Кудрин Евгений
Green Team
- 02.12.2025
- 14
- 2
- Специализация
- Threat Intelligence
- Безопасность ИИ / LLM
Крипторынок уже давно перестал быть игрушкой для энтузиастов: он встроился в финансовую реальность, оброс инфраструктурой и регуляцией, но вместе с этим стал удобной площадкой для криптовалютного фрода. Прозрачность блокчейна парадоксальна — все транзакции на виду, но за адресами часто скрываются вполне реальные, но не слишком добропорядочные люди. В результате мы получаем занятную экосистему, где рядом сосуществуют DeFi-инновации и банальные мошеннические схемы, только завернутые в более технологичную оболочку. И если раньше злоумышленнику хватало пары кошельков, то теперь в ход идут миксеры, мосты и аккуратно выстроенные цепочки, усложняющие отслеживание.
Но есть и хорошая новость: инструменты и подходы к крипто-расследованию тоже эволюционируют. То, что раньше выглядело как набор разрозненных транзакций, сегодня разбирается через блокчейн-анализ и полноценную блокчейн-форенизику. Платформы вроде Chainalysis Reactor и open-source решения наподобие OXT Research позволяют проводить деанонимизацию крипты (crypto de-anonymization), а такие техники, как mixer analysis (анализ миксеров) и cross-chain tracking (отслеживание между блокчейнами), постепенно сводят «анонимность» к вопросу времени и бюджета. Сегодня мы разберём этот вопрос более подробно.
1. Ландшафт крипто-мошенничества
1.1 Типы мошенничества
Криптовалютный фрод давно перестал быть чем-то однообразным — это уже целый зоопарк схем, где каждая маскируется под «инновацию». Rug pulls (резкое изъятие ликвидности разработчиками) в DeFi выглядят как внезапно сдувшийся проект, Понцы схемы переехали в токеномику и yield farming (DeFi-практика получения дохода за предоставление криптоактивов в ликвидность), а инвест-скамы эволюционировали в аккуратно выстроенные легенды с фейковыми трейдерами и «аналитиками». Отдельно стоит ransomware (вымогательство с шифрованием данных), где крипта используется как платёжный рельс, и pig butchering (длительное «откармливание» жертвы перед обманом), сочетающий социальную инженерию с криптопереводами.С точки зрения расследования криптовалютного мошенничества важно не столько название схемы, сколько её on-chain поведение. Например, для rug pull характерен резкий вывод ликвидности, для Ponzi — каскад входящих транзакций с последующим перераспределением, а для ransomware — чётко выделенные ransom-кошельки с типичной структурой сборов. Понимание этих паттернов позволяет быстрее перейти от общей категории «криптовалютный фрод» к конкретному сценарию и выбрать правильную стратегию анализа.
1.2 Объёмы и тренды
Если открыть Chainalysis Crypto Crime Report, становится очевидно: речь давно идёт не о маргинальных суммах. Потери от криптовалютного мошенничества в 2024–2025 годах измеряются миллиардами, и при этом меняется структура атак — меньше «тупых» схем, больше гибридов с элементами социальной инженерии и технической обфускации. Особенно заметен рост investment scams и pig butchering, где злоумышленники играют в долгую и собирают крупные чеки с одной жертвы.Интересно, что при всей публичности блокчейна злоумышленники активно используют multi-chain подход: средства быстро гоняются между сетями, дробятся и смешиваются. Это создаёт иллюзию усложнения расследования, но на практике даёт больше точек наблюдения. Для AML compliance это означает сдвиг фокуса — от статических blacklist’ов к динамическому анализу потоков и поведению адресов во времени.
1.3 Регуляторный контекст
Регуляция в крипте — это не столько про запреты, сколько про точки зацепа для аналитика. FATF Travel Rule (требование передачи данных о отправителе и получателе между VASP), европейский MiCA (Markets in Crypto-Assets regulation) и локальные требования формируют среду, где анонимность становится условной. Как только средства попадают в зону взаимодействия с централизованными сервисами, появляется шанс на деанонимизацию через KYC.В России борьба с криптовалютным мошенничеством строится не вокруг отдельной статьи “про крипту”, а через связку общих уголовных норм о мошенничестве, отмывании доходов, незаконной предпринимательской деятельности и налоговых нарушениях, а также через финансовый контроль по 115-ФЗ и мониторинг подозрительных операций банками и Росфинмониторингом. При этом криптовалюта рассматривается как имущество и объект, который можно изымать, арестовывать и конфисковывать, а регулирование постепенно ужесточается за счёт требований к лицензированию посредников, блокировок нелегальных сервисов и использования блокчейн-аналитики для отслеживания транзакций и связей между кошельками и фигурантами.
С практической точки зрения AML compliance — это не просто «галочка для регулятора», а один из ключевых инструментов блокчейн-форензики. Биржи, провайдеры кошельков и платёжные сервисы становятся теми самыми chokepoints, где on-chain данные можно связать с off-chain идентичностью. Поэтому современное крипто-расследование почти всегда строится на стыке: блокчейн-анализ даёт маршрут, а регуляторная инфраструктура — имена.
2. Инструменты блокчейн-анализа
2.1 Chainalysis Reactor
Chainalysis Reactor — это по сути стандарт де-факто для тех, кто занимается крипто-расследованием всерьёз. Он превращает сухой блокчейн-анализ (blockchain analysis) в наглядный граф: адреса, транзакции и связи между ними визуализируются так, что даже сложные цепочки начинают читаться как карта. Особенно полезна функция counterparty identification (идентификация контрагентов), когда система сама подсказывает, что за адресом, скорее всего, стоит биржа, сервис или уже известный кластер.На практике Reactor экономит часы ручного анализа: можно быстро отследить поток средств, выделить ключевые узлы и понять, где имеет смысл «копать» глубже. Но магии здесь нет — инструмент хорош ровно настолько, насколько аналитик понимает, что он видит. Ошибки в интерпретации графа или слепое доверие тегам могут увести расследование в сторону, особенно в сложных сценариях с миксерами и DeFi.
2.2 Crystal Intelligence
Crystal Intelligence делает ставку на прикладной AML compliance: здесь меньше визуальной «вау-графики», но больше про системную оценку рисков. Ключевая фича — risk scoring (оценка риска адреса), где каждому кошельку присваивается уровень подозрительности на основе его истории и связей. Это удобно, когда нужно быстро понять, с кем вообще имеет дело — случайным пользователем или участником криптовалютного фрода.Кроме того, Crystal хорошо ложится в процессы compliance checking (проверка на соответствие требованиям): мониторинг транзакций, алерты, интеграции с внутренними системами. Для расследования это означает возможность не только анализировать постфактум, но и ловить подозрительную активность в моменте, что особенно важно для бирж и финтеха.
2.3 Open-source инструменты
Если коммерческие платформы — это «тяжёлая артиллерия», то open-source инструменты дают гибкость и независимость. OXT Research — один из самых полезных инструментов для Bitcoin, позволяющий детально разбирать транзакции, применять эвристики и фактически проводить полноценную blockchain forensics (криминалистику блокчейна) без подписки. В связке с Etherscan для Ethereum и Breadcrumbs для визуального анализа получается вполне рабочий стек.Главное преимущество такого подхода — прозрачность: ты сам видишь данные и сам строишь гипотезы, без чёрного ящика. Это особенно важно при верификации результатов или работе с нестандартными кейсами, где автоматические теги могут подвести. В реальных расследованиях чаще всего используется комбинация: быстрый проход через Chainalysis Reactor, а затем углубление через OXT Research и другие open-source инструменты.
