4,86
05.11.2025
3455
9 мин.
Примеры инцидентов кражи криптовалют в деталях и описание сервисов для отслеживания украденных средств
Мы подробно покажем несколько примеров перетекания украденных крипто средств, так называемый “отмыв”. А так же на конкретных примерах покажем с помощью каких инструментов и как именно искать эти средства и анализировать их перетекания.
Получить консультацию экспертов AML Crypto
Расследование инцидентов, связанных с кражей или незаконным перемещением криптовалютных активов, представляет собой сложный процесс, требующий использования широкого набора инструментов и методологий. В отличие от традиционных финансовых систем, где движение средств отслеживается централизованно, в блокчейне информация является публичной, но анонимной — что одновременно облегчает и усложняет работу следователя.
Для эффективного анализа требуется понимать архитектуру блокчейнов, принципы построения транзакционных цепочек и использовать аналитические сервисы, способные связывать адреса между собой по различным признакам.
В представленных ниже примерах рассмотрены реальные сценарии расследований: от простых случаев перевода средств на централизованные биржи — до сложных схем с использованием мостов между сетями, peel chain-паттернов и миксеров. Каждый из инцидентов демонстрирует определённую технику анализа и подчёркивает, насколько важно комбинировать инструменты — от стандартных блокчейн-эксплореров (Etherscan, Tronscan, Polygonscan) до продвинутых решений вроде Arkham, Btrace, Metasleuth и Bholder.
Таким образом, цель данного раздела — показать, как различные сервисы помогают поэтапно восстанавливать движение средств и выявлять конечные точки вывода похищенных активов, а также продемонстрировать аналитический подход к работе с данными в блокчейне.
Для эффективного анализа требуется понимать архитектуру блокчейнов, принципы построения транзакционных цепочек и использовать аналитические сервисы, способные связывать адреса между собой по различным признакам.
В представленных ниже примерах рассмотрены реальные сценарии расследований: от простых случаев перевода средств на централизованные биржи — до сложных схем с использованием мостов между сетями, peel chain-паттернов и миксеров. Каждый из инцидентов демонстрирует определённую технику анализа и подчёркивает, насколько важно комбинировать инструменты — от стандартных блокчейн-эксплореров (Etherscan, Tronscan, Polygonscan) до продвинутых решений вроде Arkham, Btrace, Metasleuth и Bholder.
Таким образом, цель данного раздела — показать, как различные сервисы помогают поэтапно восстанавливать движение средств и выявлять конечные точки вывода похищенных активов, а также продемонстрировать аналитический подход к работе с данными в блокчейне.
Инцидент 1: простое перетекание средств до централизованного сервиса
- Вводные данные:известен адрес жертвы, известен адрес злоумышленника. Хищение средств было осуществлено в рамках одной транзакции с адреса жертвы на адрес злоумышленника.
- Использованные инструменты:
- Результат:средства были выведены через 1 транзитный адрес на сервисы HitBTC, n.exchange
- Граф связей:
Как производилось расследование:
1
Стартовой точкой требуется выявить исходный адрес злоумышленника. В нашем инциденте, адрес жертвы был скомпрометирован и были выведены средства, которые жертва вывела со своего биржевого аккаунта на свой скомпрометированный адрес. Таким образом, адрес жертвы мы будем считать адресом злоумышленника, т.к. он имел к адресу доступ. Также, на старте расследования требуется понимать какую сумму нужно отслеживать. В нашем случае, это 63,000 TRX одной транзакцией.
2
Вторым шагом требуется отследить на какой адрес средства были выведены с адреса злоумышленника. Для проверки перетекания средств был использован официальный эксплорер сети TRON - Tronscan.
- 📌 Важно: требуется использовать сервисы в совокупности. Иногда, отдельный сервис по разметке адресов может не обладать информацией о принадлежности адреса конкретной сущности.
Инцидент 2: большое количество транзитных адресов адресов злоумышленника
- Вводные данные:известен адрес жертвы, известен адрес злоумышленника. Хищение средств было осуществлено в рамках множества транзакций с адреса жертвы на адрес злоумышленника.
- Использованные инструменты:
- Результат:средства были выведены через множество транзитных адресов на сервисы OKX, Coinhacko, HTX, MaskEx и Binance
- Граф связей:
Как производилось расследование:
1
Стартовой точкой требуется определить адрес мошенника. В нашем инциденте, жертва отправляла средства на один и тот же адрес мошенника с множества бирж. Таким образом, нам требуется отследить куда переводил злоумышленник все средства каждой транзакцией. В рамках первого шага, мы видим что все средства попадали на один и тот же адрес, с которого уже начиналось распределение средств.
