Самое устойчивое заблуждение в криптобезопасности — это то, что криптовалюту нельзя отследить. С этим мнением мы сталкиваемся в расследованиях постоянно, и оно неизменно играет против жертв, которые медлят с заявлением о краже, полагая, что сделать уже ничего нельзя.
Блокчейн — это публичный реестр, в который можно только дописывать. В нём фиксируется каждая когда-либо совершённая транзакция: адрес отправителя, адрес получателя, сумма, временна́я метка. Эти данные запечатываются в блок с криптографическим хешем, связывающим его с каждым предыдущим блоком. Измените хотя бы один символ в прошлой транзакции — и хеш ломается, что немедленно замечает каждый узел сети. Именно это делает реестр неизменяемым.
Блокчейн-обозреватели вроде Etherscan или Blockchain.com делают эту запись доступной для публичного поиска. Не нужен ни аккаунт, ни особый доступ. Вся история транзакций любого адреса видна каждому, кто знает, где смотреть.
Воры это знают, и поэтому изощрённые игроки тратят немало усилий, пытаясь скрыть свой след после кражи. Сами эти усилия оставляют закономерность, а закономерности — это то, что читают расследователи.
Блокчейн-адрес не показывает имени. На этом приватность и заканчивается. У самого адреса есть полная публичная история: каждая транзакция, в которой он когда-либо участвовал; каждый кошелёк, с которым он взаимодействовал; каждый депозит на бирже, связанный с ним.
В 2013 году исследовательница Сара Мейклджон из Калифорнийского университета в Сан-Диего покупала товары, намеренно совершала транзакции в даркнете и отследила каждую из них по блокчейну биткоина. Представление о том, что крипта обеспечивает подлинную анонимность, рассыпалось под элементарным академическим анализом. Инструменты, доступные расследователям сегодня, на порядки мощнее тех, что использовала Мейклджон.
Одна закономерность, которую мы стабильно замечаем: злоумышленники, уверенные, что успешно замели следы, перегнав средства через несколько кошельков, всё равно оставляют читаемый граф. Каждый переход зафиксирован, у каждого промежуточного адреса есть история. Чтобы связать эти адреса с реальной личностью, нужны KYC-данные бирж, поведенческий анализ, а в отдельных случаях и судебная процедура, но сам след существует всегда.
Когда несколько адресов используются как входы в одной биткоин-транзакции, они почти наверняка принадлежат одному владельцу. Подпись каждого входа требует соответствующего приватного ключа, поэтому совместная трата подразумевает общий контроль. Это эвристика совместной траты (co-spend), и она позволяет аналитикам объединять большое число адресов в профиль одной сущности.
Смежный метод — анализ адресов сдачи. Биткоин-транзакции обычно возвращают небольшие суммы отправителю на новый адрес. У таких адресов сдачи есть узнаваемый поведенческий отпечаток, и они автоматически попадают в тот же кластер.
После того как адреса сгруппированы в кластеры, расследователи отображают потоки средств в виде графа: узлы — это адреса, рёбра — транзакции. За украденными средствами следуют по этому графу в реальном времени, даже когда воры прогоняют активы через десятки промежуточных кошельков.
Взлом Bybit в феврале 2025 года — нагляднейший недавний пример. 1,5 миллиарда долларов были украдены за одну операцию группировкой Lazarus Group. Затем аналитики выстроили картину 45-дневного цикла отмывания, в ходе которого средства проводились через протоколы-мосты, китайскоязычные OTC-площадки и миксеры. Теперь этот цикл задокументирован достаточно подробно, чтобы расследователи могли предугадывать следующий шаг и координироваться с биржами до прихода средств.
Большинство украденных средств в конце концов попадает на централизованную биржу, а биржи требуют подтверждения личности. Когда отслеживаемые средства приходят на депозитный адрес биржи, расследователи направляют срочное уведомление в отдел комплаенса. Аккаунт помечается, а вывод блокируется до завершения юридической процедуры.
С 2026 года американские биржи обязаны отчитываться о данных транзакций перед Налоговой службой США через форму 1099-DA, что дополнительно сокращает разрыв между ончейн-псевдонимностью и реальной личностью.
Аналитические компании и расследователи ведут базы размеченных адресов: кошельки помечаются как биржи, даркнет-площадки, подсанкционные субъекты, известные мошеннические операции. Когда транзакция касается размеченного адреса, профиль риска распространяется по связанному графу.
Мы в Match Systems ведём собственную базу разметки, охватывающую крупнейшие блокчейны и используемую как для AML-комплаенс-проверок в реальном времени, так и в активных расследованиях краж. От качества базы разметки напрямую зависит, как быстро расследователи смогут определить, куда направляются украденные средства.
Показатель | Значение |
Потери от криптомошенничества в США по данным IC3 ФБР (2025) | $11 млрд+ |
Рост потерь от криптомошенничества в США год к году (2024 → 2025) | 22% |
Доля инвестиционного мошенничества во всех криптопотерях от скама (2025) | ~49% |
Взлом Bybit, февраль 2025 — крупнейшая разовая криптокража в истории | $1,5 млрд |
Операция Европола SIMCARTEL: фальшивые аккаунты для обхода 2FA в крипте | 49 млн+ |
Изъятия и конфискации криптоактивов Минюстом США (2024) | $2,6 млрд |
Миксеры — самый частый инструмент сокрытия, с которым мы сталкиваемся. Принцип прост: собрать средства множества пользователей в общий пул, перераспределить их по новым адресам и разорвать прямую связь между отправителем и получателем. Транзакции CoinJoin в биткоине работают по тому же принципу.
