Чем пользуется ZachXBT: 25 инструментов криптодетектива

12 мая один из самых популярных ончейн-расследователей ZachXBT опубликовал новое расследование. Он выяснил, что 18-летний житель США Дритан Капллани-младший причастен к криптокражам на сумму около $19 млн, включая хищение 185 BTC (около $13 млн на момент атаки). Сыщик-инвестигейтор отследил подозреваемого через цепочку транзакций, скриншоты из Discord-созвонов и контент с элементами богатства, который мошенник сам постил в сети.

На фоне выхода расследования участники криптосообщества снова задались вопросами о том, как именно онлайн-сыщик находит нужную информацию. Редакция BeInCrypto собрала в одном обзоре подборку инструментов для инвестигейторов. Чтобы было удобнее знакомиться со списком, мы разделили его на категории. Также мы прописали предпожительные варианты использования инструментов в ходе свежего расследования ZachXBT.

Оглавление

• Ончейн-следы: кошельки и транзакции
• Бридж-эксплореры: следы через мосты
• OSINT: связки между ончейн- и реальной личностью
• Архивы и аналитика
• Как это работает в связках

Ончейн-следы: кошельки и транзакции

Etherscan и Solscan

• Что это: базовые блокxtqy-эксплореры для EVM-сетей и Solana;
• Зачем нужны: посмотреть всю историю и текущее состояние любого адреса.

EVM-сети — это Ethereum и совместимые с ней сети (Polygon, Arbitrum, BNB Chain и другие), которые используют общий формат адресов.

Сервисы принимают адрес, хэш транзакции или контракт. На выходе — полная история транзакций, баланс, список токенов, взаимодействия со смарт-контрактами (программами внутри блокчейна, которые выполняют действия автоматически) и internal transactions. Последние — это внутренние переводы, которые делает сам смарт-контракт. В обычном списке они не показываются, но критичны для отслеживания: украденные средства часто уходят через цепочку контрактов.

Сыщик стартует именно отсюда: видит, что 185 BTC после взлома пришли на конкретный адрес, оттуда раздробились на пять кошельков — и переходит к каждому, чтобы тянуть цепочку дальше.

Blockchair

• Что это: универсальный эксплорер для биткоина и десятков других сетей;
• Зачем нужен: поиск по любой строке без указания сети.

Сервис принимает адрес, хэш или номер блока и сам определяет, к какой сети это относится.

Сценарий: пришел хэш транзакции от жертвы, в какой сети — неясно. Blockchair находит ее автоматически.

Arkham

• Что это: мультичейн-эксплорер с метками сущностей;
• Зачем нужен: понимать, кому принадлежит адрес, и строить графы потоков.

Метки — это привязка анонимного адреса к реальному владельцу: биржа, маркет-мейкер, венчурный фонд, известный мошенник, фишинговая группа. И команда сервиса, и пользователи (за вознаграждение по программе bounty — система выплат за полезные действия) подписывают новые адреса.

Вводишь голый 0x… — сразу видишь, что это, например, депозитный адрес Binance, а не безымянный кошелек.

Также Arkham дает визуализатор для построения графов потоков и алерты — оповещения о новых действиях с интересующих адресов.

MetaSleuth

• Что это: визуализатор потоков средств от компании BlockSec;
• Зачем нужен: построить граф «откуда — куда» шли средства.

По функционалу сервис близок к TRM, но рассчитан на ритейл: есть бесплатный тариф, не требуется корпоративная верификация.

Вводишь адрес — получаешь визуальный граф потоков с фильтрами по сумме (можно отсечь мелочь и оставить только крупные транши). Подходит, когда нужно показать в статье или твите, как $13 млн раздробились через 50 промежуточных адресов и осели на трех биржах.

TRM

• Что это: профессиональная платформа TRM Labs для расследований и комплаенса;
• Зачем нужна: глубокий анализ адреса с оценкой риска для биржи или правоохранителей.

