4,85
03.11.2025
3781
5 мин.
Расскажем какие именно сервисы и инструменты используются для расследования
Расследование краж криптовалют весьма сложный процесс и без определенных инструментов практически невозможный. В данный статье мы на примерах покажем какие программы используются и как именно.
Получить консультацию экспертов AML Crypto
С каждым годом криптовалютная экосистема становится всё более сложной и многослойной. Рост количества пользователей, транзакций и децентрализованных приложений приводит не только к развитию технологий, но и к увеличению числа инцидентов, связанных с кражами и мошенничеством. В таких условиях особое значение приобретают инструменты, позволяющие проводить цифровые расследования и анализировать движение средств в блокчейне.
Одним из ключевых инструментов аналитика при работе с криптовалютами являются блокчейн-эксплореры — специализированные веб-сервисы, предоставляющие прозрачный доступ к данным о транзакциях, блоках и адресах в публичных сетях. С их помощью можно не только отслеживать путь движения активов, но и выявлять взаимосвязи между участниками, анализировать активность кошельков и даже определять точки выхода средств на централизованные платформы, такие как биржи или гемблинг-сайты.
Использование эксплореров — это фундаментальный этап любого расследования инцидентов с криптовалютами. Они позволяют построить цепочку перемещений похищенных средств, определить, куда именно были переведены активы, и на каком этапе след становится непрозрачным. При этом правильная интерпретация данных из эксплореров требует не только технических знаний, но и понимания особенностей каждой конкретной сети — будь то Ethereum с его смарт-контрактами и токенами стандарта ERC-20 или Bitcoin, где каждая транзакция представляет собой систему входов и выходов (UTXO).
В данной статье рассматривается практическое применение блокчейн-эксплореров при расследовании инцидентов, связанных с хищением криптовалют. Мы разберём пошагово, как анализировать транзакции, выявлять цепочки движения средств и определять конечные точки вывода активов. Также будет рассмотрено использование дополнительных инструментов, позволяющих уточнять разметку адресов и определять их принадлежность к известным сервисам.
Одним из ключевых инструментов аналитика при работе с криптовалютами являются блокчейн-эксплореры — специализированные веб-сервисы, предоставляющие прозрачный доступ к данным о транзакциях, блоках и адресах в публичных сетях. С их помощью можно не только отслеживать путь движения активов, но и выявлять взаимосвязи между участниками, анализировать активность кошельков и даже определять точки выхода средств на централизованные платформы, такие как биржи или гемблинг-сайты.
Использование эксплореров — это фундаментальный этап любого расследования инцидентов с криптовалютами. Они позволяют построить цепочку перемещений похищенных средств, определить, куда именно были переведены активы, и на каком этапе след становится непрозрачным. При этом правильная интерпретация данных из эксплореров требует не только технических знаний, но и понимания особенностей каждой конкретной сети — будь то Ethereum с его смарт-контрактами и токенами стандарта ERC-20 или Bitcoin, где каждая транзакция представляет собой систему входов и выходов (UTXO).
В данной статье рассматривается практическое применение блокчейн-эксплореров при расследовании инцидентов, связанных с хищением криптовалют. Мы разберём пошагово, как анализировать транзакции, выявлять цепочки движения средств и определять конечные точки вывода активов. Также будет рассмотрено использование дополнительных инструментов, позволяющих уточнять разметку адресов и определять их принадлежность к известным сервисам.
Блокчейн-экслореры
При расследовании инцидентов, связанных с криптовалютами, невозможно обойтись без инструментов, позволяющих отслеживать транзакции и анализировать движение средств. Ключевым инструментом в арсенале аналитика являются блокчейн-эксплореры — веб-сервисы, предоставляющие доступ к данным о блоках, транзакциях и адресах в различных сетях.
Эксплореры позволяют:
Эксплореры позволяют:
-
просматривать историю транзакций конкретного адреса; - определять источник и получателя средств;
- отслеживать время, сумму и хэш каждой операции;
- выявлять возможные связи между адресами;
- экспортировать данные для последующего анализа.
