Основы исследования криптовалют

Основы исследования криптовалют
Криптовалюты представляют собой новый вид цифровых финансовых активов, обращение которых осуществляется путем ведения реестра транзакций в блокчейн-сетях. На апрель 2021 года число криптовалют превышало 4800 (из которых было зарегистрировано и торговалось на криптобиржах 2541 криптовалюты). Наибольшей капитализацией из криптовалют обладают Bitcoin (удерживающий до 56% рынка), Ethereum, XRP, Bitcoin Cash, Litecoin и Stellar - говорит основатель компании Интернет-Розыск Игорь Бедеров.

Криптовалюты имеют существенные отличия от привычных финансовых транзакций, совершаемых при помощи банковских счетов, карт или централизованных электронных денег.

Во-первых, криптовалюты не нуждаются в регуляторе или эмитенте для своего функционирования. При этом все транзакции криптовалюты публичны и контролируются лишь путем ведения реестра данных операций, который называется - блокчейн.

Во-вторых, владельцы криптовалюты считаются анонимными. На практике это означает, что в публичном блокчейне полностью отсутствуют данные о фактическом владельце того или иного криптовалютного кошелька. Криптокошелёк — это эквивалент банковского счёта, на котором пользователи хранят свою криптовалюту и совершают транзакции. Различают программный "холодный" кошелёк (в виде приложения или токена), не имеющий выхода в сеть и "горячий" веб-кошелёк, имеющий доступ к сети. Кроме того, пользователь имеет фактически неограниченную возможность создания уникальных адресов (примерный аналог - номер банковского счета) для своего криптовалютного кошелька.

В-третьих, осуществление транзакций криптовалюты осуществляется не напрямую, а путем смешения групп транзакций в блоки (отсюда и название "блокчейн" - от англ. "цепь из блоков"). Блок транзакций — специальная структура для записи группы транзакций в блокчейн. Эта особенность позволяет подтверждать и перепроверять совершенные транзакции, делая криптовалютные операции прозрачными для любого пользователя. Исследователь всегда может просмотреть блокчейн в таких обозревателях, как: btc.com, etherscan.io, localmonero.co и др.

Отсутствие, в течении длительного времени, регулирования оборота криптовалют и их относительная анонимность предопределили интерес к ним со стороны преступных сообществ и отдельных правонарушителей. Сегодня криптовалюты активно используются при осуществлении купли-продажи запрещенных товаров и услуг, отмывании денежных средств, финансировании терроризма, а также кибермошенничестве и распространении вредоносного (вымогательского) программного обеспечения.

ОСНОВЫ ИССЛЕДОВАНИЯ КРИПТОВАЛЮТ

Текущая практика проведения расследований правонарушений, связанных с оборотом криптовалют, предполагает необходимость отслеживания всей цепочки совершения транзакций от момента совершения правонарушения и до предполагаемого обналичивания (обмена) криптовалюты на «фиатные деньги» (прим. не обеспеченные золотом и другими драгоценными металлами деньги, номинальная стоимость которых устанавливается и гарантируется государством вне зависимости от стоимости материала, использованного для их изготовления) на криптовалютной бирже, в обменнике или ATM. Для отслеживания транзакций можно использовать ряд общедоступных онлайн-сервисов, таких как: blockchain.com, blockchair.com, btc.com, blockcypher.com, sochain.com, tokenview.com, blockonomics.co, bitref.com. Визуальное отслеживание транзакций можно организовать при помощи сервисов graphsense.info, blockpath.com, c-hound.ai, sicp.ueba.su или репозитория github.com/s0md3v/Orbit. Также для этого можно использовать программный комплекс Maltego или его аналоги, использующиеся в работе Европола и Интерпола.

Каждый криптовалютный кошелек, входящий в анализируемую цепочку транзакций, должен быть проверен на предмет принадлежности к существующим криптобиржам (Binance, BitMEX, Coinbase, Huobi и др.) или иным сущностям. Общедоступные ресурсы walletexplorer.com, bitinfocharts.com и oxt.me позволяют соотнести криптовалютные кошельки с деятельностью криптобирж. Любая криптовалютная биржа или обменник проводит идентификацию своих клиентов в рамках процедуры KYC (знай своего клиента, входящая в политику противодействия отмыванию денег), поэтому после установления принадлежности криптокошелька, входящего в изучаемую цепочку транзакций, в адрес криптовалютной биржи или обменника следует направить официальных запрос на получение данных пользователя кошелька или на приостановление дальнейшего использования кошелька.

