Расскажем какие именно сервисы и инструменты используются для расследования

С каждым годом криптовалютная экосистема становится всё более сложной и многослойной. Рост количества пользователей, транзакций и децентрализованных приложений приводит не только к развитию технологий, но и к увеличению числа инцидентов, связанных с кражами и мошенничеством. В таких условиях особое значение приобретают инструменты, позволяющие проводить цифровые расследования и анализировать движение средств в блокчейне.

Одним из ключевых инструментов аналитика при работе с криптовалютами являются блокчейн-эксплореры — специализированные веб-сервисы, предоставляющие прозрачный доступ к данным о транзакциях, блоках и адресах в публичных сетях. С их помощью можно не только отслеживать путь движения активов, но и выявлять взаимосвязи между участниками, анализировать активность кошельков и даже определять точки выхода средств на централизованные платформы, такие как биржи или гемблинг-сайты.

Использование эксплореров — это фундаментальный этап любого расследования инцидентов с криптовалютами. Они позволяют построить цепочку перемещений похищенных средств, определить, куда именно были переведены активы, и на каком этапе след становится непрозрачным. При этом правильная интерпретация данных из эксплореров требует не только технических знаний, но и понимания особенностей каждой конкретной сети — будь то Ethereum с его смарт-контрактами и токенами стандарта ERC-20 или Bitcoin, где каждая транзакция представляет собой систему входов и выходов (UTXO).

В данной статье рассматривается практическое применение блокчейн-эксплореров при расследовании инцидентов, связанных с хищением криптовалют. Мы разберём пошагово, как анализировать транзакции, выявлять цепочки движения средств и определять конечные точки вывода активов. Также будет рассмотрено использование дополнительных инструментов, позволяющих уточнять разметку адресов и определять их принадлежность к известным сервисам.

Блокчейн-экслореры

При расследовании инцидентов, связанных с криптовалютами, невозможно обойтись без инструментов, позволяющих отслеживать транзакции и анализировать движение средств. Ключевым инструментом в арсенале аналитика являются блокчейн-эксплореры — веб-сервисы, предоставляющие доступ к данным о блоках, транзакциях и адресах в различных сетях.

Эксплореры позволяют:

• просматривать историю транзакций конкретного адреса;
• определять источник и получателя средств;
• отслеживать время, сумму и хэш каждой операции;
• выявлять возможные связи между адресами;
• экспортировать данные для последующего анализа.

Примеры популярных блокчейн-эксплореров:

• Ethereum: https://etherscan.io/ — один из самых функциональных эксплореров, предоставляющий подробную информацию о смарт-контрактах, токенах ERC-20 и активности адресов.
• Bitcoin: https://www.blockchain.com/explorer — классический инструмент для просмотра транзакций и анализа движения средств в сети Bitcoin.

Для начала любого расследования необходимо определить адрес, с которого были похищены средства, а также транзакцию, подтверждающую факт кражи. После этого можно перейти к анализу данных в эксплорере выбранной сети.

Пример адресов для демонстрации работы инструментов:

• Адрес в сети Ethereum: 0×573243A8477fBB7050280d1E20AD32a8E67a1Ecc
• Адрес в сети Bitcoin: bc1qy3pgxle306ss5nawvvr83xp2nyxw0ujr3tjyhn

⚠️ Примечание: Приведённые адреса не связаны с реальными инцидентами кражи. Они выбраны случайным образом из открытых сетей Ethereum и Bitcoin исключительно для учебных целей.

Работа с Etherscan (сеть Ethereum):

1. Заходим на сайт https://etherscan.io/ и вбиваем в поисковую строку адрес, с которого произошло хищение средств: 0×573243A8477fBB7050280d1E20AD32a8E67a1Ecc

2. Попадаем на страницу адреса, где видим все транзакции адреса, его баланс, даты активности:

3. В случае, если транзакция кражи была совершена на адресе в токенах, отличных от ETH, то перечень всех трансферов можно найти в разделе Token Transfers (ERC-20). В случае, если токен был украден в токене ETH, перечень всех транзакций можно найти в разделе Transactions:

4. В нашем инциденте, предположим, что средства были похищены в рамках транзакции с хэшем: 0xd67a77ec97e2bc9b9afdaed3db9f2c65acc2b6c825f8ac3112063e671e2ec906. В рамках данной транзакции злоумышленник вывел с нашего адреса (исследуемого) токены USDT. Чтобы найти эту транзакцию, перейдем в раздел Token Transfers (ERC-20) и найдем транзакцию кражи:

5. После того как транзакция найдена, нам потребуется посмотреть на то, куда средства были выведены. В нашем случае, средства в объеме 1017 USDT были выведены с исследуемого адреса на адрес предполагаемого злоумышленника: 0xe5A7C8E816f0aa386528a2D3982aA27741ef2a12 . Для дальнейшего отслеживания, нам потребуется найти ту же самую транзакцию, только на странице адреса злоумышленника:

6. Находясь в разделе всех транзакций адреса злоумышленника, мы выявили транзакцию, которую он получил от нашего исследуемого адреса. Следующим шагом требуется выявить транзакцию, в рамках которой злоумышленник потратил похищенные 1017 USDT. Для отслеживания такой транзакции требуется брать все последующие траты данного адреса. В таком отслеживании важно отслеживать именно токен USDT (токен, который украли) и объем. Как только мы увидим, что злоумышленник потратил украденные 1017 USDT — мы сможем увидеть адрес на который средства были выведены. Такая методология отслеживания называется LIFO и используется в большинстве расследований кражи криптовалюты. В нашем инциденте, мы видим трату похищенных средств в следующей транзакции:

7. В рамках транзакции вывода краденных средств мы видим, что средства были выведены на адрес с наименованием Stake.com. Stake.com — это тег, который блокчейн эксплорер относит к адресу. За наименованием Stake.com стоит адрес 0×974CaA59e49682CdA0AD2bbe82983419A2ECC400 , который аффилирован за гемблинг компанией Stake.com.