Примеры популярных блокчейн-эксплореров:
-
Ethereum: https://etherscan.io/ — один из самых функциональных эксплореров, предоставляющий подробную информацию о смарт-контрактах, токенах ERC-20 и активности адресов. -
Bitcoin: https://www.blockchain.com/explorer — классический инструмент для просмотра транзакций и анализа движения средств в сети Bitcoin.
Для начала любого расследования необходимо определить адрес, с которого были похищены средства, а также транзакцию, подтверждающую факт кражи. После этого можно перейти к анализу данных в эксплорере выбранной сети.
Пример адресов для демонстрации работы инструментов:
Пример адресов для демонстрации работы инструментов:
- Адрес в сети Ethereum:
- Адрес в сети Bitcoin:
⚠️ Примечание:
Приведённые адреса не связаны с реальными инцидентами кражи. Они выбраны случайным образом из открытых сетей Ethereum и Bitcoin исключительно для учебных целей.
Приведённые адреса не связаны с реальными инцидентами кражи. Они выбраны случайным образом из открытых сетей Ethereum и Bitcoin исключительно для учебных целей.
Работа с Etherscan (сеть Ethereum):
-
Заходим на сайт https://etherscan.io/ и вбиваем в поисковую строку адрес, с которого произошло хищение средств: 0x573243A8477fBB7050280d1E20AD32a8E67a1Ecc
-
Попадаем на страницу адреса, где видим все транзакции адреса, его баланс, даты активности:
-
В случае, если транзакция кражи была совершена на адресе в токенах, отличных от ETH, то перечень всех трансферов можно найти в разделе Token Transfers (ERC-20). В случае, если токен был украден в токене ETH, перечень всех транзакций можно найти в разделе Transactions:
-
В нашем инциденте, предположим, что средства были похищены в рамках транзакции с хэшем:
0xd67a77ec97e2bc9b9afdaed3db9f2c65acc2b6c825f8ac3112063e671e2ec906. В рамках данной транзакции злоумышленник вывел с нашего адреса (исследуемого) токены USDT. Чтобы найти эту транзакцию, перейдем в раздел Token Transfers (ERC-20) и найдем транзакцию кражи:
-
После того как транзакция найдена, нам потребуется посмотреть на то, куда средства были выведены. В нашем случае, средства в объеме 1017 USDT были выведены с исследуемого адреса на адрес предполагаемого злоумышленника:
0xe5A7C8E816f0aa386528a2D3982aA27741ef2a12. Для дальнейшего отслеживания, нам потребуется найти ту же самую транзакцию, только на странице адреса злоумышленника:
-
Находясь в разделе всех транзакций адреса злоумышленника, мы выявили транзакцию, которую он получил от нашего исследуемого адреса. Следующим шагом требуется выявить транзакцию, в рамках которой злоумышленник потратил похищенные 1017 USDT. Для отслеживания такой транзакции требуется брать все последующие траты данного адреса. В таком отслеживании важно отслеживать именно токен USDT (токен, который украли) и объем. Как только мы увидим, что злоумышленник потратил украденные 1017 USDT - мы сможем увидеть адрес на который средства были выведены. Такая методология отслеживания называется LIFO и используется в большинстве расследований кражи криптовалюты. В нашем инциденте, мы видим трату похищенных средств в следующей транзакции:
-
В рамках транзакции вывода краденных средств мы видим, что средства были выведены на адрес с наименованием Stake.com. Stake.com - это тег, который блокчейн эксплорер относит к адресу. За наименованием Stake.com стоит адрес
0x974CaA59e49682CdA0AD2bbe82983419A2ECC400, который аффилирован за гемблинг компанией Stake.com.