Платная корпоративная подписка, целевая аудитория — правоохранители, биржи, compliance-отделы.

Кроме графов и меток сервис дает risk scoring — оценку риска адреса в баллах. Например, связан ли кошелек:

• с миксером — сервисом, который смешивает крипту разных пользователей, чтобы скрыть источник средств;
• с санкционным списком (OFAC и другими);
• с ransomware-группой — распространителями вирусов-вымогателей, шифрующих данные ради выкупа.

Также TRM нужен для AML-проверок (anti-money laundering, противодействие отмыванию денег) и для подготовки материалов к суду.

Сыщик обычно работает без TRM, но конечный отчет правоохранители часто верифицируют именно через него.

Cielo

• Что это: сервис мониторинга кошельков в реальном времени;
• Зачем нужен: получать оповещения о каждой транзакции с интересующего адреса.

Сервис доступен и как веб-дашборд, и как Telegram-бот. Поддерживает EVM-сети, биткоин, Solana, Tron и другие.

Добавляешь подозрительный адрес в watchlist (список наблюдения) — получаешь пуши о каждой новой транзакции: свапы (обмен одного токена на другой внутри блокчейна), депозиты на биржу, переводы.

Главная польза — не пропустить момент, когда деньги начинают двигаться.

MetaSuites

• Что это: расширение для Chrome, надстройка над блок-эксплорерами;
• Зачем нужно: видеть метки и USD-стоимость прямо на странице Etherscan, без переходов.

Накладывается поверх Etherscan и аналогичных эксплореров для других сетей. Рядом с адресом показывает USD-стоимость баланса, метку сущности (например, «OKX Deposit»), ссылки на быстрый переход в другие инструменты.

Экономит десятки кликов в каждом расследовании.

Бридж-эксплореры: следы через мосты

Когда злоумышленник переводит украденное в другую сеть через мост (бридж — сервис, который позволяет «перенести» актив из одного блокчейна в другой), обычный блок-эксплорер обрывается на адресе моста: транзакция входит в контракт — и след пропадает. В этот момент подключаются специализированные сервисы.

Range

• Что это: эксплорер CCTP — кросс-чейн протокола Circle;
• Зачем нужен: отслеживать переводы нативного USDC между EVM-сетями.

CCTP позволяет перемещать USDC между Ethereum, Arbitrum, Base, Polygon, Avalanche и другими сетями.

Подаешь хэш транзакции в исходной сети — получаешь соответствующую транзакцию в целевой сети с адресом получателя. Без Range приходится сверять блок-таймстемпы и суммы вручную.

Socketscan

• Что это: эксплорер моста Socket;
• Зачем нужен: отслеживать переходы между EVM-сетями через инфраструктуру Socket.

Socket — протокол кроссчейн-взаимодействия, на котором работает популярный агрегатор мостов Bungee. Socketscan дает картину транзакций, прошедших через Socket-инфраструктуру: показывает, куда вышли средства после моста. Логика та же, что у Range.

Pulsy

• Что это: агрегатор бридж-эксплореров;
• Зачем нужен: проследить трассу сразу через несколько мостов в одном окне.

Подтягивает данные из нескольких популярных протоколов кросс-чейн переводов — LayerZero, Stargate, Wormhole, Across, deBridge.

Подаешь хэш или адрес — Pulsy показывает все переходы между сетями, даже если использовалось несколько разных мостов подряд (типовой прием при отмывании). Один сервис экономит обход десятка отдельных эксплореров.

OSINT: связки между ончейн- и реальной личностью

OSINT (open-source intelligence) — разведка по открытым источникам. В крипторасследовании это все то, что не лежит в блокчейне: следы в соцсетях, утечках, мессенджерах, на форумах и в архивах.

OSINT Industries

• Что это: платный сервис проверки по e-mail, нику и номеру телефона;
• Зачем нужен: найти, на каких сайтах зарегистрирован владелец данного e-mail или номера.

