4,91
01.11.2025
5402
11 мин.
Рассказываем как происходят расследования краж криптовалют
Расследование криптовалютных инцидентов - весьма сложный вопрос, отличающийся от обычной финансовой системы. В данной статье и последующих мы постараемся рассказать как это происходит, какие инструменты можно использовать и какой результат возможно получить.
Получить консультацию экспертов AML Crypto
Расследование криптовалютных инцидентов — это процесс анализа движения цифровых активов после краж, взломов или мошеннических схем. В отличие от традиционной финансовой системы, где транзакции проходят через банки и регулируемые структуры, блокчейн предоставляет полную прозрачность: каждая операция навсегда фиксируется в распределённом реестре. Однако именно эта «прозрачная анонимность» и делает расследование одновременно возможным и сложным.
Главная задача такого расследования — понять, как похищенные или незаконно полученные средства перемещаются в сети:
Главная задача такого расследования — понять, как похищенные или незаконно полученные средства перемещаются в сети:
- каким образом злоумышленники пытаются «отмыть» деньги через сервисы микширования, мосты (bridges) или DeFi-протоколы;
- на какие централизованные биржи (CEX) в итоге попадают активы для вывода в фиат или обмена на более ликвидные токены.
По сути, расследование — это поиск «финансового следа», который преступники пытаются максимально усложнить. И здесь на помощь приходят специальные инструменты и методики анализа блокчейна, позволяющие отследить цепочку транзакций, выявить связи между кошельками и в конечном счёте — приблизиться к реальным фигурантам дела.
Когда злоумышленники пытаются скрыть следы украденных криптовалют, они используют разные схемы отмывания. Чаще всего цель одна — разорвать прямую связь между изначальным кошельком и конечным выводом средств. Для этого применяются мосты и переходы между сетями, миксеры и свапы на DEX, дробление на множество адресов, перевод в стейблкоины или приватные монеты. Также всё чаще встречается использование решений второго уровня (Layer 2) и комбинирование нескольких методов подряд.
Когда злоумышленники пытаются скрыть следы украденных криптовалют, они используют разные схемы отмывания. Чаще всего цель одна — разорвать прямую связь между изначальным кошельком и конечным выводом средств. Для этого применяются мосты и переходы между сетями, миксеры и свапы на DEX, дробление на множество адресов, перевод в стейблкоины или приватные монеты. Также всё чаще встречается использование решений второго уровня (Layer 2) и комбинирование нескольких методов подряд.
Основные схемы отмывания
Мосты (bridges) – перевод активов из одной сети в другую, чтобы усложнить отслеживание.
Миксеры (mixers / tumblers) – смешивание средств с чужими транзакциями для разрыва связей.
DEX-свапы – обмен на другие токены через децентрализованные биржи (Uniswap, PancakeSwap и др.).
Дробление (peel chain) – постепенное распределение средств малыми частями на множество адресов.
Chain hopping (прыжки между сетями) – последовательные обмены через мосты и DEX в разных блокчейнах.
Использование стейблкоинов – конвертация в USDT/USDC/DAI для упрощения вывода или хранения.
Privacy-монеты – перевод в Monero (XMR), Zcash или Dash, где анонимность выше.
Layer 2 / Rollups – использование решений второго уровня (Arbitrum, Optimism) для «растворения» транзакций.
Методы отслеживания адресов в блокчейне
В рамках расследования одна из ключевых задач заключается в установлении достоверной связи между адресами, находящимися под контролем предполагаемых злоумышленников, и централизованными сервисами (CEX). Для этого применялся комплекс аналитических методов, используемых в международной практике blockchain-forensics. Ниже представлены основные подходы.
-
Детерминированный трекинг (Deterministic Tracing)Метод применяется в случаях, когда средства перемещаются напрямую и непрерывно от адреса фигуранта к кошелькам централизованных платформ. Он эффективен при следующих условиях:- транзакции следуют друг за другом без значительного вмешательства сторонних адресов;
- отсутствуют операции по микшированию или смене сети (например, TRON → TRON);
- маршрут может быть полностью восстановлен с помощью блокчейн-эксплореров (Tronscan, BSCscan и др.).
-
Кластеризация и поведенческий анализ (Cluster & Behavioral Analysis)Применяется для выявления групп адресов, которые с высокой вероятностью контролируются одним субъектом. Основаниями для объединения выступают:- совпадение источников или получателей средств;
- синхронная активность;
- повторяющиеся модели распределения активов;
- общие технические признаки (например, IP или устройства при наличии данных от CEX).
-
Анализ примеси (Taint Analysis / Coin Flow Scoring)Методика направлена на оценку степени «загрязнённости» адресов, вступивших в контакт с незаконно полученными средствами. С её помощью можно определить:- процентное содержание похищенных активов на конечных кошельках;
- долю активов, дошедших до бирж даже после их смешивания с «чистыми» средствами;
- вероятность участия адреса в операциях по отмыванию средств.
-
Временная и объёмная корреляция (Temporal & Volume Correlation)Метод основывается на сопоставлении транзакционной активности по времени и объёму. Он включает в себя:- выявление совпадений времени поступления и последующего вывода средств;
- анализ сходных объёмов переводов;
- оценку временных интервалов (time gap) между транзакциями.
-
Анализ конечных адресов (CEX Deposit Attribution)Метод используется для подтверждения факта поступления средств на конкретные централизованные сервисы. Основные источники подтверждения:- базы данных известных депозитных адресов (как открытые, так и закрытые);
- официальная информация от бирж;
- сигнатуры адресов (мемо, тег, chain id).
- Применение указанных методов в совокупности позволяет аналитически и логически подтвердить происхождение активов, восстановить маршрут их движения и определить конечную дислокацию.
Блокировка средств и конечная цель расследования
Ключевым этапом любого расследования в сфере blockchain-forensics является установление фактического контролёра похищенных активов и фиксация движения средств до момента их попадания на контролируемую площадку (в первую очередь — централизованную биржу).
Блокировка активов на стороне биржи выполняет две стратегические функции:
Блокировка активов на стороне биржи выполняет две стратегические функции:
1
Превентивную — предотвращает дальнейшее перемещение и «отмывание» похищенных средств;
2
Доказательную — обеспечивает сохранение данных, которые могут подтвердить связь между транзакцией и конкретным пользователем.
Важно понимать, что сама по себе блокировка — это не финал расследования, а инструмент для удержания активов в доступном юридическом поле до установления личности злоумышленника и принятия правового решения.
Конечная цель блокчейн-расследования
Несмотря на техническую направленность, блокчейн-расследование имеет юридическую и процессуальную цель — установление лица, совершившего хищение.
Именно через идентификацию контролёра кошельков и сбор доказательств, подтверждающих его связь с преступной активностью, расследование выходит из «технической плоскости» в правовую сферу ответственности.
Блокчейн предоставляет полную прозрачность транзакций, но не раскрывает, кто именно стоит за конкретными адресами. Поэтому на завершающем этапе расследования решающую роль играют централизованные сервисы (CEX), где:
Через эти данные можно установить реального владельца или пользователя аккаунта, на который поступили похищенные средства.
Несмотря на техническую направленность, блокчейн-расследование имеет юридическую и процессуальную цель — установление лица, совершившего хищение.
Именно через идентификацию контролёра кошельков и сбор доказательств, подтверждающих его связь с преступной активностью, расследование выходит из «технической плоскости» в правовую сферу ответственности.
Блокчейн предоставляет полную прозрачность транзакций, но не раскрывает, кто именно стоит за конкретными адресами. Поэтому на завершающем этапе расследования решающую роль играют централизованные сервисы (CEX), где:
- проводится верификация пользователей (KYC/AML);
- сохраняются логи входов, IP-адреса, устройства;
- фиксируются внутренние идентификаторы и движения средств между аккаунтами.
Через эти данные можно установить реального владельца или пользователя аккаунта, на который поступили похищенные средства.
Завершение расследования
После установления личности злоумышленника возможны несколько сценариев завершения дела:
После установления личности злоумышленника возможны несколько сценариев завершения дела:
- Судебное разбирательство — возбуждение уголовного дела, предъявление обвинения и последующее рассмотрение в суде, включая ходатайства о конфискации активов.
- Переговоры с злоумышленником — в некоторых случаях, особенно при киберинцидентах без организованной структуры, допускается досудебное урегулирование или возврат средств по согласованию сторон (в том числе при посредничестве биржи или правоохранительных органов).
- Международное сотрудничество — если фигурант или биржа находятся за пределами юрисдикции, расследование продолжается в рамках межгосударственных процедур (MLA, запросы INTERPOL, Egmont и др.).
Список источников
Блокчейн-экплореры:
Сервисы для получения разметки по криптовалютным адресам:
Эксплореры по основным децентрализованным мостам:
Визуализаторы смарт-контрактов:
Работа с Big Data:
Создание графов связей:
Трекинг адресов в блокчейне:
Хотите узнать больше и получить консультацию экспертов? Оставьте email и мы с вами оперативно свяжемся!
Проверьте блокчейн-адрес с помощью Btrace
За секунды определите уровень риска адреса контрагента, узнайте источник его средств и примите взвешенное решение о взаимодействии с ним.
ПРЕДОТВРАТИте БЛОКИРОВКУ СРЕДСТВ
ОГРАДИте себя от мошенников
избегите проблем с законом
Смотрите также