Отзывы третьих лиц об использовании того или иного криптокошелька в противоправной деятельности можно найти на следующих сайтах: bitcoinabuse.com, bitcoinwhoswho.com, checkbitcoinaddress.com, cryptscam.com, scam-alert.io. А скоринговую оценку, в соответствии с рекомендациями FATF (группа разработки финансовых мер борьбы с отмыванием денег) можно провести при помощи ресурса: bitrankverified.com.

Имеется еще несколько ресурсов, полезных при исследовании криптовалютных транзакций. Так, подтвердить факт наличие связи между двумя криптокошельками (аффилированности) можно в сервисе learnmeabitcoin.com/tools/path. Ресурс cryptocurrencyalerting.com/wallet-watch.html дает возможность поставить на мониторинг использования криптокошелька, чтобы своевременно зафиксировать начало движения средств на нём.

При изучении вопроса альтернативной идентификации владельцев криптовалютных кошельков, важно отметить несколько ключевых моментов.

Во-первых, ручные (неавтоматизированные) методы подобной работы крайне неэффективны, дороги и сложны в исполнении. Более того, все технологические преступления в будущем будут предупреждаться и раскрываться исключительно за счет сбора больших данных. И задача расследователей, такие большие данные собирать.

Во-вторых, большие данные необходимо анализировать. Сегодняшний их объем таков, что человеческий мозг попросту неспособен будет это сделать. Это означает то, что нам нужны специализированные информационно-аналитические решения, которые смогут автоматизировать и стандартизировать этот процесс.

В-третьих, необходимо повсеместное повышение квалификации широких масс сотрудников правоохранительных органов и расследователей, а также создание новых методик проведения расследования преступлений, с опорой на большие данные, а также результаты их анализа.

ПРИЁМЫ ИДЕНТИФИКАЦИИ КРИПТОКОШЕЛЬКОВ

1. Прямое сопоставление данных. Не следует пренебрегать прямым ручным поиском упоминаний проверяемых криптокошельков в поисковых системах Яндекс, Google или Даркнет-поисковиках. Этот поиск, разумеется, нужно автоматизировать. Это позволит проводить ретроспективный анализ и собирать дополнительные данные, пригодные для идентификации. Отдельным приемом сбора больших данных является поиск обобщенных списков идентифицированных кошельков и утечек информации.

2. Эвристический анализ повторяющихся входов. "Вход" транзакции содержит отправителя транзакции, а "выход" - получателя транзакции. Кроме этих данных, вход и выход содержат сведения о сумме и подтверждение факта транзакции. При помощи сбора и анализа больших данных можно установить принадлежность адресов криптокошельков получателю криптовалюты. Это могут быть промежуточные адреса кошельков, а также адреса криптокошельков связей. Об этом говорится в исследовании NEC Laboratories Europe.

3. Эвристический анализ изменения адресов. Криптокошелек может генерировать новые адреса, как автоматически, так и вручную. Однако, самый первый созданный криптокошелек никуда не пропадал. Если отправить на него криптовалюту, то они придут. Зная эту особенность работы блокчейна, можно добраться до оригинального криптокошелька пользователя, а также отнести большое число адресов к одному пользователю. Правда работать это будет также при наличии возможности сбора и анализа больших данных. Новые адреса кошельков генерируются в рамках одной НОДы и по единой системе. Кроме того, они имеют схожие транзакции. Все это позволяет выявлять и относить новые адреса к той или иной сущности.

4. Кластерный анализ соединяет и усиливает достижения обоих видов эвристики. С помощью первой эвристики исследователи смогли разделить сеть 5.579.176 кластеров пользователей. Затем исследователи расширили вторую эвристику, ведь если злоумышленник может идентифицировать измененные биткоин адреса, то он потенциально может разбить на кластеры не только адреса ввода, но и изменения этих адресов. Использование предложенного метода позволило выявить адреса криптобирж и некоторых биткоин-казино, используя лишь небольшое количество идентифицированных транзакций сети.

5. Использование "графа знаний" предполагает ранжирование и группировку условно анонимных кошельков по отношению к крупнейшим известным криптокошелькам (теневым маркетплейсам, биржам, площадкам с азартными играми и хакерским группам).