На практике миксеры добавляют сложности, но не невидимости. Расследователи отслеживают средства на входе и выходе из миксеров, анализируя объёмы, тайминг и поведение адресов с обратной стороны. Крупная сумма, заходящая в миксер, и схожая сумма, вскоре выходящая на свежий адрес, — это узнаваемая закономерность, а не чистый разрыв.
Регуляторная картина тоже существенно изменилась. Tornado Cash попал под санкции OFAC в 2022 году.Chipmixer был ликвидирован Европолом в 2023 году. Использование миксера после задокументированной кражи мгновенно помечает каждый принимающий адрес в крупных аналитических платформах.
Приватные монеты вроде Monero используют кольцевые подписи и скрытые (stealth) адреса, чтобы усложнить ончейн-анализ. Они представляют собой реальную техническую сложность. Делистинги на биржах постепенно снижают их ликвидность, а регуляторное давление на инфраструктуру приватных монет нарастает в целом ряде юрисдикций.
В 2025 году на стейблкоины пришлась преобладающая доля объёма незаконных криптотранзакций, согласно данным ФБР. Преступники предпочитают их по очевидным причинам: стабильность цены, быстрые расчёты и лёгкость трансграничного перемещения.
Многие не учитывают, что стейблкоины выпускаются компаниями, у которых есть техническая возможность заморозить конкретные адреса по запросу правоохранительных органов. Когда расследователи, работающие с властями, выявляют кошелёк с USDT, Tether может ограничить этот адрес, не давая перемещать средства. Заморозка может быть снята, если изменится правовая ситуация, но она останавливает отсчёт времени в стремительно развивающейся краже.
В рамках одной операции 2024 года 47 миллионов долларов в USDT, связанные с мошенничеством и торговлей людьми, были отслежены и заморожены благодаря сотрудничеству правоохранительных органов, Tron, Tether и крупных бирж. Операция удалась, потому что расследователи действовали достаточно быстро, и средства на момент запроса о заморозке всё ещё оставались в форме стейблкоина.
Чем больше преступники полагаются на стейблкоины ради скорости и стабильности, тем больше рычагов появляется у грамотно скоординированных усилий правоохранительных органов и расследователей, чтобы вмешаться.
К моменту, когда большинство жертв обращается к расследователям, средства уже перемещены. Это реалии реагирований на криптокражи. В течение первого часа после кражи активы могут пройти через несколько промежуточных кошельков. В течение 12 часов их могут перевести через мост в другую сеть, прогнать через миксер или разместить на OTC-площадке в ожидании конвертации.
Каждый шаг усложняет дело. Каждый час, проходящий без участия специалиста, снижает шансы на вмешательство.
Первоочередные действия:
Если среди украденных средств были стейблкоины, немедленное обращение к профильной компании особенно важно. Заморозка адресов со стейблкоинами требует участия правоохранительных органов, и Match Systems работает напрямую с властями, чтобы запустить этот процесс как можно быстрее.
Да. Каждая биткоин-транзакция навсегда записана в публичном реестре. Адреса псевдонимны, а не анонимны: имя по умолчанию не привязано, но за каждым адресом стоит полная история транзакций. Эта история связывается с личностью через KYC-данные бирж, поведенческий анализ, а в отдельных случаях и через судебную процедуру.
Миксеры усложняют отслеживание, но не исключают его. Расследователи анализируют объёмы, тайминг и поведение адресов с обратной стороны миксера. След становится труднее, но не невидимым. Большинство крупных миксеров к тому же закрыты или находятся под санкциями, что ограничивает их пригодность для крупномасштабного отмывания.
Это зависит от сложности дела: числа задействованных сетей, того, попали ли средства на готовую к сотрудничеству биржу, и того, как быстро было открыто расследование. Время реакции жертвы — самая важная переменная в том, удастся ли вмешаться до вывода средств.
Разметка адресов — это практика присвоения блокчейн-кошелькам известной идентичности или категории риска: биржа, мошенник, даркнет-площадка, подсанкционный субъект. Базы размеченных адресов позволяют расследователям и комплаенс-командам мгновенно распознавать, когда средства касаются известного недобросовестного игрока, и понимать, куда деньги, вероятно, направляются дальше. Глубина базы разметки — одно из главных отличий эффективных расследований от медленных.
В расследованиях криптокраж время значит больше, чем осознаёт большинство жертв.
После того как средства переведены через мост, смешаны в миксере или выведены через OTC-каналы, возврат становится значительно сложнее. Match Systems работает с биржами, эмитентами стейблкоинов и правоохранительными органами, чтобы отслеживать украденные активы и поддерживать их юридический возврат, — опираясь на собственную базу маркировки адресов и прямые комплаенс-отношения, выстроенные за годы активных расследований.
