Как отслеживают криптовалюту: методы деанонимизации

Технология блокчейн — это не анонимная сеть, а прозрачный реестр. В нем нет имен, но есть все необходимые для раскрытия личности данные: адреса кошельков, детали транзакций, время активности и, главное, IP-адреса.

Эти данные собирают и хранят ноды, часть которых контролируется преступниками и хакерами. Они связывают криптокошельки с реальными людьми и даже определяют их физическое местоположение.

В статье расскажем, как происходит деанонимизация транзакций и почему она может быть опасна для пользователей криптовалют.

Как отследить криптовалюту и деанонимизировать бизнес

Компании работают с гораздо большим количеством транзакций, нежели рядовые пользователи, поэтому бизнес проще деанонимизировать и вычислить его оборот. Вот как могут отследить ваши транзакции в блокчейне и связать их с реальной личностью:

1. Отслеживание IP-адресов и сетевых метаданных

При каждой транзакции криптокошелек подключается к публичной ноде и передает ей реальный IP-адрес и метаданные, включая временные метки, тип устройства и другие технические данные. Многие ноды принадлежат хакерам и преступникам. С помощью IP-адреса они могут отслеживать все ваши транзакции и даже ваше физическое местоположение.

Такие случаи уже приводили к насилию и вымогательству. По всему миру происходят десятки похищений криптоинвесторов и предпринимателей. Один из самых известных — недавнее похищение Дэвида Баллана, соучредителя компании Ledger. Бизнесмена удалось спасти, однако перед этим преступники отрезали ему палец.

2. Ончейн-метки и базы размеченных адресов

Ончейн-метки — это бирки на адресах в блокчейне. Например, если адрес принадлежит миксеру или даркнет-магазину, аналитические платформы (Chainalysis, Elliptic, TRM Labs) помечают его как «подозрительный», и вся криптовалюта, проходящая через него, получает повышенный уровень AML-риска. Эта информация навсегда сохраняется в блокчейне. Даже если средства были перемешаны или отправлены через промежуточные кошельки, они останутся «загрязненными».

Бизнес, взаимодействующий с такой криптовалютой, попадает в зону риска. В другой статье рассказали про то, как у компании заморозили средства из-за всего одного подозрительного платежа от клиента.

3. Офчейн-аналитика: Telegram, GitHub, соцсети

Всё чаще используется анализ офчейн-источников (вне блокчейна). Владельцы проектов и бизнес-кошельков сами раскрывают критичные детали: ENS-имена, адреса на лендингах, комментарии на форумах, Telegram-чаты, GitHub-репозитории, Twitter/X и Discord и API-документацию. Информация в открытом доступе часто позволяет напрямую связать кошелек с конкретной компанией, разработчиком или проектом.

Так, например, в декабре 2024 года на Бали похитили украинца Игоря Ермакова и его водителя. Его заставили перевести примерно $214 000 в криптовалюте со счета Binance. Подозреваемые могли определить жертву через смесь офчейн-сигналов (посты в Telegram-канале, в Instagram-аккаунте) и ончейн‑данных.

За год до этого случая, также на Бали, ограбили криптоинвестора Юрия Бойцова. К нему на виллу ворвались четверо преступников, которые заставили его перевести на их криптокошелек $284 000 в биткоинах. Местоположение инвестора смогли обнаружить благодаря его публикациям в соцсетях.

4. Графовая аналитика транзакций, точки входа и выхода

Злоумышленники выстраивают графовые цепочки криптовалютных переводов: от клиента к платежному шлюзу, затем к распределительным и финальным кошелькам. Даже при использовании множества промежуточных адресов, связи между ними можно восстановить за счет анализа времени, объемов и структуры транзакций. Такой граф помогает визуализировать движение средств и вскрывает бизнес-логику.

Но даже если схема работы компании полностью построена в ончейне, выходы на централизованные биржи (CEX) все равно остаются уязвимым звеном. Любое пополнение или вывод криптовалюты с биржи оставляет запись в блокчейне, которую можно сопоставить с верифицированным KYC-профилем. Эти данные сохраняются навсегда и становятся частью ончейн-следа, который может привести к реальному владельцу адреса.

5. Поведенческое профилирование и анализ паттернов

Машинное обучение анализирует, как именно пользователи взаимодействуют с блокчейном. Учитываются такие параметры, как частота входов в кошелек, время между транзакциями, скорость реакции на события (например, на движение курса), а также объемы операций.

Пример — массовые выплаты в определенные дни месяца и повторяющиеся суммы, характерные для выплат зарплат. На основании этих паттернов можно отличить одиночного пользователя от организованного бизнеса.

6. Уязвимые точки в колбеках и API

Многие бизнесы используют колбек-уведомления (callback) и открытые API для получения статусов транзакций или автоматизации криптоплатежей. Однако без должной защиты — подписи данных и шифрования — колбеки становятся уязвимыми. Их могут просто перехватить или проанализировать и определить структуру потоков, адреса кошельков и бизнес-логику: кто платит, сколько и куда.

Так, iGaming-платформа столкнулась с атакой, в ходе которой злоумышленники скомпрометировали колбек-данные. Они смогли подделать информацию о балансах на игровых счетах и вывести из личных кабинетов деньги, которых на самом деле там не было. После инцидента компания обратилась к нам с задачей защитить инфраструктуру от подобных атак.

BitHide использует шифрование колбек-уведомлений, чтобы исключить вмешательство и перехват данных. Каждое уведомление сопровождается криптографической подписью, что позволяет валидировать подлинность события на стороне клиента.

Заключение

Существует множество способов связать криптокошелек с реальной личностью пользователя. Деанонимизация может закончиться, в лучшем случае, потерей крупной суммы, в худшем — частей тела. Будьте внимательны, не рассказывайте о том, что владеете криптовалютой в социальных сетях и не открывайте кошельки или портфолио в публичных местах. Бизнесу, работающему с криптовалютой важно подбирать безопасные платежные решения, разработанные специально для компаний. Свяжитесь с нашей командой и узнайте, как BitHide может решить задачи вашего бизнеса.