В основе — открытый реестр, поэтому при должном навыке любой перевод можно проследить от адреса к адресу. 🚀 Это привело к появлению целой индустрии: трейдеры отслеживают китов и притоки на бирже, эксперты по блокчейн-форензику помогают вернуть похищенное, а службы комплаенса отсеивают «грязные» монеты. 💰
В этом гайде по шагам мы разберем, как анализировать транзакции вручную, как поставить работу на поток с помощью инструментов и автоматики, и почему даже самый продвинутый трейсинг дает вероятность, а не стопроцентный ответ.
Базовые определения и рыночные метрики мы оставим за скобками — их есть в других ресурсах.
Часть 1. Анализируем транзакции вручную Шаг 1. Находим транзакцию по TXID. 📊 У каждого перевода в блокчейне есть уникальный идентификатор — TXID, хеш транзакции. Это длинная строка, обычно из 64 символов, которую сеть получает, прогоняя все данные перевода — входы, выходы, суммы и подписи — через алгоритм SHA-256.
Подделать такой хеш практически невозможно: малейшая правка данных дает совершенно другую строку, поэтому двух одинаковых TXID не бывает. По сути это «номер чека», по которому операцию найдет и проверит любой узел сети.
Способ получить хеш зависит от того, что уже есть на руках:
если перевод уже совершен — его можно открыть в истории кошелька или биржи. Рядом с операцией обычно есть ссылка вроде «Посмотреть в обозревателе»: она ведет на страницу транзакции, где идентификатор указан целиком;
если же на руках только адрес отправителя или получателя — его вставляют в строку поиска любого блокчейн-обозревателя (эксплорера). Откроется история адреса со всеми переводами; нужную транзакцию можно опознать по сумме и дате, а ее хеш — найти на странице самой транзакции.
Шаг 2. Разбираем устройство транзакции: входы, выходы и сдача. 📊 В отличие от банковского счета, биткоин не хранит баланс единым числом. Сеть работает по модели (unspent transaction output, неизрасходованный выход транзакции): средства существуют как отдельные «купюры» разного номинала, а кошелек хранит лишь ключи к ним.
Доступный баланс — сумма всех таких выходов, которые контролирует владелец. Потратить «купюру» частично нельзя. При оплате такой выход уходит в транзакцию целиком, а взамен сеть создает два новых: один — получателю, второй — сдачу обратно отправителю на свежий адрес.
Шаг 3. Проверяем подтверждения и мемпул. ⚡ Отправленная транзакция попадает в блокчейн не мгновенно. Сначала перевод оказывается в мемпуле — общей очереди операций, ожидающих включения в блок. На этом этапе возможны задержки: майнеры обычно отдают приоритет операциям с более высокой комиссией, поэтому при слишком низкой перевод может надолго остаться в очереди.
Шаг 4. Прослеживаем путь монеты. 🐋 Каждый вход новой операции ссылается на конкретный выход одной из предыдущих — по ее хешу, причем входов и выходов у нее может быть сразу несколько. Поэтому переводы складываются не в одну цепочку, а в разветвленную сеть: монеты в ней сходятся и расходятся между адресами.
По этой сети движение средств можно проследить в обе стороны — вперед к новым адресам и назад, вплоть до coinbase-транзакции, в которой они впервые появились как награда за добытый блок.
Часть 2. Ставим анализ на поток.
Шаг 5. Подключаемся к данным через API. 📊 Первый уровень — программный доступ к блокчейну через API нод и эксплореров. Это интерфейс, посредством которого скрипт запрашивает те же сведения, которые мы раньше могли видеть на странице перевода (но без участия человека и в любом объеме).
У сервиса mempool.space есть два варианта на выбор.
отвечает на разовые запросы: статус транзакции, баланс адреса, состояние мемпула;
держит постоянное соединение и сам присылает обновления — можно подписаться на адрес и получать сигнал каждый раз, когда по нему проходит новый перевод.
Шаг 6. Автоматизируем аналитику. 💻 Второй уровень — платформы, которые позволяют написать запрос один раз и получать готовый дашборд вместо разового результата.
На данные блокчейна запрашивают на языке SQL и выводят на графики; отчет по биржевым потокам, активности китов или топ-холдерам обновляется сам, без повторного запроса.
Шаг 7. Настраиваем мониторинг и алерты. 🚨 Третий уровень — уведомления вместо ручного обновления страницы. Связка «API плюс бот» следит за нужными адресами и присылает уведомление, как только средства приходят или уходят.
Часть 3. Трейсинг и его границы.
Шаг 8. Как работает блокчейн-форензик. 📊 Вершина автоматизации — трейсинг похищенных монет и расследование транзакций.
В основе этой технологии лежит кластеризация адресов по эвристикам, то есть правилам-предположениям.
Поверх кластеризации добавляют распознавание типовых схем отмывания. Это, например, дробление сумм или «пилинг» — когда от крупного кошелька раз за разом отщипывают небольшие порции.
Дальше идет оценка риска и атрибуция: привязка кластеров к реальным биржам, сервисам или лицам.
Граф кластеризации адресов и сущностей.
Шаг 9. Можно ли доверять автоматике. 💔 У автоматического анализа есть принципиальное ограничение. Кластеризация дает вероятность, а не факт. Эвристики ошибаются: например, технология специально объединяет в одной транзакции UTXO разных пользователей, из-за чего правило общего входа дает осечку.
Снизить риск утечки данных можно и вручную. Функция Coin control в кошельках (например, Sparrow или Trezor Suite) позволяет самому выбрать, какой UTXO потратить: подобрать выход под сумму платежа и не смешивать в одной транзакции монеты из разных источников.
Интерфейс Coin control как пример противодействия трейсингу.
Биткоин обеспечивает не анонимность, а псевдонимность — более слабое свойство, которое настойчивый анализ часто «пробивает», но не всегда. Результат остается оценкой, пусть и хорошо обоснованной.
Отсюда практический вывод. Стоит различать автоматическую группировку адресов и проверенную человеком атрибуцию: первая — гипотеза, вторая — вывод.
*** Открытый реестр делает каждый биткоин-перевод прослеживаемым — на этом строится весь ончейн-анализ. Для ручной работы достаточно базы: знать, что такое TXID, понимать модель UTXO и механику сдачи, читать входы, выход
По материалам ForkLog