6. Электронно-цифровые следы. Любой сторонний веб-трекер может идентифицировать пользователей криптовалют, которые используют её для оплаты на интернет-сайте. У нас есть дата и время совершения покупки на внешнем сайта. От них мы можем получить электронно-цифровой след устройства пользователя и соотнести их с конкретной транзакцией в блокчейне или кластером (пулом криптокошельков, отнесенных к тому или иному пользователю). Разумеется, если мы имеем возможность организации захвата IP-адреса, который инициировал широковещательную передачу транзакции, то мы можем и прослушивать трафик. Это позволит нам установить связь IP-адреса пользователя с его идентификатором в сети Bitcoin. Такая атака производится вручную и достаточно сложна. При этом точность деанонимизации в ней составляет не более 30%.

АНОНИМИЗАЦИЯ ТРАНЗАКЦИЙ

В целях повышения анонимности криптовалют пользователи применяют различные техники. Одним из первых приемов, повышающих анонимность криптовалютных транзакций, был обмен одной криптовалюты на другую, совершаемый на криптовалютной бирже. Пользователь имеет возможность завести Биткоины в криптовалютную биржу и вывести их в другой криптовалюте. Также он может запросить вывод биткоинов через некоторое время, чтобы произошло "естественное" перемешивание старых биткоинов и усложнилась возможность их отслеживания. Разумеется, в рамках процедуры KYC, криптобиржи обязаны идентифицировать всех своих пользователей и передавать сведения о них по запросу правоохранительных органов. Поэтому данный прием перестал считаться эффективным.

Другим приемом анонимизации криптовалюты стало использование "криптовалютных миксеров". Пользователь отправляет криптовалюту на адрес миксера, где она смешивается с иными транзакциями. На выходе получается "чистая" криптовалюта, которая переводится владельцу. На практике оказалось, что отслеживать миксеры не так сложно. Требовалось лишь группировать адреса микшеров, а затем сравнивать суммы входов и выходов в ограниченном временном диапазоне. Кроме этого, миксеры имели ещё один существенный недостаток - большинство кошельков, входящих в миксеры, достаточно быстро начинают фигурировать в скам-листах (списках неблагонадежных), которые формируют специализированные информационно-аналитические сервисы.

Наиболее конфиденциальными для совершения транзакций считаются "анонимные криптовалюты". Блокчейны анонимных криптовалют изначально частично или полностью скрывают данные транзакций (адреса отправителя и получателя, сумму сделки и др.). К числу популярных анонимных криптовалют относят: Dash, Monero, Zcash и ряд других. Недостаток всех анонимных криптовалют – низкая ликвидность и слабое принятие вне криптовалютного сообщества и бирж. Кроме этого, реально анонимной криптовалютой в криминальном мире считается лишь Monero. Остальные "анонимные криптовалюты" проводят до 70% транзакций в открытом блокчейне. Разработки электронно-аналитических систем, предназначенных для отслеживания анонимных криптовалют, начались в США с 2018 года. Один из первых таких инструментов был разработан в августе 2020 года по заказу Министерства внутренней безопасности США (DHS) американской компанией CipherTrace.

ПОЛЕЗНАЯ ЛИТЕРАТУРА:

Авдошин С.М., Лазаренко А.В. "Методы деанонимизации пользователей биткоин". https://www.cryptolux.org/images/a/a1/Ccsfp614s-biryukovATS.pdf

А. Бирюков, Д.Ховратович. И.Пустогаров. "Деанонимизация клиентов биткоин P2P-сетях". https://ispranproceedings.elpub.ru/jour/article/view/455/239

Э. Андроулаки, Г.О. Караме, М. Рошлин. "Оценка конфиденциальности пользователей Биткоина". https://eprint.iacr.org/2012/596.pdf

С. Голдфедер, Г. Калоднер, Д. Райзман. "Риски конфиденциальности при веб-платежах с использованием криптовалют". https://arxiv.org/pdf/1708.04748.pdf

С. Мейкледжон, М. Помароле, Г. Джордан, К. Левченко. "Горсть биткойнов: характеристика платежей среди анонимов". https://www.researchgate.net/publication/262357109_A_fistful_of_bitcoins_characterizing_payments_among_men_with_no_names

О. Си, Х. Кетай, Л. Шэньвэнь. "Метод кластеризации адресов биткойнов, основанный на множественных эвристических условиях". https://www.researchgate.net/publication/351019556_Bitcoin_Address_Clustering_Method_Based_on_Multiple_Heuristic_Conditions

М. Фледер, М. Кестер, С. Пиллай. "Анализ графа транзакций биткойнов". https://www.researchgate.net/publication/271855021_Bitcoin_Transaction_Graph_Analysis
Alt text
на нашем Телеграм канале мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру.

Игорь Бедеров

+7(812)983-04-83 office@irozysk.ru www.интернет-розыск.рф www.телпоиск.рус