Только за первое полугодие 2025 года мошенники похитили криптовалюту на сумму более $2,1 млрд, что говорит о росте схем отмывания денег. На этом фоне роль специалистов по крипторасследованиям становится ключевой в борьбе с финансовыми преступлениями Дмитрий Пойда, аналитик по расследованиям AML/KYT провайдера «Шард», рассказал о том, как именно строится процесс криптовалютных расследований, какие методы и … Continued The post Блокчейн-аналитика как профессия: как работают специалисты по крипторасследованиям appeared first on BeInCrypto.
Только за первое полугодие 2025 года мошенники похитили криптовалюту на сумму более $2,1 млрд, что говорит о росте схем отмывания денег. На этом фоне роль специалистов по крипторасследованиям становится ключевой в борьбе с финансовыми преступлениями
Дмитрий Пойда, аналитик по расследованиям AML/KYT провайдера «Шард», рассказал о том, как именно строится процесс криптовалютных расследований, какие методы и инструменты используются аналитиками, и почему роль человека в этом процессе остается незаменимой.
Цикл криптовалютного расследования начинается с обнаружения инцидента — это может быть обращение пострадавшего, сигнал от партнеров или зафиксированные «аномалии» в системе мониторинга. На первом этапе проводится предварительный анализ, в ходе которого определяются адреса и транзакции, задействованные в предполагаемом мошенничестве. Далее специалисты приступают к трассировке средств в блокчейне с помощью аналитических платформ, чтобы установить, куда были переведены активы, попали ли они на биржи и использовались ли миксеры.
Основная задача криптовалютного расследования заключается в определении точек входа и выхода средств, в которых возможно установить личность владельца активов. Финальным этапом становится подготовка аналитического отчета с хронологией событий, графом движения средств и подтверждающими данными.
Кроме того, расследования нередко инициируются по запросу правоохранительных органов. В таких случаях специалисты предоставляют заключение, которое помогает следователям формализовать запросы в криптовалютные биржи и использовать собранные данные в качестве доказательной базы в суде.
После получения запроса большинство бирж предоставляют информацию о пользователе, которому принадлежит подозрительный адрес. В числе этих данных могут быть: KYC-информация (ФИО, адрес, удостоверения личности), IP-адреса, история входов и транзакций, а также сведения о связанных аккаунтах и устройствах.
Если аккаунт проходил верификацию, на этом этапе можно установить реальную личность злоумышленника. После этого правоохранительные органы могут:
Любое криптовалютное расследование строится на принципе причинно-следственной связи: каждое действие злоумышленника оставляет след в блокчейне. Эти следы не удаляются, они могут быть запутаны, но не уничтожены.
Ключевой навык аналитика — реконструкция логики злоумышленника:
Это поможет выстроить поведенческий профиль, на основе которого уже будут приниматься решения.
На практике в криптовалютных расследованиях используется комбинация специализированных аналитических инструментов, открытых источников и собственной методологии, проверенной на реальных кейсах. Основная цель заключается в понимании поведения злоумышленника, выявлении ключевых точек его взаимодействия с инфраструктурой (биржами, сервисами) и сборе доказательной базы, пригодной для юридического использования.
В этом процессе важны не столько конкретные инструменты, хотя они также играют значимую роль, сколько способность аналитика интерпретировать данные, распознавать шаблоны и объединять разрозненные элементы в единую логическую картину.
На более глубоком уровне криптовалютное расследование представляет собой поиск порядка в хаосе. Несмотря на кажущуюся анархичность блокчейна как децентрализованной системы, в его структуре прослеживаются закономерности, повторяющиеся ошибки и поведенческие следы, характерные для человеческой деятельности.
Автоматизированные KYT-системы эффективно справляются с рутинным мониторингом и выявлением типичных подозрительных паттернов. Однако в ряде сложных случаев их возможностей может быть недостаточно.
Например, это особенно заметно при использовании злоумышленниками продвинутых методов обфускации: многократного применения миксеров, смешения активов в мультицепочечных DeFi-протоколах или обхода стандартных правил, заложенных в алгоритмах системы. Подобные сценарии зачастую выходят за рамки возможностей автоматической фильтрации, поскольку такие системы опираются на заранее заданные паттерны и статистические модели, а преступники стремятся их обходить.
С научной точки зрения, это связано с ограничениями алгоритмов машинного обучения и эвристических подходов: они показывают высокую эффективность на известных данных, но теряют точность при столкновении с новыми, нетипичными схемами и поведенческими моделями, отсутствующими в обучающих выборках. В таких ситуациях возникает необходимость в ручной работе — экспертном анализе, основанном на методах дедукции, индукции и кросс-валидации данных из разных источников.
Так, аналитик может заметить нетипичные временные корреляции транзакций, которые не фиксируются автоматикой, или выявить поведенческие паттерны, отражающие психологию мошенника. Как правило, у таких злоумышленников прослеживаются повторяющиеся ошибки, заметные только при глубоком анализе. Нестандартный подход включает в себя работу с OSINT-данными, анализ активности в социальных сетях и на форумах, а также изучение нестандартных DeFi-протоколов. Это позволяет сформировать полное «поведенческое досье» мошенника.
Микшеры характеризуются множеством мелких входящих и исходящих транзакций, совершаемых с высокой частотой в короткие промежутки времени, чтобы затруднить отслеживание движения средств. В отличие от них, легитимные мультисервисные кошельки, как правило, демонстрируют более стабильные и прозрачные потоки, отражающие повседневную активность пользователей или сервисов.
Некоторые микшеры используют стратегию «отложенных» переводов: средства сначала аккумулируются на одном адресе, а затем, спустя часы или даже дни, начинают выводиться на множество других. В течение нескольких суток суммы дробятся и распределяются по сотням кошельков с задержками от 12 до 48 часов. Это отличает их от мультисервисных кошельков, которые работают в более «живом» режиме.
Таким образом, отличительные признаки микшеров — это высокая интенсивность мелких транзакций, временные задержки и цепочки распределений, формирующие видимость хаотичного движения средств. В то время как деятельность легитимных мультисервисных кошельков, напротив, выглядит более прямолинейной, последовательной и оперативной — она отражает реальные пользовательские сценарии, а не попытки скрыть происхождение активов.
Ранее работа аналитика сводилась в основном к техническому трейсингу транзакций: отслеживанию пути средств, сопоставлению их с биржами и построению графов. Сегодня этого недостаточно — криптопреступники используют более сложные схемы обфускации, включая многоступенчатое дробление, миксеры и DeFi-протоколы.
В условиях появления новых видов мошенничества KYT-системы, аналитик становится основным звеном между автоматической диагностикой и человеческой интерпретацией. Его задача — восполнить пробелы, где алгоритмы не справляются. Для этого специалист должен владеть методами ручной реконструкции цепочек транзакций, применять OSINT-подходы, работать с данными из форумов и социальных сетей, а иногда даже создавать поведенческие профили на основе цифровых следов.
Навыки криминалистики, финансовой разведки, анализа угроз и юридической подготовки (в части допустимости доказательств) становятся неотъемлемой частью профессионального профиля современного аналитика.
Хотите стать частью большого и дружного сообщества BIC? Тогда подписывайтесь на нашу группу в «Телеграме» — там вас ждет общение с криптоэнтузиастами, помощь от наших экспертов и эксклюзивные комментарии опытных аналитиков.
The post Блокчейн-аналитика как профессия: как работают специалисты по крипторасследованиям appeared first on BeInCrypto.
JOIN