Вводишь данные — получаешь список сторонних сервисов плюс метаданные: имя владельца, аватар, дата регистрации, иногда город.

Поддерживает сотни платформ: Google, Apple, Twitter, Telegram, Spotify, Strava, Adobe, LinkedIn и многие другие.

Сценарий: знаешь только e-mail подозреваемого — узнаешь, что у него есть Telegram со статусами, Spotify с фото и LinkedIn с местом работы.

Cavalier by Hudson Rock

• Что это: база компьютеров, скомпрометированных инфостилерами;
• Зачем нужен: понять, был ли заражен компьютер жертвы или подозреваемого, и какие сервисы там утекли.

Инфостилеры — вредоносные программы, которые тайно крадут с зараженной машины пароли, файлы криптокошельков, cookie браузера и историю входов. Самые известные семейства — RedLine, Vidar, Raccoon.

Cookie — файлы, которые сайт сохраняет в браузере для распознавания уже залогиненного пользователя. Кто украл cookie, тот заходит в аккаунт без пароля.

Подаешь e-mail или домен — Cavalier показывает, есть ли в базе зараженные машины с этими учетками и к каким сервисам там были логины.

Сценарий: жертва говорит «у меня украли сид-фразу» (12 или 24 слова, восстанавливающие доступ к криптокошельку, — кто знает сид-фразу, тот владеет кошельком). Проверка e-mail в Cavalier подтверждает, что компьютер был заражен RedLine за две недели до взлома.

Атакующая сторона тоже часто сама засветилась в утечках инфостилеров — это дает выход на ее реальную почту.

LeakPeek

• Что это: поисковик по агрегированным базам утечек;
• Зачем нужен: по e-mail или нику найти связанные пароли, ники, телефоны.

Возвращает данные из публично известных дампов: пароли, ники, телефоны, IP-адреса.

Сыщик использует инструмент, чтобы по одному e-mail собрать набор сопутствующих идентификаторов — другие почты на тех же паролях, телефоны, исторические ники.

Snusbase

• Что это: тот же класс сервиса, что и LeakPeek, но с собственным набором баз;
• Зачем нужен: дублирующее покрытие — то, чего нет в одном источнике, часто есть в другом.

Применяется в паре с LeakPeek, чтобы не пропустить утечку, не попавшую в основную базу.

Intelx

• Что это: платформа Intelligence X для поиска по утечкам и dark web;
• Зачем нужна: вытащить упоминания подозреваемого там, куда не достают обычные поисковики.

Сервис охватывает несколько типов источников:

• утечки баз данных;
• dark web — часть интернета, доступная только через анонимную сеть Tor, где работают форумы и маркетплейсы, не индексируемые обычными поисковиками;
• paste-сайты — Pastebin, Doxbin и аналоги, сервисы публикации произвольного текста по ссылке, куда часто сливают базы и личные данные;
• Telegram-каналы.

Поддерживает массовые запросы и часто находит данные, которых нет у конкурентов.

Spur

• Что это: сервис разведки по IP-адресам;
• Зачем нужен: определить, прятался ли пользователь за средствами анонимизации.

Сервис определяет тип соединения:

• средства обхода интернет-блокировок;
• обычные прокси-сервисы;
• residential proxy — прокси-сети из IP реальных домашних пользователей, внешне неотличимые от обычного домашнего интернета;
• узлы Tor — анонимной сети, которая маршрутизирует трафик через цепочку случайных узлов и скрывает реальный IP.

Сценарий: жертва дала IP, с которого был фишинговый вход в кошелек. Spur показывает, что это residential proxy — атакующий маскировался под обычного домашнего пользователя.

Mugetsu

• Что это: история смен ника в X (бывший Twitter) плюс лукапы по мемкоинам;
• Зачем нужен: проверить, под какими именами раньше работала учетка и какие токены продвигала.

Вводишь @никнейм — видишь, под какими именами учетка работала раньше и какие токены пушила.

Сценарий: блогер с большой аудиторией (в крипте таких называют KOL, key opinion leader — лидер мнений) рекламирует «гем», то есть якобы перспективный токен.

Mugetsu показывает, что две недели назад тот же аккаунт назывался иначе и продвигал другой токен по схеме pump-and-dump — организованной накачке цены с последующим обвалом, когда организаторы продают свои запасы на пике.

TelegramDB Search Bot

• Что это: бот в Telegram, один из нескольких подобных;
• Зачем нужен: узнать, в каких группах и под какими никами состоит пользователь.

По юзернейму или числовому ID показывает группы, в которых состоит или состоял пользователь, иногда историю смены имени и фото.

Дает «социальный граф» — список приватных чатов, в которых сидит подозреваемый.

Discord[.]ID

• Что это: сайт discord.id;
• Зачем нужен: получить базовые данные по числовому ID аккаунта Discord.

ID можно снять через developer mode в самом мессенджере. Сервис возвращает дату создания учетки, аватар, имя и иногда серверы.

Сценарий: подозреваемый общается с жертвой в Discord. Сыщик снимает его ID, пробивает и видит, что аккаунту три недели — учетка создана специально под скам.

Impersonator

• Что это: расширение для Chrome, которое подменяет адрес кошелька;
• Зачем нужно: подключиться к dApp от имени чужого адреса и увидеть его интерфейс.

dApp (decentralized application) — приложение, работающее на блокчейне: децентрализованная биржа, маркетплейс NFT, лендинг-протокол.

Указываешь чужой адрес — приложение считает, что это ты, и подгружает интерфейс под него:

• позиции в DEX (decentralized exchange, децентрализованной бирже типа Uniswap);
• NFT-инвентарь — невзаимозаменяемые токены, чаще всего изображения, коллекционные предметы или внутриигровые активы;
• пройденные квесты;
• доступные эирдропы — бесплатные раздачи токенов проектом для ранних пользователей.

Все это в режиме чтения, без доступа к приватным ключам.

Архивы и аналитика

Wayback Machine

• Что это: архив web.archive.org;
• Зачем нужен: посмотреть, как сайт выглядел в прошлом, до удаления.

Вводишь URL — получаешь снимки страницы за разные даты, иногда годами назад.

Незаменим, когда мошенники удалили сайт, страницу с командой или whitepaper (официальный документ проекта с описанием технологии, токеномики и команды — стандарт для любого криптопроекта).

Сценарий: проект убрал из сайта раздел Team. Wayback Machine показывает версию от марта с реальными именами, фотографиями и ссылками на LinkedIn.

Archive Today

• Что это: сервис archive.ph (он же archive.today);
• Зачем нужен: альтернатива Wayback Machine с другой базой снимков.

Часто архивирует то, чего нет в Internet Archive, — в том числе контент за пейволами и отдельные твиты.

Применяется как дублирующий источник: то, что удалили из X, бывает только здесь.

Dune

• Что это: аналитическая платформа dune.com;
• Зачем нужна: писать SQL-запросы по данным блокчейнов или использовать готовые дашборды.

SQL — язык запросов к базам данных. Готовые дашборды от сообщества покрывают большинство популярных задач.

Сыщик использует Dune, чтобы посмотреть на ситуацию агрегированно:

• топ-10 кошельков, купивших токен в первые пять минут после листинга (момента, когда токен официально добавляют в торги на бирже);
• объем депозитов на конкретную биржу за неделю до пампа;
• пересечения держателей двух подозрительных токенов.

Если SQL писать не хочется — почти всегда есть готовый дашборд под задачу.

Obsidian

• Что это: локальный блокнот на основе markdown;
• Зачем нужен: связывать факты, адреса и ники в визуальную карту расследования.

Markdown — простой текстовый формат с легкой разметкой. Obsidian поддерживает граф связей между заметками.

На каждый адрес, ник, e-mail и факт сыщик заводит отдельную заметку и проставляет обратные ссылки. На выходе получается визуальная карта расследования — своего рода «доска с фотографиями и нитками» из криминальных сериалов.

Удобно для длинных расследований, в которых сотни сущностей и забыть, что с чем связано, легко.

CryptoTaxCalculator

• Что это: сервис расчета налогов на крипту;
• Зачем нужен сыщику: за минуты посчитать PnL по любому адресу.

Подключаешь адрес — сервис автоматически разбирает все свапы и переводы, считает PnL (profit and loss, итоговую прибыль и убыток) по методу FIFO (first in, first out — «первым купил, первым продал», стандартный подход в налоговом учете).

Сыщики применяют его в обратной задаче: посчитать, сколько именно заработал скамер на пампе. Складывать вручную триста свапов нереально, CryptoTaxCalculator делает это за пару кликов.

Как это работает в связках

Расследование редко строится на одном инструменте. Несколько типовых сценариев.

Деанон скамера через ончейн плюс OSINT

Стартовая задача: от анонимного адреса дойти до реальной личности.

1. Прогон адреса через Arkham и MetaSleuth — получаются граф потоков и метки сущностей;
2. Cavalier и OSINT Industries проверяют появившиеся e-mail, телефоны и ники;
3. LeakPeek, Snusbase и Intelx ищут утечки на эти же данные;
4. Mugetsu подсказывает, какие еще ники носил тот же твиттер-аккаунт;
5. Discord[.]ID и TelegramDB закрывают историю по мессенджерам.

Слежка за украденными средствами

Задача: проследить путь украденного до биржи или миксера, чтобы успеть подать запрос на заморозку.

1. Etherscan или Solscan дают первичную цепочку;
2. Когда транзакции уходят в мост — Range, Socketscan или Pulsy подхватывают трассу в целевой сети;
3. Cielo ставится на алерты по выявленным кошелькам, чтобы не пропустить вывод на биржу.

Расследование пампа на бирже

Задача: показать, что памп токена был не органическим, а скоординированным.

1. Dune дает агрегированную картину депозитов и торговых паттернов — например, кто из крупных кошельков занес токен на биржу за день до скачка цены;
2. Arkham и MetaSleuth помогают вытянуть граф между маркет-мейкером и командой проекта;
3. Wayback Machine достает старую версию сайта — иногда там сохранились реальные имена основателей;
4. CryptoTaxCalculator оценивает, сколько именно заработали инсайдеры в долларах.

Маркет-мейкер — компания, которая поддерживает торговлю токеном: ставит заявки на покупку и продажу, обеспечивает ликвидность. В скам-схемах часто действует в сговоре с командой проекта.

Когда подозреваемый известен по нику

Задача: собрать максимум данных о человеке, имея только его никнейм.

1. OSINT Industries, LeakPeek, Snusbase и Intelx собирают цифровой след: где регистрировался, с какой почтой, какие пароли утекали;
2. Cavalier дополняет данными из инфостилеров — какие сервисы были залогинены на зараженной машине;
3. Spur показывает, прятался ли пользователь за средствами обхода блокировок или residential proxy;
4. Wayback Machine и Archive Today фиксируют его прошлые публичные посты до того, как он их удалил.

Перечисленные сервисы — рабочий минимум. У ZachXBT и других известных сыщиков набор шире и включает закрытые корпоративные подписки уровня Chainalysis Reactor и TRM Forensics. Базовая логика та же:

• ончейн-следы — из эксплореров и аналитики;
• бридж-сервисы — для перехода между сетями;
• OSINT — для привязки кошелька к реальной личности;
• архивы — для фиксации старых публичных следов, которые мошенники потом удаляют.

Хотите получить доступ к экспертным инсайдам? Подписывайтесь на наш телеграм-канал, получайте доступ торговым сигналам и новостям рынка, общайтесь с нашим аналитиком. Будьте на шаг впереди рынка каждый день!

The post Чем пользуется ZachXBT: 25 инструментов криптодетектива appeared first on BeInCrypto.