3. Методология расследования
3.1 Кластерный анализ
В основе любого крипто-расследования лежит попытка ответить на простой вопрос: сколько адресов на самом деле контролирует один и тот же человек. Здесь в игру вступает кластерный анализ — набор эвристик, позволяющих группировать адреса в кластеры. Самая известная — common input ownership heuristic (эвристика общего владения входами): если в одной транзакции используются несколько адресов как входы, с высокой вероятностью они принадлежат одному владельцу.Дополняет это change address detection (определение адреса сдачи), когда система пытается понять, какой из выходов транзакции — это реальный перевод, а какой возврат остатка отправителю. В связке эти методы позволяют постепенно «собирать» кошельки в более крупные сущности. Да, это не идеальная наука, а скорее инженерная практика с вероятностями, но в рамках blockchain forensics такие кластеры часто становятся отправной точкой для дальнейшей деанонимизации крипты (crypto de-anonymization).
3.2 Пылевые атаки (dust attacks)
Dust attacks (пылевые атаки) — это тот случай, когда микротранзакции несут куда больше смысла, чем их номинал. Злоумышленник или аналитик рассылает «пыль» — крошечные суммы — на множество адресов, рассчитывая, что при последующих транзакциях эти средства будут объединены с другими входами. А дальше снова включается та самая common input heuristic, и адреса начинают «склеиваться» в кластеры.С точки зрения расследования это может выглядеть как побочный эффект чужой атаки, но иногда — как полезный сигнал. Если адрес жертвы или подозреваемого попал под dust attack, это даёт дополнительный материал для анализа связей. Правда, полагаться только на это нельзя: современные кошельки и пользователи всё чаще учитывают такие риски, а значит, сигнал становится менее надёжным.
3.3 Timing analysis
Timing analysis (анализ временных корреляций) — менее очевидный, но часто недооценённый инструмент. Идея проста: транзакции в блокчейне происходят не в вакууме, а синхронно с действиями пользователя — логинами, действиями в интерфейсах, даже с его часовым поясом. Сопоставляя время операций с внешними событиями, можно сузить круг подозреваемых или подтвердить гипотезу о принадлежности адреса.На практике это особенно хорошо работает в связке с off-chain данными: логами сервисов, данными от провайдеров или KYC-информацией. В рамках крипто-расследования такой подход помогает превратить абстрактный поток транзакций в поведенческую модель. И вот здесь расследование окончательно выходит за пределы «просто блокчейна» и становится тем, чем и должно быть — полноценной цифровой криминалистикой.
4. Сложные сценарии
4.1 Миксеры и CoinJoin
Миксеры — это любимая игрушка тех, кто хочет усложнить жизнь аналитикам, но не сделать её невозможной. Сервисы вроде Tornado Cash и Wasabi Wallet используют механики mixer analysis (анализ миксеров) и CoinJoin (объединение транзакций нескольких пользователей в одну), чтобы разорвать прямую связь между входом и выходом. На бумаге это выглядит как «анонимизация», на практике — как повышение стоимости и сложности анализа.Тем не менее, даже здесь остаются зацепки. Анализ объёмов, временных окон, паттернов ввода и вывода, а также повторяющихся сумм позволяет строить вероятностные связи. Это не прямая деанонимизация крипты (crypto de-anonymization), а скорее работа с гипотезами разной степени уверенности. И да, чем аккуратнее пользователь работает с миксером, тем меньше сигналов он оставляет — но полностью «исчезнуть» из поля зрения blockchain forensics всё ещё сложно.
4.2 Cross-chain отслеживание
Когда средства начинают прыгать между сетями, многие ожидают, что расследование на этом закончится. На деле cross-chain tracking (отслеживание между блокчейнами) часто даже упрощает задачу. Мосты (bridges) и wrapped tokens (обёрнутые токены) выступают в роли chokepoints — мест, где актив из одной сети формально «запирается», а в другой — выпускается его эквивалент.Эти точки хорошо логируются и часто контролируются ограниченным числом контрактов или операторов. В результате можно связать адрес в одной сети с адресом в другой, даже если дальше средства продолжают движение через DeFi. Для крипто-расследования это означает, что multi-chain схемы — это не столько защита, сколько дополнительный слой данных, который можно использовать.
4.3 DeFi-протоколы
DeFi — это место, где деньги двигаются быстро, а логика иногда сложнее, чем сами мошеннические схемы. DEX (децентрализованные биржи) вроде Uniswap и PancakeSwap работают через AMM (automated market maker — автоматический маркет-мейкер), где обмен идёт не напрямую между пользователями, а через пулы ликвидности. На первый взгляд это ломает привычный трейсинг: нет явного контрагента, только контракт.Но на практике всё прозрачно: каждый своп — это последовательность вызовов контрактов, которую можно восстановить. В рамках блокчейн-форензики это означает, что путь средств через DeFi вполне отслеживаем, просто требует больше внимания к деталям. Более того, такие операции часто оставляют характерные паттерны, по которым можно отличить обычную торговлю от попытки «прогнать» средства в рамках криптовалютного фрода.
5. Практический кейс
Рассмотрим теперь, как технология блокчейн‑анализа превращается из теории в инструмент для конкретного расследования: от обнаружения первого признака фрода до выстраивания полной цепочки перемещений средств и их последующей деанонимизации через интеграцию ончейн‑данных и оффчейн‑инфраструктуры.5.1 Сценарий атаки
Типичный investment scam (инвестиционное мошенничество) начинается скучно: жертве показывают «доходность», немного дают заработать, а затем аккуратно подводят к крупному переводу. В нашем кейсе всё по классике — 5 BTC и 50 ETH уходят на адреса, которые на первый взгляд выглядят как обычные пользовательские кошельки. Никаких явных red flags, кроме разве что слишком красивой истории.Если смотреть шире, это стандартный криптовалютный фрод с элементами социальной инженерии, но интерес начинается дальше — в том, как средства начинают двигаться. Почти сразу они дробятся, частично уходят в миксеры, а затем появляются в других сетях. То есть перед нами не «однокошелёчная» схема, а полноценная попытка запутать следы с использованием mixer analysis и cross-chain tracking.
5.2 Пошаговое расследование
Расследование начинается с базового блокчейн-анализа (blockchain analysis): адрес жертвы → первая точка вывода. Через Chainalysis Reactor строится граф транзакций, выделяются кластеры и ключевые узлы. Дальше подключается OXT Research для более детального разбора BTC-транзакций и проверки эвристик. На этом этапе уже видно, где средства проходят через миксеры, и где появляются потенциальные точки выхода.Следующий шаг — работа на стыке ончейн и оффчейн. Через cross-chain tracking связываются адреса в разных сетях, а затем ищутся взаимодействия с централизованными сервисами. Как только часть средств попадает на биржу, включается AML compliance: запросы, KYC correlation (сопоставление с KYC-данными), и в итоге — конкретный аккаунт. Это и есть тот момент, где деанонимизация крипты (crypto de-anonymization) перестаёт быть теорией и превращается в практический результат.
5.3 Результат и отчётность
Финальный этап — это не «мы нашли злоумышленника», а аккуратная упаковка результатов. Все шаги расследования фиксируются: от исходных транзакций до построения кластеров и прохождения через миксеры и мосты. Важно, чтобы любой внешний участник мог воспроизвести логику анализа — это базовое требование для blockchain forensics.Отчёт оформляется в формате, понятном правоохранительным органам, например CARIN (Camden Asset Recovery Interagency Network — стандарт представления данных по возврату активов). Здесь уже меньше технической романтики и больше прагматики: адреса, таймлайны, суммы, связи и точки входа в регулируемую инфраструктуру. В итоге крипто-расследование замыкается — от абстрактных транзакций к вполне конкретным юридическим действиям.