На данном этапе расследование в сети Ethereum можно считать завершённым. Это связано с тем, что украденные средства были переведены на централизованный сервис. После поступления активов на такие площадки (например, биржи или гемблинг-сайты) дальнейшее отслеживание движения криптовалюты в блокчейне становится невозможным. Централизованный сервис, в отличие от открытой блокчейн-сети, имеет собственные внутренние учетные системы и может конвертировать поступившие средства в фиатную валюту. Таким образом, именно этот момент считается точкой выхода злоумышленника и завершением прозрачной части расследования.

Работа с Bitcoin (сеть Bitcoin):

1. Заходим на сайт https://www.blockchain.com/explorer/ и вбиваем в поисковую строку адрес, с которого произошло хищение средств: bc1qv3pgxle306ss5nawvrv83xp2nyxw0ujr3txjhn

2. Попадаем на страницу адреса, где видим все транзакции адреса, его баланс, даты активности:

3. В сети Bitcoin не предусмотрена возможность использование никаких токенов кроме нативной валюты — BTC. В связи с этим, у нас нет вкладок Token Transafers. Хищение средств в рамках нашего инцидента произошло транзакцией — 7d83686deabef95d3e2b409f7e3a13d2bd589d81a790a3661ea5ef7aa3dbc800

4. Транзакции в сети Bitcoin гораздо сложнее чем в сети Ethereum для понимания. Транзакции представляют собой изменения балансов, нежели чем фактическое перемещение активов с адного адреса на другой. В транзакции хищения мы видим два отправителя (оба адреса — наш исследуемый адрес жертвы) и два получателя (два адреса, которые могут быть не аффилированы друг с другом). В рамках транзакции, мы видим, что наш адрес потратил 4.00000221 BTC, а один из адресов получателей получил на свой счет 4 BTC. Таким образом, мы можем предполагать, что именно адрес bc1qkp8tgu8smychs780w6nzqh9rvjamduapn9qm5rt5xnc9auf8qm3sxg85l9 является злоумышленником, получившим похищенные средства. Следующим шагом нам требуется перейти на страницу адреса злоумышленника и найти транзакцию получения:

5. Мы видим, что в рамках следующей транзакции средства были выведены в полном объеме, а среди двух получателей похищенных средств числится один адрес, который получил практически полный объем средств — bc1quhruqrghgcca950rvhtrg7cpd7u8k6svpzgzmrjy8xyukacl5lkq0r8l2d . Данный адрес мы считаем следующим адресом, через которые прошли похищенные средства:

6. Попадая на адрес, мы видим, что он обладает значительным количеством BTC, а также совершил огромное число транзакций. Это означает, что перед нами адрес централизованного сервиса и на данном этапе наше расследование окончено:

7. Заключительным пунктом нам требуется узнать, какому централизвонному сервису относится адрес bc1quhruqrghgcca950rvhtrg7cpd7u8k6svpzgzmrjy8xyukacl5lkq0r8l2d . Для этого, воспользуемся сервисом Arkham. Данный ресурс может подсказать разметку различных адресов, в том числе в сети Bitcoin. Исходя из информации сервиса Arkham, данный адрес является горячим кошельком биржи OKX. На данном этапе расследование в сети Bitcoin можно считать завершённым.

Инструменты для проверки разметки

Существует несколько способов проверить разметку адресов в блокчейне — то есть определить, к какому сервису или типу пользователя относится тот или иной адрес.

Первый и самый очевидный инструмент для этого — блокчейн-эксплореры.

В рамках данной статьи мы уже видели, как эксплорер Etherscan автоматически размечает некоторые адреса. Например, адрес

0×974cAa59e49682CdA8D2bbe829834149A2ECC400 был помечен как принадлежащий сервису Stake.com.

Большинство публичных эксплореров действительно содержат базовую разметку и иногда позволяют определить принадлежность адреса к биржам, DeFi-платформам или другим сервисам. Однако, как правило, этой информации недостаточно для проведения полноценного расследования. Чтобы получить более глубокую аналитику и расширенные данные о связях между адресами, специалисты используют специализированные аналитические сервисы, такие как Btrace, Arkham и другие.

Ниже приведён пример того, как различные сервисы визуализируют и обозначают разметку на примере адреса: bc1quhruqrghgcca950rvhtrg7cpd7u8k6svpzgzmrjy8xyukacl5lkq0r8l2d

Btrace:

Arkham:

Metasleuth:

Заключение

Блокчейн-эксплореры являются основным инструментом в арсенале специалиста, занимающегося расследованием инцидентов с криптовалютами. С их помощью можно детально отслеживать движение активов, определять маршруты перевода средств и выявлять адреса, связанные с подозрительной активностью.

На примерах сетей Ethereum и Bitcoin видно, что, несмотря на различия в архитектуре и формате транзакций, общий принцип расследования остаётся неизменным: от идентификации исходного адреса и транзакции кражи — до определения конечной точки вывода активов.

Однако возможности эксплореров ограничены рамками публичных данных. Когда средства попадают на централизованные сервисы — биржи или платформы гемблинга — дальнейшее отслеживание становится невозможным без взаимодействия с этими организациями. В таких случаях для углублённого анализа используются дополнительные инструменты и сервисы разметки, такие как Btrace, Arkham и другие аналитические платформы.

Таким образом, грамотное использование блокчейн-эксплореров в сочетании со специализированными аналитическими решениями позволяет не только восстанавливать цепочку движения похищенных активов, но и формировать доказательную базу, необходимую для дальнейших правовых и технических действий.