На данном этапе расследование в сети Ethereum можно считать завершённым. Это связано с тем, что украденные средства были переведены на централизованный сервис. После поступления активов на такие площадки (например, биржи или гемблинг-сайты) дальнейшее отслеживание движения криптовалюты в блокчейне становится невозможным. Централизованный сервис, в отличие от открытой блокчейн-сети, имеет собственные внутренние учетные системы и может конвертировать поступившие средства в фиатную валюту. Таким образом, именно этот момент считается точкой выхода злоумышленника и завершением прозрачной части расследования.
Работа с Bitcoin (сеть Bitcoin):
- Заходим на сайт https://www.blockchain.com/explorer/ и вбиваем в поисковую строку адрес, с которого произошло хищение средств: bc1qv3pgxle306ss5nawvrv83xp2nyxw0ujr3txjhn
- Попадаем на страницу адреса, где видим все транзакции адреса, его баланс, даты активности:
- В сети Bitcoin не предусмотрена возможность использование никаких токенов кроме нативной валюты - BTC. В связи с этим, у нас нет вкладок Token Transafers. Хищение средств в рамках нашего инцидента произошло транзакцией -
7d83686deabef95d3e2b409f7e3a13d2bd589d81a790a3661ea5ef7aa3dbc800
- Транзакции в сети Bitcoin гораздо сложнее чем в сети Ethereum для понимания. Транзакции представляют собой изменения балансов, нежели чем фактическое перемещение активов с адного адреса на другой. В транзакции хищения мы видим два отправителя (оба адреса - наш исследуемый адрес жертвы) и два получателя (два адреса, которые могут быть не аффилированы друг с другом). В рамках транзакции, мы видим, что наш адрес потратил 4.00000221 BTC, а один из адресов получателей получил на свой счет 4 BTC. Таким образом, мы можем предполагать, что именно адрес
bc1qkp8tgu8smychs780w6nzqh9rvjamduapn9qm5rt5xnc9auf8qm3sxg85l9
является злоумышленником, получившим похищенные средства. Следующим шагом нам требуется перейти на страницу адреса злоумышленника и найти транзакцию получения:
- Мы видим, что в рамках следующей транзакции средства были выведены в полном объеме, а среди двух получателей похищенных средств числится один адрес, который получил практически полный объем средств -
bc1quhruqrghgcca950rvhtrg7cpd7u8k6svpzgzmrjy8xyukacl5lkq0r8l2d. Данный адрес мы считаем следующим адресом, через которые прошли похищенные средства:
- Попадая на адрес, мы видим, что он обладает значительным количеством BTC, а также совершил огромное число транзакций. Это означает, что перед нами адрес централизованного сервиса и на данном этапе наше расследование окончено:
- Заключительным пунктом нам требуется узнать, какому централизвонному сервису относится адрес
bc1quhruqrghgcca950rvhtrg7cpd7u8k6svpzgzmrjy8xyukacl5lkq0r8l2d. Для этого, воспользуемся сервисом Arkham. Данный ресурс может подсказать разметку различных адресов, в том числе в сети Bitcoin. Исходя из информации сервиса Arkham, данный адрес является горячим кошельком биржи OKX. На данном этапе расследование в сети Bitcoin можно считать завершённым.
Инструменты для проверки разметки
Существует несколько способов проверить разметку адресов в блокчейне — то есть определить, к какому сервису или типу пользователя относится тот или иной адрес.
Первый и самый очевидный инструмент для этого — блокчейн-эксплореры.
В рамках данной статьи мы уже видели, как эксплорер Etherscan автоматически размечает некоторые адреса. Например, адрес
0x974cAa59e49682CdA8D2bbe829834149A2ECC400 был помечен как принадлежащий сервису Stake.com.
Большинство публичных эксплореров действительно содержат базовую разметку и иногда позволяют определить принадлежность адреса к биржам, DeFi-платформам или другим сервисам. Однако, как правило, этой информации недостаточно для проведения полноценного расследования. Чтобы получить более глубокую аналитику и расширенные данные о связях между адресами, специалисты используют специализированные аналитические сервисы, такие как Btrace, Arkham и другие.
