отделы этих бирж сотрудничают с forensics-компаниями.
  • Прошло меньше 60 дней с момента кражи. После 60 дней средства обычно уже конвертированы в фиат или ушли цепочкой из анализируемой юрисдикции.
  • Сумма достаточна для юридических действий (от $10K). Ниже этого порога экономика возврата не сходится — работа с compliance и юристами стоит дороже потенциальной выгоды.
  • У вас есть TX hash и точные адреса. Не описание «мошенник сказал мне перевести», а конкретные on-chain данные.

Хотите проверить шанс на возврат?

Отправьте TX hash в Telegram-бот — получите первичный tracing-анализ и оценку шанса в течение 15 минут.

Telegram-бот

Когда уже поздно

Столь же честный список ситуаций, когда трассировка не поможет — и где профессионал должен сказать это клиенту прямо:

  • Cash-out завершён больше 90 дней назад. Деньги уже в фиате или покупках. Теоретически расследование продолжается, но без активной точки давления.
  • Монеты конвертированы в Monero. Следы теряются на этапе свопа USDT → XMR на нерегулируемом обменнике.
  • Средства прогнаны через Tornado Cash + несколько свопов. Даже если выход Tornado Cash замечен биржей — деньги уже перетасованы со свопами и раздроблены дальше.
  • Сумма меньше $2K и цепочка в 5+ шагов. Экономически нерентабельно: подготовка полноценного tracing-отчёта стоит дороже, чем потенциальный возврат.

В таких случаях мы открыто говорим клиенту: профессиональный tracing здесь не даст результата. Лучше направить силы на предотвращение повторной кражи — аудит безопасности кошелька, смена устройства, настройка холодного хранения.

Инструменты: что используем профессионалы

Понимание инструментария помогает отличить компетентного forensics-аналитика от самоназначенного «эксперта»:

  • Chainalysis Reactor. Основной инструмент law enforcement по всему миру. Визуальная карта транзакций, attribution, clustering, risk scoring. Лицензия от $30K в год — физически недоступна любителям.
  • TRM Forensics. Конкурент Chainalysis, сильная сторона — cross-chain анализ и compliance-workflows. Используется compliance-отделами бирж.
  • Elliptic Investigator. Европейский лидер, специализируется на санкционном скрининге. Основные клиенты — банки, финансовые регуляторы.
  • Бесплатные explorers (Etherscan, Blockchair, mempool.space). Показывают сырые транзакции, балансы, вызовы смарт-контрактов. Не показывают: clustering, attribution, cross-chain связи, риск-скоринг, visual path analysis.

Отсюда простое правило. Если «специалист» показывает вам скриншот Etherscan как доказательство работы — это не tracing, это базовый просмотр блокчейна, который может сделать любой пользователь за 5 минут. Реальный tracing report содержит визуальную карту, имена контрагентов, оценку рисков и пригоден для приложения к compliance-запросу или судебному делу.

Как выглядит tracing report на практике

Чтобы не оставалось абстракций, опишем конкретно, что входит в профессиональный отчёт после 20–40 часов работы аналитика:

  • Визуальная карта транзакций. Графовое представление: узлы — адреса и сервисы, рёбра — транзакции. Видны все точки обмена, bridges, свопы, депозиты на биржи.
  • Attribution по каждому значимому адресу. Не просто 0xABC..., а «депозитный адрес Binance», «Tornado Cash 0.1 ETH pool», «OTC-сервис Foo».
  • Оценка рисков (risk score) и категория активности. Для каждой точки в цепочке указывается уровень риска: high-risk (миксер, dark market, санкционный адрес), medium-risk (неидентифицированный high-volume), low-risk (регулируемая биржа).
  • Identification конечных точек. Список всех адресов, на которых средства сейчас находятся или через которые прошли. С указанием платформы и времени.
  • Приложение в формате CSV и PDF. Для приложения к compliance-запросу, заявлению в МВД, иску в суд.

Кто и когда получает отчёт: клиент получает его под NDA — обычно в течение 3–7 дней после заключения договора. Compliance-отдел биржи — по запросу через официальный канал law enforcement liaison (не просто через support). Правоохранительные органы (МВД, СК, Interpol) — как приложение к заявлению о преступлении.

Пример: как выглядит cross-chain tracing

Типичный кейс: клиент потерял 40,000 USDT на Ethereum через фишинг. Через 48 часов tracing показал такую цепочку: ERC20 USDT → swap на Uniswap в WBTC → bridge через Stargate в BSC → swap на PancakeSwap в USDT → bridge через Wormhole в Tron → депозит на аккаунт Binance.

Общее время прохождения цепочки — 11 часов. Финальная точка — депозитный адрес Binance, принадлежащий конкретному верифицированному аккаунту. Tracing-отчёт передан в Binance compliance; средства заморожены в течение 36 часов после получения запроса. Дальнейший возврат — через МВД и судебный процесс.

Что делать если адрес мошенника уже известен

Если вы располагаете TX hash и адресом получателя, последовательность действий такова:

01

Публичные источники

Проверьте адрес в ScamSniffer, Chainabuse, CryptoScamDB. Иногда мошенник уже засвечен.

02

Бесплатная диагностика

Отправьте TX hash в forensics-компанию для первичной оценки шанса на возврат.

03

Технический tracing

Полный отчёт Chainalysis / TRM с картой, attribution и приложениями для биржи.

04

Compliance + МВД

Подача отчёта в compliance бирж и заявление в МВД для официального запроса.

Параллельно: ничего не публикуйте в открытых чатах. Каждый пост в Telegram-чате «меня развели, вот адрес» — это предупреждение мошеннику ускорить обналичивание. Детали кейса передаются только под NDA профессионалам. Подробнее о шагах в первые 24 часа — в гиде по возврату.

Короткий тест

Если с момента потери прошло менее 30 дней, у вас есть TX hash и сумма более $5K — шанс на возврат реален. Если не совпадает хотя бы один из трёх пунктов, это не значит «нет шанса» — это значит «сначала диагностика, потом решение». Бесплатный первичный анализ займёт 1–2 часа и даст вам честный ответ без давления.