От адреса к имени: как OSINT вскрывает блокчейн

Поделиться:
Открытый реестр прозрачен: суммы, время транзакций и адреса всегда на виду. Однако личности тех, кто стоит за этими переводами, остаются скрытыми.
Ранее ForkLog уже разбирал механику отслеживания монет на примере TXID и модели UTXO. Этот путь можно пройти вручную, изучая данные в любом блокчейн-обозревателе.
Но у такого подхода есть предел. Цепочка блоков показывает лишь движение средств, а не инициатора перевода. Здесь на сцену выходит OSINT — разведка по открытым источникам. Именно она помогает связать анонимный адрес с реальным человеком.
Разберемся, какие данные реестр открывает сам, а какие приходится добывать извне, как поэтапно строится расследование, на каких инструментах оно базируется и где проходит грань между аналитикой и слежкой.
За пределами блокчейна
Распределенный реестр ничего не скрывает. Каждый перевод и кластер кошельков виден любому наблюдателю. В этом заключается суть ончейн-анализа. Но у метода есть предел: цепочка отвечает на вопрос «куда», а не на вопрос «кто».
Этот пробел восполняет OSINT — разведка по открытым источникам. Дисциплина старше криптоиндустрии: мониторинг общедоступных радиоэфиров наладили в Великобритании и США еще во время Второй мировой войны.
Суть метода с тех пор не изменилась. Это анализ информации, которая находится в открытом доступе и собрана без взлома систем защиты. В блокчейн-сфере сюда попадает почти все: сообщения на форумах, сведения о регистрации доменов, старые скриншоты и утечки баз данных.
Подобная связка работает благодаря псевдонимности. В отличие от абсолютной анонимности, в сети биткоина и большинстве других блокчейнов пользователь скрыт за буквенно-цифровым адресом, но все его действия навсегда остаются в реестре.
«Личность не раскрыта напрямую, а вот след от нее заметен и неизменен», — объясняют в OSINT Industries.
На практике ончейн-анализ и OSINT решают разные задачи. Первый восстанавливает маршрут монет: кто кому и сколько перевел, через какие адреса прошли средства.
Разведка по открытым источникам связывает адрес с внешними данными — аккаунтом на бирже, профилем в соцсети или доменной записью. Одной оплошности пользователя достаточно для его деанонимизации.

Зачем вообще «копать»
За аббревиатурой OSINT стоят пять разных направлений. У каждого из них свои задачи и результаты.
Первое — расследование краж и мошенничества. Независимые аналитики публикуют данные, которые помогают оперативно заморозить похищенные активы. Например, в деле о краже $243 млн у кредитора Genesis такое расследование позволило заблокировать более $9 млн.
Второе — комплаенс и санкционный скрининг. Криптовалютные транзакции часто охватывают множество площадок и юрисдикций. В таких условиях важно не просто отследить перевод, а привязать его к реальному человеку.
Третье — разведка угроз, или threat intelligence. С ее помощью отслеживают потоки средств, связанные с выплатами вымогателям и работой нелегальных площадок.
Четвертое — рыночная аналитика. Многие крупные держатели и связанные с ними кошельки давно под пристальным наблюдением. Трейдеры воспринимают движение их средств как сигнал о готовящихся распродажах или накоплении активов.
Пятое — журналистские расследования. Крах биржи FTX в 2022 году начался с публикации CoinDesk: издание сопоставило корпоративные документы с ончейн-данными и выяснило, что бизнес держался на неликвидном токене FTT.
У всех пяти сценариев общая механика: от следа в реестре — к внешним данным, а от них — к конкретному имени.

От адреса к имени
Расследование редко начинается с готового имени. Чаще всего на старте есть лишь аномалия: взломанный контракт, адрес из жалобы пострадавшего или кошелек из сомнительной схемы.
Сам процесс исследователи делят на четыре стадии: зацепка, сбор данных, привязка адреса и проверка. Строгого порядка действий нет, но логика неизменна — двигаться от цифрового следа в реестре к реальному человеку.
Зацепка задает направление. Отправной точкой служит сам инцидент, конкретный адрес, тип кошелька (например, горячий, биржевой) или смарт-контракт. От этого зависит стратегия поиска.
Сбор данных — OSINT в чистом виде. Аналитик ищет любую связь адреса с офчейном: доменные записи, профили в соцсетях, переписку на форумах и в Discord, утечки баз, старые скриншоты. Каждая находка становится связующим звеном между псевдонимом и личностью.
Атрибуция сводит разрозненные факты воедино. Адреса группируют в кластеры по контрагентам, времени и суммам переводов, а затем привязывают к бирже, сервису или лицу. Нередко исход решает одна ошибка: публично засвеченный кошелек или депозит на платформу с KYC способны сразу раскрыть владельца.
Верификация оставляет последнее слово за аналитиком. На этом этапе перепроверяют связи, ищут противоречия и оценивают вероятность ошибки.
В этом кроется главное ограничение метода. Атрибуция всегда носит вероятностный характер: она говорит не «это точно он», а «скорее всего, он».
В наиболее сложных расследованиях ончейн-анализ дополняют исследованием устройств, оперативной памяти и сетевого трафика. Пропуск любого из этих слоев — повод усомниться в выводах.
Для каждой из четырех стадий применяется свой набор инструментов — от блокчейн-обозревателей до систем визуализации связей.

Арсенал аналитика
Когда говорят об инструментах форензики, обычно вспоминают пару известных платформ. Но реальный арсенал аналитика гораздо шире и по большей части бесплатен.
Базовый уровень — блокчейн-обозреватели. Это Etherscan для Ethereum, Blockchair и WalletExplorer для биткоина, Solscan и TronScan для Solana и TRON соответственно. Они показывают транзакции, балансы, историю адресов.
Следующий слой — системы визуализации. Они отображают потоки средств в виде графа. К этой категории относятся Arkham, Breadcrumbs и OXT. С их помощью аналитик отслеживает движение активов и быстрее замечает связанные кластеры.
Отдельный пласт — коммерческие форензик-платформы вроде Chainalysis, TRM Labs, Elliptic и Scorechain. Их используют биржи, банки и правоохранительные органы для комплаенса и оценки рисков. Доступ к ним обычно платный и предоставляется корпоративным клиентам.
За поиск офчейн-данных отвечает классический OSINT. Maltego строит графы связей между людьми и аккаунтами, SpiderFoot автоматизирует сбор информации из сотен источников, а IntelligenceX ищет данные по архивам и утечкам, включая биткоин-адреса.
В этот же набор входит геолокация по IP через MaxMind и Google-дорки — специальные поисковые операторы для сужения выдачи. Например, запрос с параметром site: находит упоминания кошелька на конкретном сайте.
Ориентироваться в многообразии софта помогают каталоги. OSINT Framework представляет собой дерево категорий с инструментами под любую задачу. Также существуют открытые подборки на GitHub, собранные специально для блокчейн-расследований.
Порог входа в профессию низкий, так как большинство сервисов открыто для всех. Именно поэтому вокруг OSINT не стихают споры о том, где заканчивается законное расследование и начинается вторжение в приватность.

Легально, но не бесспорно
OSINT легален по своей природе. Он работает с открытыми данными и не обходит системы защиты. Проблемы возникают не на этапе поиска, а при использовании результатов.
Первая сложность — правовая. Согласно статье 6 регламента GDPR, для обработки персональных данных нужны законные основания, даже если эти сведения находятся в открытом доступе.
Вторая сложность — цена ошибки. Ошибочная атрибуция адреса создает риски для реальных людей: инструмент для поиска злоумышленников может указать на невиновного. При этом опубликованное обвинение годами остается в поисковой выдаче и веб-архивах.
У OSINT есть принципиальные противники. Часть индустрии считает финансовую тайну неотъемлемым правом, а не лазейкой для преступников.
Эту логику отражают приватные монеты: Monero по умолчанию скрывает суммы и адреса, а Zcash предлагает экранированные транзакции на выбор пользователя. Для сторонников такого подхода OSINT — не способ борьбы с преступностью, а инструмент тотального надзора.
Однозначного победителя в этом споре нет. Прозрачность реестра работает в обе стороны: она помогает аналитикам, но также упрощает слежку.
Сыщики-самоучки
У многих известных ончейн-детективов нет ни профильного диплома, ни служебного удостоверения.
Исследователь под ником ZachXBT пришел в криптоиндустрию на волне ICO-лихорадки 2017 года как обычный розничный инвестор. Потеряв деньги на скам-проектах, он самостоятельно изучил блокчейн-форензику.
Спустя годы его расследование помогло раскрыть кражу $243 млн. Исполнителей он вычислил по офчейн-следам: случайно раскрытому имени, повторяющимся адресам и геометкам в соцсетях. В итоге Минюст США предъявил обвинения двоим фигурантам.
Другой пример — Coffeezilla (Стивен Финдайзен). Инженер-химик по образованию занялся разоблачениями после того, как его мать обманули продавцы «чудо-лекарств». Свою аудиторию он собрал на YouTube.
Одной из самых заметных работ стало интервью, где он добился признания от Хэйдена Дэвиса — ключевой фигуры скандала вокруг токена LIBRA. Тот публично назвал сумму собственной прибыли, которая составила около $113 млн.
ZachXBT и Coffeezilla объединяет не технический арсенал, а подход: упорство и грамотная работа с базовыми данными. Порог входа в эту сферу гораздо ниже, чем принято считать.
Открытый реестр превратил деанонимизацию в ремесло. Задачи, которые раньше были прерогативой спецслужб и комплаенс-отделов, теперь по силам энтузиасту с ноутбуком.
У доступности инструментов есть оборотная сторона. Чем нагляднее алгоритм рисует связи, тем выше соблазн поверить ему вслепую. Но совпадение адресов — лишь гипотеза, а не приговор. Инструмент показывает данные, окончательный вывод делает человек.