Ниже приведён пример того, как различные сервисы визуализируют и обозначают разметку на примере адреса: bc1quhruqrghgcca950rvhtrg7cpd7u8k6svpzgzmrjy8xyukacl5lkq0r8l2d
Btrace:
Первый и самый очевидный инструмент для этого — блокчейн-эксплореры.
В рамках данной статьи мы уже видели, как эксплорер Etherscan автоматически размечает некоторые адреса. Например, адрес
0x974cAa59e49682CdA8D2bbe829834149A2ECC400 был помечен как принадлежащий сервису Stake.com.
Большинство публичных эксплореров действительно содержат базовую разметку и иногда позволяют определить принадлежность адреса к биржам, DeFi-платформам или другим сервисам. Однако, как правило, этой информации недостаточно для проведения полноценного расследования. Чтобы получить более глубокую аналитику и расширенные данные о связях между адресами, специалисты используют специализированные аналитические сервисы, такие как Btrace, Arkham и другие.
Ниже приведён пример того, как различные сервисы визуализируют и обозначают разметку на примере адреса: bc1quhruqrghgcca950rvhtrg7cpd7u8k6svpzgzmrjy8xyukacl5lkq0r8l2d
Btrace:
Arkham:
Metasleuth:
Заключение
Блокчейн-эксплореры являются основным инструментом в арсенале специалиста, занимающегося расследованием инцидентов с криптовалютами. С их помощью можно детально отслеживать движение активов, определять маршруты перевода средств и выявлять адреса, связанные с подозрительной активностью.
На примерах сетей Ethereum и Bitcoin видно, что, несмотря на различия в архитектуре и формате транзакций, общий принцип расследования остаётся неизменным: от идентификации исходного адреса и транзакции кражи — до определения конечной точки вывода активов.
Однако возможности эксплореров ограничены рамками публичных данных. Когда средства попадают на централизованные сервисы — биржи или платформы гемблинга — дальнейшее отслеживание становится невозможным без взаимодействия с этими организациями. В таких случаях для углублённого анализа используются дополнительные инструменты и сервисы разметки, такие как Btrace, Arkham и другие аналитические платформы.
Таким образом, грамотное использование блокчейн-эксплореров в сочетании со специализированными аналитическими решениями позволяет не только восстанавливать цепочку движения похищенных активов, но и формировать доказательную базу, необходимую для дальнейших правовых и технических действий.
Блокчейн-эксплореры являются основным инструментом в арсенале специалиста, занимающегося расследованием инцидентов с криптовалютами. С их помощью можно детально отслеживать движение активов, определять маршруты перевода средств и выявлять адреса, связанные с подозрительной активностью.
На примерах сетей Ethereum и Bitcoin видно, что, несмотря на различия в архитектуре и формате транзакций, общий принцип расследования остаётся неизменным: от идентификации исходного адреса и транзакции кражи — до определения конечной точки вывода активов.
Однако возможности эксплореров ограничены рамками публичных данных. Когда средства попадают на централизованные сервисы — биржи или платформы гемблинга — дальнейшее отслеживание становится невозможным без взаимодействия с этими организациями. В таких случаях для углублённого анализа используются дополнительные инструменты и сервисы разметки, такие как Btrace, Arkham и другие аналитические платформы.
Таким образом, грамотное использование блокчейн-эксплореров в сочетании со специализированными аналитическими решениями позволяет не только восстанавливать цепочку движения похищенных активов, но и формировать доказательную базу, необходимую для дальнейших правовых и технических действий.
Хотите узнать больше и получить консультацию экспертов? Оставьте email и мы с вами оперативно свяжемся!
Проверьте блокчейн-адрес с помощью Btrace
За секунды определите уровень риска адреса контрагента, узнайте источник его средств и примите взвешенное решение о взаимодействии с ним.
ПРЕДОТВРАТИте БЛОКИРОВКУ СРЕДСТВ
ОГРАДИте себя от мошенников
избегите проблем с законом
Смотрите также
