Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой

Данные в блокчейне открыты: суммы, время переводов и адреса доступны каждому. Однако личности отправителей и получателей остаются в тени.
Ранее ForkLog уже объяснял, как отслеживать монеты с помощью TXID и модели UTXO. Эту процедуру можно выполнить вручную, изучая информацию в любом блокчейн-обозревателе.
Но у этого метода есть границы. Цепочка блоков показывает только перемещение средств, но не того, кто их перевел. Здесь на помощь приходит OSINT — разведка на основе общедоступных данных. Именно она позволяет связать анонимный кошелек с конкретным человеком.
Разберемся, какую информацию реестр предоставляет сам, а какую приходится искать дополнительно, как шаг за шагом строится расследование, на каких инструментах оно основано и где проходит черта между анализом и слежкой.
За пределами блокчейна
Распределенный реестр ничего не утаивает. Любая транзакция и группа кошельков видны всем. В этом суть ончейн-анализа. Но и у него есть предел: цепочка отвечает на вопрос «куда», а не на вопрос «кто».
Этот пробел заполняет OSINT. Этот метод старше криптовалют: мониторинг общедоступных радиопередач был налажен в Великобритании и США еще во времена Второй мировой войны.
Суть подхода с тех пор не изменилась. Это анализ информации, находящейся в открытом доступе и полученной без взлома систем защиты. В мире криптовалют сюда относится почти всё: сообщения на форумах, данные о регистрации доменов, старые скриншоты и утечки баз данных.
Такая связка работает благодаря псевдонимности. В отличие от полной анонимности, в сети биткоина и большинстве других блокчейнов пользователь скрыт за буквенно-цифровым кодом, но все его действия навсегда записаны в реестре.
«Личность напрямую не раскрыта, но след от нее виден и неизменен», — отмечают в OSINT Industries.
На практике ончейн-анализ и OSINT решают разные задачи. Первый восстанавливает путь монет: кто, кому и сколько перевел, через какие адреса прошли средства. Второй связывает адрес с внешними данными — аккаунтом на бирже, профилем в соцсети или записью о домене. Одной ошибки пользователя достаточно для его деанонимизации.
Зачем вообще «копать»
За аббревиатурой OSINT скрывается пять различных направлений. У каждого свои цели и результаты.
Первое — расследование краж и мошенничества. Независимые аналитики публикуют данные, помогающие оперативно заморозить украденные активы. Например, в деле о краже $243 млн у кредитора Genesis такое расследование позволило заблокировать более $9 млн.
Второе — комплаенс и проверка на соблюдение санкций. Криптовалютные переводы часто проходят через множество площадок и юрисдикций. В таких условиях важно не просто отследить транзакцию, а привязать ее к реальному человеку.
Третье — разведка угроз. С ее помощью отслеживают потоки средств, связанные с выплатами вымогателям и работой нелегальных площадок.
Четвертое — рыночная аналитика. Многие крупные держатели и связанные с ними кошельки давно находятся под пристальным наблюдением. Трейдеры воспринимают движение их средств как сигнал о грядущих распродажах или накоплении активов.
Пятое — журналистские расследования. Крах биржи FTX в 2022 году начался с публикации CoinDesk: издание сопоставило корпоративные документы с данными из блокчейна и выяснило, что бизнес держался на неликвидном токене FTT.
У всех пяти сценариев общая механика: от следа в реестре — к внешним данным, а от них — к конкретному имени.
От адреса к имени
Расследование редко начинается с готового имени. Чаще всего в начале есть лишь аномалия: взломанный контракт, адрес из жалобы пострадавшего или кошелек из подозрительной схемы.
Исследователи делят этот процесс на четыре этапа: зацепка, сбор данных, привязка адреса и проверка. Строгого порядка действий нет, но логика неизменна — двигаться от цифрового следа в реестре к реальному человеку.
Зацепка задает направление. Отправной точкой служит сам инцидент, конкретный адрес, тип кошелька (например, горячий, биржевой) или смарт-контракт. От этого зависит стратегия поиска.
Сбор данных — это OSINT в чистом виде. Аналитик ищет любую связь адреса с внешним миром: доменные записи, профили в соцсетях, переписку на форумах и в Discord, утечки баз, старые скриншоты. Каждая находка становится связующим звеном между псевдонимом и личностью.
Атрибуция объединяет разрозненные факты. Адреса группируют в кластеры по контрагентам, времени и суммам переводов, а затем привязывают к бирже, сервису или человеку. Часто исход решает одна ошибка: публично раскрытый кошелек или депозит на платформу с KYC могут сразу выдать владельца.
Верификация оставляет последнее слово за аналитиком. На этом этапе перепроверяют связи, ищут противоречия и оценивают вероятность ошибки.
В этом кроется главное ограничение метода. Атрибуция всегда носит вероятностный характер: она говорит не «это точно он», а «скорее всего, он».
В наиболее сложных расследованиях ончейн-анализ дополняют исследованием устройств, оперативной памяти и сетевого трафика. Пропуск любого из этих слоев — повод усомниться в выводах.
Для каждого из четырех этапов применяется свой набор инструментов — от блокчейн-обозревателей до систем визуализации связей.
Арсенал аналитика
Когда говорят об инструментах криминалистики, обычно вспоминают пару известных платформ. Но реальный арсенал аналитика гораздо шире и по большей части бесплатен.
Базовый уровень — блокчейн-обозреватели. Это Etherscan для Ethereum, Blockchair и WalletExplorer для биткоина, Solscan и TronScan для Solana и TRON соответственно. Они показывают транзакции, балансы, историю адресов.
Следующий слой — системы визуализации. Они отображают потоки средств в виде графа. К этой категории относятся Arkham, Breadcrumbs и OXT. С их помощью аналитик отслеживает движение активов и быстрее замечает связанные кластеры.
Отдельный пласт — коммерческие криминалистические платформы вроде Chainalysis, TRM Labs, Elliptic и Scorechain. Их используют биржи, банки и правоохранительные органы для комплаенса и оценки рисков. Доступ к ним обычно платный и предоставляется корпоративным клиентам.
За поиск внешних данных отвечает классический OSINT. Maltego строит графы связей между людьми и аккаунтами, SpiderFoot автоматизирует сбор информации из сотен источников, а IntelligenceX ищет данные по архивам и утечкам, включая биткоин-адреса.
В этот же набор входит геолокация по IP через MaxMind и Google-дорки — специальные поисковые операторы для сужения выдачи. Например, запрос с параметром site: находит упоминания кошелька на конкретном сайте.
Ориентироваться в многообразии софта помогают каталоги. OSINT Framework представляет собой дерево катего
Популярные новости: