Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой

Блокчейн прозрачен: суммы, время переводов и адреса доступны всем. Но личности отправителей и получателей остаются скрытыми.
Ранее ForkLog уже объяснял, как отслеживать монеты на примере TXID и модели UTXO. Это можно делать вручную в любом блокчейн-обозревателе.
Однако у этого метода есть границы. Блокчейн показывает только движение средств, а не того, кто их отправил. Здесь на помощь приходит OSINT — разведка по открытым источникам. Она позволяет связать анонимный адрес с реальным человеком.
Разберем, какие данные реестр предоставляет сам, а какие приходится искать дополнительно, как шаг за шагом строится расследование, на каких инструментах оно основано и где проходит черта между анализом и наблюдением.
За пределами блокчейна
Распределенный реестр ничего не утаивает. Любой перевод и группа кошельков видны каждому. В этом суть ончейн-анализа. Но и у него есть предел: цепочка отвечает на вопрос «куда», а не «кто».
Этот пробел восполняет OSINT — разведка по открытым источникам. Этот метод старше криптовалют: мониторинг общедоступных радиопередач был налажен в Великобритании и США еще во время Второй мировой войны.
Суть подхода с тех пор не изменилась. Это анализ информации из открытого доступа, собранной без взлома. В криптосфере сюда попадает почти всё: сообщения на форумах, данные о регистрации доменов, старые скриншоты и утечки баз данных.
Такая связка работает благодаря псевдонимности. В отличие от полной анонимности, в сети биткоина и большинстве других блокчейнов пользователь скрыт за буквенно-цифровым адресом, но все его действия навсегда фиксируются в реестре.
«Личность не раскрыта напрямую, но след от нее заметен и неизменен», — объясняют в OSINT Industries.
На практике ончейн-анализ и OSINT решают разные задачи. Первый восстанавливает маршрут монет: кто, кому и сколько перевел, через какие адреса прошли средства.
Разведка по открытым источникам связывает адрес с внешними данными — аккаунтом на бирже, профилем в соцсети или доменной записью. Одной ошибки пользователя достаточно для его деанонимизации.
Цепочка дает суммы и связи, офчейн — контекст; вместе они выводят на конкретного пользователя.
Зачем вообще «копать»
За аббревиатурой OSINT скрываются пять разных направлений. У каждого свои задачи и результаты.
Первое — расследование краж и мошенничества. Независимые аналитики публикуют данные, которые помогают быстро заморозить украденные активы. Например, в деле о краже $243 млн у кредитора Genesis такое расследование позволило заблокировать более $9 млн.
Второе — комплаенс и санкционный скрининг. Криптовалютные транзакции часто охватывают множество площадок и юрисдикций. В таких условиях важно не просто отследить перевод, а привязать его к реальному человеку.
Третье — разведка угроз, или threat intelligence. С ее помощью отслеживают потоки средств, связанные с выплатами вымогателям и работой нелегальных площадок.
Четвертое — рыночная аналитика. Многие крупные держатели и связанные с ними кошельки давно находятся под пристальным наблюдением. Трейдеры воспринимают движение их средств как сигнал о готовящихся распродажах или накоплении активов.
Пятое — журналистские расследования. Крах биржи FTX в 2022 году начался с публикации CoinDesk: издание сопоставило корпоративные документы с ончейн-данными и выяснило, что бизнес держался на неликвидном токене FTT.
У всех пяти сценариев общая механика: от следа в реестре — к внешним данным, а от них — к конкретному имени.
Пять сценариев применения OSINT в криптоиндустрии.
От адреса к имени
Расследование редко начинается с готового имени. Чаще всего на старте есть лишь аномалия: взломанный контракт, адрес из жалобы пострадавшего или кошелек из сомнительной схемы.
Сам процесс исследователи делят на четыре стадии: зацепка, сбор данных, привязка адреса и проверка. Строгого порядка действий нет, но логика неизменна — двигаться от цифрового следа в реестре к реальному человеку.
Зацепка задает направление. Отправной точкой служит сам инцидент, конкретный адрес, тип кошелька (например, горячий, биржевой) или смарт-контракт. От этого зависит стратегия поиска.
Сбор данных — OSINT в чистом виде. Аналитик ищет любую связь адреса с офчейном: доменные записи, профили в соцсетях, переписку на форумах и в Discord, утечки баз, старые скриншоты. Каждая находка становится связующим звеном между псевдонимом и личностью.
Атрибуция сводит разрозненные факты воедино. Адреса группируют в кластеры по контрагентам, времени и суммам переводов, а затем привязывают к бирже, сервису или лицу. Нередко исход решает одна ошибка: публично засвеченный кошелек или депозит на платформу с KYC способны сразу раскрыть владельца.
Верификация оставляет последнее слово за аналитиком. На этом этапе перепроверяют связи, ищут противоречия и оценивают вероятность ошибки.
В этом кроется главное ограничение метода. Атрибуция всегда носит вероятностный характер: она говорит не «это точно он», а «скорее всего, он».
В наиболее сложных расследованиях ончейн-анализ дополняют исследованием устройств, оперативной памяти и сетевого трафика. Пропуск любого из этих слоев — повод усомниться в выводах.
Для каждой из четырех стадий применяется свой набор инструментов — от блокчейн-обозревателей до систем визуализации связей.
Четыре стадии расследования — от зацепки к проверке.
Арсенал аналитика
Когда говорят об инструментах форензики, обычно вспоминают пару известных платформ. Но реальный арсенал аналитика гораздо шире и по большей части бесплатен.
Базовый уровень — блокчейн-обозреватели. Это Etherscan для Ethereum, Blockchair и WalletExplorer для биткоина, Solscan и TronScan для Solana и TRON соответственно. Они показывают транзакции, балансы, историю адресов.
Следующий слой — системы визуализации. Они отображают потоки средств в виде графа. К этой категории относятся Arkham, Breadcrumbs и OXT. С их помощью аналитик отслеживает движение активов и быстрее замечает связанные кластеры.
Отдельный пласт — коммерческие форензик-платформы вроде Chainalysis, TRM Labs, Elliptic и Scorechain. Их используют биржи, банки и правоохранительные органы для комплаенса и оценки рисков. Доступ к ним обычно платный и предоставляется корпоративным клиентам.
За поиск офчейн-данных отвечает классический OSINT. Maltego строит графы связей между людьми и аккаунтами, SpiderFoot автоматизирует сбор информации из сотен источников, а IntelligenceX ищет данные по архивам и утечкам, включая биткоин-адреса.
В этот же набор входит геолокация по IP через MaxMind и Google-дорки
Популярные новости: