Good Carder
Professional
- Messages
- 753
- Reaction score
- 493
- Points
- 63
Биткоин и другие криптовалюты часто воспринимаются как анонимный «чёрный ящик». Однако публичный характер блокчейна превращает его в детектива, который фиксирует каждое движение и делает возможным отслеживание украденных средств по цепочке. Реальность такова, что биткоин — это не анонимная, а псевдоанонимная система: адреса не содержат имён, но все транзакции навсегда зафиксированы в публичном реестре — суммы, время, связи между кошельками.
Этих ончейн-данных часто достаточно, чтобы выстроить связи между кошельками и отследить движение средств. Аналитические компании вроде Chainalysis, Elliptic и TRM Labs используют не только публичные записи, но и внешние данные: информацию криптобирж и обменников с KYC, IP-адреса, сведения от платёжных сервисов, браузерные отпечатки и другую цифровую активность. В результате адрес кошелька удаётся связать с реальным человеком или организацией.
По данным независимого исследования Делфтского технического университета (сентябрь 2025), алгоритмы кластеризации Chainalysis корректно объединяют до 95% адресов, связанных с конкретными сервисами, проектами и компаниями.
В этой статье я разберу, как именно работают эти механизмы, какие методы используют кардеры для сокрытия следов и как реальные расследования (включая взлом Bybit на $1,46 млрд) показывают текущее состояние гонки вооружений между аналитиками и преступниками.
Ключевые методы кластеризации Chainalysis:
Современный AI-анализ значительно ускоряет эти процессы. Chainalysis использует ИИ для кластеризации адресов и оперативного триажа: Rapid — инструмент с искусственным интеллектом, быстро формирующий понятные инсайты для расследований и снижающий ручную проверку.
Основные инструменты Chainalysis для расследований:
Платформа также обеспечивает реагирование на инциденты и мониторинг безопасности в реальном времени. Благодаря покупке Hexagate появилась возможность обнаруживать подозрительную активность на блокчейне, похожую на эксплойты или фишинговые атаки, ещё до полного вывода средств.
Как это работает: система берёт начальную атрибуцию (например, один известный адрес биржи) и детерминистически группирует миллионы других потенциально контролируемых этой организацией адресов с помощью мощных алгоритмов кластеризации.
Процесс основан на эвристиках, доказавших свою эффективность: исследования показывают точность объединения до ~95%.
Эти кластеры затем анализируются на предмет связей с санкционированными адресами (внесёнными в SDN List OFAC), известными миксерами или высокорисковыми сервисами.
Новые возможности Elliptic (2025-2026):
В октябре 2025 года Elliptic запустила набор инструментов для стабильных монет с возможностями кросс-чейн отслеживания. Это решение позволяет:
Smith отмечает, что кардеры часто конвертируют украденные активы в неблокируемые стейблкоины на ранних стадиях отмывания, чтобы избежать вмешательства эмитентов. Именно для противодействия этому и созданы новые инструменты.
Кросс-чейн трассировка TRM: когда кардеры используют цепочку переходов (chain-hopping) — перемещают средства через разные блокчейны с помощью мостов — это сильно усложняет ручное расследование. TRM стала первой компанией в индустрии, интегрировавшей кросс-чейн транзакции через мосты в свою платформу.
Ключевая функция TRM — автоматическая трассировка косвенной экспозиции (cross-chain indirect exposure): система автоматически «следит за деньгами» через несколько блокчейнов, независимо от количества использованных мостов, и представляет результаты как часть общего входящего и исходящего потока.
Как это работает в действии: Построив в графе один биткоин-адрес, можно увидеть его непрямую экспозицию к подсанкционному адресу через цепочку из 34 переходов, включая два моста, за один клик. Функция time‑ordering обеспечивает хронологическую валидность каждого перевода: средства никогда не показываются как отправленные до того, как были получены, что критически важно для судебных дел.