2
Адрес мошенника, который распределяет средства по множеству различных веток требуется рассматривать с помощью способа LIFO.
- 1. Что такое LIFO?LIFO (Last In, First Out) — это принцип учёта: последним пришёл — первым ушёл. В криптовалюте LIFO означает, что при трате средств мы считаем, что сначала тратятся последние поступившие токены.
Для сравнения:
В обычных деньгах (банкнотах) можно реально сказать: «эта купюра с серийным номером такая-то ушла». В криптовалюте токены неиндивидуальны — у них нет серийных номеров, это просто запись о балансе на адресе.
- 2. Как это выглядит в блокчейнеВ блокчейне мы видим:
Адрес получает несколько транзакций (например, украдено 10 BTC, потом ещё 5 BTC). Затем адрес делает исходящий перевод на 7 BTC.
Возникает вопрос:
Это трата первых 10 BTC или последних 5 BTC? Технически — в блокчейне нет способа различить, какие именно «монеты» пошли. Это просто сумма.
И здесь на помощь приходит LIFO.
Мы считаем, что сначала тратятся последние поступления (те, что "сверху" баланса). Это полезно для построения цепочек отмывания: последняя «грязная» партия обычно будет сразу перемещаться.
- 3. Почему для расследования удобнее LIFO, чем FIFOНет уникальных номеров у токенов. В отличие от долларов с серийным номером, биткоины или эфириум-токены — взаимозаменяемые (fungible). Это значит, что невозможно доказать, что именно «первые» или «последние» монеты были потрачены.
Каждая трата может считаться тратой украденных средств. Если кошелёк содержит хоть часть «грязных» токенов, то любая его транзакция может трактоваться как отмывание.
LIFO делает схему прозрачнее.- Преступники часто двигают новые поступления «свежими» транзакциями, чтобы как можно скорее замести следы.
- Поэтому логично считать, что именно последние украденные средства двигаются первыми.
- Это облегчает отслеживание и доказывание в суде.
📌 Важный тезис: с LIFO каждая новая исходящая транзакция подозрительного кошелька может напрямую связываться с последними украденными средствами, даже если на кошельке есть «старые чистые деньги».
- 4. Аналогия для пониманияПредставьте, что вор прячет краденое золото в сундук, где уже лежало его «чистое» золото:
- Если он потом достаёт несколько слитков и перепродаёт, никто не может сказать, «какие именно» слитки ушли.
- Но следователь будет считать, что вор в первую очередь сбывает украденные слитки (LIFO).
- Это логично: цель вора — поскорее обналичить украденное.
3
Для того, чтобы использовать метод LIFO требуется использовать сканер блокчейн сети. В нашем случае - у нас сеть Ethereum, а следовательно, мы будем использовать Etherscan. Пример вычисления перетекания по методу LIFO:
Мы отслеживаем перевод на 29,855 USDT (он внизу списка транзакций).
После этого на адрес поступило ещё 380,000 USDT, но по методу LIFO (сначала тратятся последние поступления) эта сумма нас не интересует. Мы продолжаем искать именно трату наших 29,855 USDT.
В списке транзакций видим:
В строке 3 — перевод 800 USDT. Это часть наших средств, значит, отслеживаем адрес-получатель.
В строке 2 — перевод в другом токене, поэтому он к делу не относится.
В строке 1 — крупная транзакция на 402,000 USDT, в которую входят и оставшиеся наши средства.
Получается, что наши 29,855 USDT разделились между двумя адресами: получателем из строки 3 и получателем из строки 1.
Такой разбор нужно делать на каждом новом адресе, пока украденные средства не попадут на централизованные сервисы (биржи, обменники и т.п.), где их можно попытаться заморозить.
4
При отслеживании средств требуется проверять каждый новый адрес на наличие разметки через сервисы Btrace, Arkham, Metasleuth.
Инцидент 3: перемещение средств через мосты
- Вводные данные:известен адрес жертвы, известен адрес злоумышленника. Хищение средств было осуществлено в рамках множества транзакций с адреса жертвы на адрес злоумышленника.
- Использованные инструменты:
- Результат:средства сменили исходную сеть и были распределены по множеству централизованных сервисов
- Граф связей:
Как производилось расследование:
1
Стартовой точкой требуется определить адрес мошенника. В нашем инциденте, жертва отправляла средства на один и тот же адрес мошенника. Таким образом, отслеживание средств немного упрощается на первом этапе. Для получения информации о всех транзакциях адреса злоумышленника требуется воспользоваться сервисом Polygonscan.