Логика «лавинных» переводов:
Ограничение метода: дробление само по себе не скрывает происхождения средств — оно лишь увеличивает объём работы для аналитика. Пока все адреса находятся в прозрачных блокчейнах, их всё равно можно кластеризовать. Стратегия «лавинных» переводов наиболее эффективна, когда она сочетается с другими методами (микшеры, приватные монеты, свеп-протоколы).
Атака на миксеры через clustering: Платформы блокчейн-аналитики могут деанонимизировать миксеры, анализируя временны́е паттерны, объёмы и кластеризацию участников. Если контролировать достаточно узлов сети, можно связать входы и выходы даже в хорошо перемешанных транзакциях.
Новые микшеры без единого координатора (JoinMarket, JoinStr) — следующий этап развития приватности. В JoinMarket у координатора просто нет, потому что структура — это рынок ликвидности. Сам механизм был разобран в статье 36 («Крипто-миксеры нового поколения»). Однако аналитические платформы не прекращают усилий по их отслеживанию.
Monero (XMR) использует три механизма:
Monero особенно эффективен против Chainalysis и других аналитических компаний, поскольку их алгоритмы кластеризации построены на анализе прозрачных блокчейнов. Многие эксперты сходятся во мнении, что если вы переведёте свои средства в приватные монеты, то сможете достаточно легко обойти надзор аналитических систем. Однако ликвидность Monero на регулируемых биржах стремительно сокращается: только за последние годы Monero был делистирован с 73 крупных криптобирж.
Похититель Kelp DAO использовал THORChain для отмывания 80 млн в ETH, обменивая их через THORChain на биткоин. Активность кардера вызвала 10−кратный рост 24−часового объёма THORChain до 394 млн, сгенерировав $660 000 комиссий для протокола.
THORChain остаётся нейтральной, разрешительной (permissionless) инфраструктурой, отказываясь блокировать транзакции даже при явных доказательствах их криминального происхождения.
Ключевые даты и события:
Итог операции на март 2025: 440 091 ETH конвертированы в 12 836 BTC и распределены по 9117 кошелькам.
Какие инструменты использовали кардеры (из первых рук):
Успехи и провалы следствия:
Ключевой вывод из Bybit-кейса: время — критический фактор в блокчейн-форензике. Чем быстрее средства отслежены и занесены в чёрные списки, тем больше шансов на их заморозку до того, как кардеры дойдут до конечных off-ramp сервисов.
Три главных вывода этой статьи:
Платформы вроде Chainalysis, Elliptic и TRM Labs превратились из нишевых инструментов в обязательное звено комплаенс-инфраструктуры любой крупной криптобиржи. Но и кардеры не стоят на месте — они адаптируются, создавая новые инструменты и используя архитектурную сложность DeFi.
Тех, кто стремится защитить свои законные активы от ошибочной блокировки или маркировки, я призываю: помните, что каждый ваш шаг в публичном блокчейне оставляет следы, которые могут быть проанализированы. Понимание этих механизмов — ваш лучший инструмент для сохранения контроля над своими средствами.
Быстрая памятка на одну строку:
«Публичный блокчейн помнит всё. Кластеры связывают миллионы кошельков через общие транзакции. Кросс-чейн мосты больше не преграда для аналитиков. THORChain и приватные монеты — последний бастион для отмывающих, но его стены тоже могут рухнуть. Самый чистый след — это тот, который никогда не соприкасался с подозрительными адресами.»
Этих ончейн-данных часто достаточно, чтобы выстроить связи между кошельками и отследить движение средств. Аналитические компании вроде Chainalysis, Elliptic и TRM Labs используют не только публичные записи, но и внешние данные: информацию криптобирж и обменников с KYC, IP-адреса, сведения от платёжных сервисов, браузерные отпечатки и другую цифровую активность. В результате адрес кошелька удаётся связать с реальным человеком или организацией.
По данным независимого исследования Делфтского технического университета (сентябрь 2025), алгоритмы кластеризации Chainalysis корректно объединяют до 95% адресов, связанных с конкретными сервисами, проектами и компаниями.
В этой статье я разберу, как именно работают эти механизмы, какие методы используют кардеры для сокрытия следов и как реальные расследования (включая взлом Bybit на $1,46 млрд) показывают текущее состояние гонки вооружений между аналитиками и преступниками.
Часть 1. Как работают аналитические платформы: Chainalysis, Elliptic и TRM Labs
1.1. Chainalysis: лидер рынка блокчейн-аналитики
Chainalysis — платформа для анализа данных блокчейна, с помощью которой оценивают риски, отслеживают движение средств и обеспечивают соблюдение нормативных требований. Публичные блокчейны дают прозрачность, но не ясность: один адрес может принадлежать человеку, автомату, горячему кошельку биржи, мосту или смарт-контракту. Chainalysis использует кластеризацию, эвристические методы и атрибуцию, чтобы объединять адреса блокчейна в группы, а затем присваивает им рисковые метки и поведенческие шаблоны.Ключевые методы кластеризации Chainalysis:
- Common Input Ownership Heuristic (CIOH). Если в одной транзакции объединяются входы с разных адресов, системы предполагают, что все эти адреса принадлежат одному владельцу. Когда вы тратите монеты с двух своих кошельков в одной транзакции, вы даёте системе ключ к объединению всех ваших адресов в один кластер.
- Эвристика управления (Ownership Heuristic). Аналитики группируют адреса с помощью эвристики владения, что позволяет выделить кластер кошельков, ответственный за конкретные потоки.
- Атрибуция через внешние данные. Информация от бирж с KYC, IP-адреса, браузерные отпечатки и другие цифровые следы связывают анонимные адреса с реальными лицами.
Современный AI-анализ значительно ускоряет эти процессы. Chainalysis использует ИИ для кластеризации адресов и оперативного триажа: Rapid — инструмент с искусственным интеллектом, быстро формирующий понятные инсайты для расследований и снижающий ручную проверку.
Основные инструменты Chainalysis для расследований:
| Инструмент | Назначение | Зачем это нужно |
|---|---|---|
| Reactor | Расследование и отслеживание потоков средств между адресами и сетями | Отслеживание взломов и перемещений крупных кошельков |
| KYT | Know Your Transaction — отмечает рисковые поступления и выводы почти в реальном времени | Объясняет задержки, отклонения или проверки депозитов на регулируемых платформах |
| Rapid | AI-триаж, быстро формирует инсайты для расследований | Снижает ручную проверку, ускоряет оценку рисков |
| Hexagate | Обнаружение угроз в блокчейне, отслеживание эксплойтов и фишинга | Обнаружение подозрительной активности до полного вывода средств |
Платформа также обеспечивает реагирование на инциденты и мониторинг безопасности в реальном времени. Благодаря покупке Hexagate появилась возможность обнаруживать подозрительную активность на блокчейне, похожую на эксплойты или фишинговые атаки, ещё до полного вывода средств.
1.2. Кластеризация адресов: как Chainalysis связывает миллионы кошельков
Ключевой механизм Chainalysis — это кластеризация: процесс объединения множества адресов в группы, предположительно контролируемые одной сущностью (человеком, биржей или сервисом).Как это работает: система берёт начальную атрибуцию (например, один известный адрес биржи) и детерминистически группирует миллионы других потенциально контролируемых этой организацией адресов с помощью мощных алгоритмов кластеризации.
Процесс основан на эвристиках, доказавших свою эффективность: исследования показывают точность объединения до ~95%.
Эти кластеры затем анализируются на предмет связей с санкционированными адресами (внесёнными в SDN List OFAC), известными миксерами или высокорисковыми сервисами.
1.3. Elliptic: новый фокус на стабильные монеты и DeFi
Elliptic — один из ключевых игроков в блокчейн-аналитике, наряду с Chainalysis, Crystal и TRM Labs. Эти прогосударственные компании декларируют вполне понятные и мирные цели: предотвращение использования цифровых активов для отмывания нелегальных доходов.Новые возможности Elliptic (2025-2026):
В октябре 2025 года Elliptic запустила набор инструментов для стабильных монет с возможностями кросс-чейн отслеживания. Это решение позволяет:
- Глубоко анализировать кошельки и отслеживать активы, перемещающиеся между разными блокчейнами.
- Особенно актуально для традиционных финансовых институтов и крупных эмитентов стейблкоинов (Tether, Circle), которые могут использовать эти инструменты для блокировки подозрительных адресов.
Smith отмечает, что кардеры часто конвертируют украденные активы в неблокируемые стейблкоины на ранних стадиях отмывания, чтобы избежать вмешательства эмитентов. Именно для противодействия этому и созданы новые инструменты.
1.4. TRM Labs: автоматическое кросс-чейн отслеживание
TRM Labs — третья крупная платформа, специализирующаяся на автоматическом отслеживании через несколько блокчейнов и мостов.Кросс-чейн трассировка TRM: когда кардеры используют цепочку переходов (chain-hopping) — перемещают средства через разные блокчейны с помощью мостов — это сильно усложняет ручное расследование. TRM стала первой компанией в индустрии, интегрировавшей кросс-чейн транзакции через мосты в свою платформу.
Ключевая функция TRM — автоматическая трассировка косвенной экспозиции (cross-chain indirect exposure): система автоматически «следит за деньгами» через несколько блокчейнов, независимо от количества использованных мостов, и представляет результаты как часть общего входящего и исходящего потока.
Как это работает в действии: Построив в графе один биткоин-адрес, можно увидеть его непрямую экспозицию к подсанкционному адресу через цепочку из 34 переходов, включая два моста, за один клик. Функция time‑ordering обеспечивает хронологическую валидность каждого перевода: средства никогда не показываются как отправленные до того, как были получены, что критически важно для судебных дел.
Часть 2. Методы обхода и сокрытия транзакций
Противники аналитики разработали целый арсенал методов для разрыва цепочек отслеживания. Некоторые из этих подходов основаны на присущей некоторым монетам приватности, другие используют уязвимости, созданные самой архитектурой блокчейна.2.1. «Лавинные» переводы и стратегия дробления
Стратегия заключается в создании «паутины» из десятков тысяч промежуточных кошельков. Хакеры, связанные с группировкой Lazarus, конвертировали 86,3% украденных у Bybit монет (440 091 ETH) в 12 836 BTC и распределили их по 9117 кошелькам.Логика «лавинных» переводов:
- Средства разбиваются на множество мелких сумм.
- Каждая сумма проходит через цепочку из десятков промежуточных адресов.
- Создаётся сложная, ветвящаяся графовая структура.
- Конечные цели смешиваются с легитимным трафиком.
Ограничение метода: дробление само по себе не скрывает происхождения средств — оно лишь увеличивает объём работы для аналитика. Пока все адреса находятся в прозрачных блокчейнах, их всё равно можно кластеризовать. Стратегия «лавинных» переводов наиболее эффективна, когда она сочетается с другими методами (микшеры, приватные монеты, свеп-протоколы).
2.2. Миксеры и CoinJoin
Криптомиксеры (они же тумблеры) — сервисы, которые перемешивают монеты от разных пользователей, чтобы разорвать связь между входящей и исходящей транзакцией. Типичный механизм: миксер принимает монеты от одного пользователя, возвращает средства из другой части своего пула, создавая видимость отсутствия прямой связи.Атака на миксеры через clustering: Платформы блокчейн-аналитики могут деанонимизировать миксеры, анализируя временны́е паттерны, объёмы и кластеризацию участников. Если контролировать достаточно узлов сети, можно связать входы и выходы даже в хорошо перемешанных транзакциях.
Новые микшеры без единого координатора (JoinMarket, JoinStr) — следующий этап развития приватности. В JoinMarket у координатора просто нет, потому что структура — это рынок ликвидности. Сам механизм был разобран в статье 36 («Крипто-миксеры нового поколения»). Однако аналитические платформы не прекращают усилий по их отслеживанию.
2.3. Приватные монеты (Monero, Zcash)
Monero и Zcash встроили приватность на уровне протокола, а не поверхностной услуги.Monero (XMR) использует три механизма:
- Кольцевые подписи для скрытия отправителя (11–16 участников).
- Скрытые адреса для скрытия получателя.
- RingCT для скрытия суммы перевода.
Monero особенно эффективен против Chainalysis и других аналитических компаний, поскольку их алгоритмы кластеризации построены на анализе прозрачных блокчейнов. Многие эксперты сходятся во мнении, что если вы переведёте свои средства в приватные монеты, то сможете достаточно легко обойти надзор аналитических систем. Однако ликвидность Monero на регулируемых биржах стремительно сокращается: только за последние годы Monero был делистирован с 73 крупных криптобирж.
2.4. THORChain и свеп-протоколы: новый тренд 2025-2026
THORChain — децентрализованный протокол свепа, который появился на радарах аналитиков как главный инструмент отмывания крупных украденных сумм. В отличие от миксеров, THORChain не пытается скрыть происхождение средств — он просто даёт возможность конвертировать украденные активы в другие криптовалюты без KYC, без посредников и без возможности заморозки транзакций для операторов нод.Похититель Kelp DAO использовал THORChain для отмывания 80 млн в ETH, обменивая их через THORChain на биткоин. Активность кардера вызвала 10−кратный рост 24−часового объёма THORChain до 394 млн, сгенерировав $660 000 комиссий для протокола.
THORChain остаётся нейтральной, разрешительной (permissionless) инфраструктурой, отказываясь блокировать транзакции даже при явных доказательствах их криминального происхождения.
2.5. Умные контракты и кросс-чейн мосты
Кросс-чейн мосты — популярный инструмент для легального перемещения активов между сетями. В преступных схемах мосты создают дополнительные шаги в цепочке перевода, что усложняет отслеживание. TRM Labs разработала автоматические механизмы отслеживания через мосты, обрабатывая более 150 протоколов-мостов на 30+ блокчейнах.Часть 3. Реальный пример: отслеживание средств после взлома Bybit (2025-2026)
В феврале 2025 года хакеры вывели с биржи Bybit примерно 500 000 ETH на сумму около $1,46 млрд (на тот момент), взломав инфраструктуру мультиподписного холодного кошелька. Хакеры получили доступ к достаточному количеству ключей, чтобы авторизовать массовый вывод средств.Ключевые даты и события:
- Февраль 2025 — атака, привлёкшая внимание всего криптосообщества.
- В течение 48 часов — независимые исследователи связывают атаку с Lazarus Group, сопоставляя паттерны перемещения средств с предыдущими атаками группы.
- Март 2025 — CEO Bybit Бен Чжоу отчитывается: 88,87% украденных средств остаются отслеживаемыми, 7,59% «ушли в тень», 3,54% заморожены.
- 22 февраля 2025 — ФБР официально подтверждает, что за атакой стоит Lazarus Group (идентифицируемая как TraderTraitor).
3.1. Детальный анализ следствия и методов отмывания
Основная стратегия хакеров: мошенники сначала конвертировали все стейблкоины (stETH, cmETH, mETH) в нативный ETH. Затем они начали систематическое отмывание с шагом по $27 млн на более чем 10 дополнительных кошельков.Итог операции на март 2025: 440 091 ETH конвертированы в 12 836 BTC и распределены по 9117 кошелькам.
Какие инструменты использовали кардеры (из первых рук):
| Инструмент | Роль в схеме |
|---|---|
| Wasabi Mixer | Пропускали 193 BTC через этот миксер |
| CryptoMixer | Использован для дополнительного «перемешивания» |
| Railgun | Платформа приватных транзакций |
| Tornado Cash | Использован для отправки 400 ETH в начале кампании отмывания |
| THORChain | Ключевой канал для конвертации ETH в BTC |
Успехи и провалы следствия:
- Успех: Быстрая атрибуция (48 часов) и обновление чёрных списков биржами помогли заморозить около 3,54% средств.
- Провалы: Около 7,6% средств «ушли в тень» — их происхождение больше нельзя отследить стандартными методами.
Ключевой вывод из Bybit-кейса: время — критический фактор в блокчейн-форензике. Чем быстрее средства отслежены и занесены в чёрные списки, тем больше шансов на их заморозку до того, как кардеры дойдут до конечных off-ramp сервисов.
Часть 4. Защита и противодействие: Roadmap для 2026-2027
В кардинге, кардеры, желающих защитить свои активы от блокировки или ошибочной маркировки, критически важно понимать принципы работы аналитических систем.4.1. Что могут сделать кардеры и мошенники
- Регулярно проверять историю своих адресов. Прогоняйте свои адреса через бесплатные аналоги Chainalysis, чтобы убедиться, что они не получили «грязные» средства из подозрительных источников. Если транзакция не имеет к вам отношения, оперативно сообщите об ошибке.
- Не смешивайте личные и биржевые активы. Кластеризация адресов может случайно связать ваши чистые средства с сомнительным кошельком, если они когда-либо были на одном адресе.
- Используйте аппаратный кошелёк для крупных сумм. Это снижает риск того, что ваши средства будут ошибочно ассоциированы с онлайн-биржевой активностью.
- Избегайте использования публичных миксеров. Многие из них уже скомпрометированы, а их адреса занесены в чёрные списки. Если ваши средства прошли через Tornado Cash, скорее всего, они будут заблокированы при попытке внести их на любую регулируемую биржу.
Заключение: глобальный надзор или приватность как выбор
Блокчейн-аналитика с 2025 по 2026 год прошла огромный путь: от ручного анализа отдельных транзакций до автоматических AI-систем, отслеживающих сотни тысяч связей через десятки блокчейнов за секунды.Три главных вывода этой статьи:
- Аналитические системы достигли высокой точности кластеризации (до 95%), но не стали непогрешимыми. Приватные монеты (Monero) и децентрализованные протоколы (THORChain) создают серьёзные препятствия даже для самых продвинутых инструментов.
- Быстрота расследования критически важна. Взлом Bybit показал: атрибуция в течение 48 часов позволила заморозить 3,54% средств. Каждый час задержки снижает шансы на успех.
- Кардеры всё чаще покидают централизованные миксеры, переходя на децентрализованные свеп-протоколы (THORChain, Ren) и приватные монеты, которые сложнее отслеживать и невозможно заморозить централизованно.
Платформы вроде Chainalysis, Elliptic и TRM Labs превратились из нишевых инструментов в обязательное звено комплаенс-инфраструктуры любой крупной криптобиржи. Но и кардеры не стоят на месте — они адаптируются, создавая новые инструменты и используя архитектурную сложность DeFi.
Тех, кто стремится защитить свои законные активы от ошибочной блокировки или маркировки, я призываю: помните, что каждый ваш шаг в публичном блокчейне оставляет следы, которые могут быть проанализированы. Понимание этих механизмов — ваш лучший инструмент для сохранения контроля над своими средствами.
Быстрая памятка на одну строку:
«Публичный блокчейн помнит всё. Кластеры связывают миллионы кошельков через общие транзакции. Кросс-чейн мосты больше не преграда для аналитиков. THORChain и приватные монеты — последний бастион для отмывающих, но его стены тоже могут рухнуть. Самый чистый след — это тот, который никогда не соприкасался с подозрительными адресами.»