2
С помощью метода отслеживания LIFO был проведен анализ перетекания средств до адресов децентрализованных серивисов. Информация о принадлежности адресов была взята из ресурсов: Polygonscan, Metasleuth, Arkham и Btrace. С помощью этих инструментов было установлено, что средства попали на сервисы Bitkeep wallet и Bridgers.
3
С помощью инструментов Bridgers explorer, Allchain explorer была получена информация о перетекании средств из сети Polygon в сеть Tron.
4
Как только средства попали в сеть Tron, требуется продолжать работу по отслеживанию транзакций через эксплорер сети Tron - Tronscan. Одновременно с отрисовкой графа связей требуется проверять все новые адреса, предположительно принадлежащие мошеннику через сервисы Metasleuth, Arkham и Btrace.
Инцидент 4: peel chain сервисы
- Вводные данные:известен адрес жертвы, известен адрес злоумышленника. Хищение средств было осуществлено в рамках нескольких транзакций с адреса жертвы на адрес злоумышленника.
- Использованные инструменты:
- Результат:средства попали на Peel Chain сервисы (сервисы для смешения и дробления средств)
- Граф связей:
Как производилось расследование:
1
Стартовой точкой требуется определить адрес мошенника. В нашем инциденте, жертва отправляла средства на четыре различных адреса мошенника. Таким образом, отслеживать дальнейшее перетекание средств потребуется по 4 различным путям.
2
С использованием метода отслеживания LIFO был проведён анализ движения средств до адресов с нетипичным поведением. В ходе анализа был выявлен адрес
TVUBnNk9D6NtVkrUMQN6ZfxvorYetnk9o, чья активность значительно отличается от паттернов, свойственных адресам, контролируемым злоумышленником. Данный адрес совершил 9 271 транзакцию со средним объёмом около 10 USDT каждая. Подобная модель активности характерна для схем, связанных с так называемыми Peel Chain-паттернами — автоматизированными системами, которые дробят поступающие средства на множество мелких транзакций. Основная цель такого поведения — размывание цепочки следов и сокрытие истинного источника происхождения активов.
TVUBnNk9D6NtVkrUMQN6ZfxvorYetnk9o, чья активность значительно отличается от паттернов, свойственных адресам, контролируемым злоумышленником. Данный адрес совершил 9 271 транзакцию со средним объёмом около 10 USDT каждая. Подобная модель активности характерна для схем, связанных с так называемыми Peel Chain-паттернами — автоматизированными системами, которые дробят поступающие средства на множество мелких транзакций. Основная цель такого поведения — размывание цепочки следов и сокрытие истинного источника происхождения активов.
К сожалению, в рамках ограниченного времени и человеческих ресурсов, выделяемых на расследование, проведение ручного отслеживания по множеству мелких транзакций крайне затруднительно. При анализе подобных случаев применяются автоматизированные алгоритмы расследования, основанные на методах машинного обучения (ML).
Такие алгоритмы позволяют:
Такие алгоритмы позволяют:
-
автоматически просчитывать возможные маршруты движения средств, основываясь на исторических данных и типовых паттернах поведения злоумышленников; - группировать транзакции по признакам схожести, включая время отправки, объём переводов и повторяющиеся адреса получателей;
- сопоставлять объёмы и временные интервалы поступлений на одни и те же сервисы, чтобы определить, совпадают ли они с объёмом похищенных средств;
- оценивать вероятность связи адресов, если те демонстрируют синхронную или зеркальную активность.
Таким образом, алгоритм не просто фиксирует последовательность транзакций, а вычисляет вероятностную модель движения средств, помогая следователям сосредоточиться на наиболее вероятных направлениях утечки. Это существенно сокращает время анализа и повышает точность идентификации конечных адресов, на которых могут оказаться похищенные активы.
Инцидент 5: миксеры
- Вводные данные:известен адрес жертвы, известен адрес злоумышленника. Хищение средств было осуществлено в рамках множества транзакций с адреса жертвы на адрес злоумышленника.
- Использованные инструменты:
- Результат:средства попали на Tornado Cash (миксер) и в дальнейшем было выявлено движение средств с использованием эвристического анализа
- Граф связей:
Как производилось расследование:
1
Стартовой точкой требуется определить адрес мошенника. В нашем инциденте, жертва отправляла средства на три различных адреса мошенника. Таким образом, отслеживать дальнейшее перетекание средств потребуется по 3 различным путям.
2
С применением метода отслеживания LIFO был проведён анализ движения средств, приведший к адресу, связанному с миксером Tornado Cash. На этом этапе расследование могло бы быть завершено, однако дальнейший анализ выявил повторяющиеся паттерны вывода средств, характерные для активности данного сервиса.
Спустя сутки после первоначальной транзакции Tornado Cash начал распределять средства на несколько различных адресов с минимальными временными интервалами между переводами. Примечательно, что общий объём этих выводов составил 100 ETH — сумму, идентичную объёму похищенных средств.
Исходя из совпадения объёмов и временных характеристик, было выдвинуто предположение, что данные операции могли быть совершены тем же злоумышленником, стремившимся как можно быстрее обналичить украденные активы и скрыть их происхождение.
Спустя сутки после первоначальной транзакции Tornado Cash начал распределять средства на несколько различных адресов с минимальными временными интервалами между переводами. Примечательно, что общий объём этих выводов составил 100 ETH — сумму, идентичную объёму похищенных средств.
Исходя из совпадения объёмов и временных характеристик, было выдвинуто предположение, что данные операции могли быть совершены тем же злоумышленником, стремившимся как можно быстрее обналичить украденные активы и скрыть их происхождение.
В рамках расследования было принято решение продолжить отслеживание новых адресов, связанных с предполагаемым злоумышленником. Анализ показал, что все эти адреса демонстрировали одинаковый шаблон поведения.
Каждый из них получал средства из Tornado Cash, после чего переводил их в торговую пару с фиктивным токеном, предположительно созданным самим злоумышленником. В дальнейшем происходила следующая схема:
Каждый из них получал средства из Tornado Cash, после чего переводил их в торговую пару с фиктивным токеном, предположительно созданным самим злоумышленником. В дальнейшем происходила следующая схема:
1
Реальные средства, поступившие из Tornado Cash, направлялись в поддельный пул ликвидности (например, на децентрализованных биржах).
2
Во второй части схемы злоумышленник, контролируя адрес, на котором создан этот пул, выполнял фиктивные обмены между собственными токенами (“токенами-фантиками”).
3
После нескольких циклов таких транзакций он совершал rug pull — резкое изъятие ликвидности, тем самым “обналичивая” активы, но уже с чистой историей происхождения.
С технической точки зрения, после подобной операции источник средств становится крайне сложно определить. Для большинства аналитических инструментов кажется, что активы поступили из легитимного пула ликвидности (например, на платформе Uniswap), а не напрямую из Tornado Cash.
В результате злоумышленник получал криптовалюту, очищенную от явных признаков связи с первоначальной кражей, и переводил её на централизованную биржу OKX для последующей конвертации. Примечательно, что данный злоумышленник уже ранее фиксировался при попытках вывода средств через эту же площадку.
Визуализация схемы отмывания средств через сервис Tornado Cash:
В результате злоумышленник получал криптовалюту, очищенную от явных признаков связи с первоначальной кражей, и переводил её на централизованную биржу OKX для последующей конвертации. Примечательно, что данный злоумышленник уже ранее фиксировался при попытках вывода средств через эту же площадку.
Визуализация схемы отмывания средств через сервис Tornado Cash:
- ЗаключениеПриведённые инциденты наглядно показывают, что успешное расследование в блокчейне возможно только при комплексном подходе, сочетающем технический анализ транзакций, идентификацию адресов через сервисы разметки и глубокое понимание логики движения средств.
Даже самые сложные схемы — использование мостов, peel chain-сервисов или миксеров вроде Tornado Cash — оставляют цифровые следы, которые могут быть восстановлены с помощью современных аналитических инструментов и алгоритмов. В этом процессе ключевую роль играет методология, основанная на принципе LIFO (Last In, First Out), позволяющая точно определять, какие средства были потрачены первыми, и отслеживать их дальнейшее перемещение.
Использование таких платформ, как Arkham, Btrace, Metasleuth и Bholder, делает возможным построение прозрачных графов связей, идентификацию централизованных сервисов, на которые попали активы, и формирование доказательной базы для взаимодействия с правоохранительными органами и биржами.
В итоге, сочетание грамотной аналитики, технологических инструментов и понимания поведенческих паттернов злоумышленников позволяет не только выявить путь украденных средств, но и значительно повысить вероятность их возврата или блокировки на конечных площадках.
Хотите узнать больше и получить консультацию экспертов? Оставьте email и мы с вами оперативно свяжемся!
Проверьте блокчейн-адрес с помощью Btrace
За секунды определите уровень риска адреса контрагента, узнайте источник его средств и примите взвешенное решение о взаимодействии с ним.
ПРЕДОТВРАТИте БЛОКИРОВКУ СРЕДСТВ
ОГРАДИте себя от мошенников
избегите проблем с законом
Смотрите также
