Перевод материала Дугласа Хэвана для MIT Technology Review «Sitting with the cyber-sleuths who track cryptocurrency criminals». Первую часть материала можно прочесть здесь.

Большая часть техник, на которые опираются компании, отслеживающие транзакции в блокчейне, изобретены Сарой Мейкледжон в Калифорнийском университете в 2013 году. Основная идея проста. Изучая активность блокчейна, вы можете обнаружить учетные записи, которые принадлежат одному и тому же биткоин-кошельку и, следовательно, контролируются одним и тем же объектом. Этот процесс называется кластеризацией. Когда несколько учетных записей связаны с одним и тем же владельцем, вы можете попытаться выяснить, кем он является.

Связывание учетных записей биткоинов с оффлайновым миром возможно, потому что информация имеет тенденцию просачиваться. Интересно, что регулируемые государством криптобиржи в США и Европе требуют от клиентов соблюдать политику KYC и AML, в рамках которой пользователи должны идентифицировать свою личность. Кроме этого, некоторые пользователи настолько небрежны, что публикуют свои приватные адреса на онлайн-форумах. «Люди забывают, что блокчейн — это всего лишь половина уравнения», — напоминает Кноттенбелт.

Chainalysis и Elliptic уже используют машинное обучение, чтобы автоматизировать кластеризацию. Возможно, что даже обычные полицейские скоро будут использовать ИИ. Визуализация данных Imperial College — это следующий шаг к этому. Сине-желтая флуктуация, которую заметил Кноттенбелт, оказалась мошеннической сетью, последовательностью транзакций, проведенных как раз для того, чтобы усложнить треккинг отдельных монет. Представьте, что вы кинули монету в банку, наполненную похожими монетами, потом встряхнули ее, после чего снова достали их: сумма не меняется, но трудно сказать, какую именно монету вы бросили. Эффект почти такой же, как если бы вы переводили деньги через банк на Каймановых островах, где существуют законы о секретности в отношении банковского дела.

На шаг впереди

Однако частые смены адресов не всегда являются признаком преступной деятельности. «Зачастую некоторые просто делают это по соображениям конфиденциальности, — говорит Кноттенбелт. В любом случае, для преступников есть способы замести следы и получше. Поскольку ограничения анонимности для владельцев биткоина становятся все более очевидными, люди переходят на новые криптовалюты, такие как Zcash и Monero, почти ничего не сообщающие о транзакциях, записанных на их блокчейне.

Так, Zcash использует так называемое «доказательство нулевого знания» для проверки транзакций. Это математический способ подтвердить, что транзакция имела место, не раскрывая никакой информации о том, кто был вовлечен или сколько средств было передано.

А Monero фактически является большой сетью. Когда вы хотите передать монеты, ваш адрес смешивается с кучей других, чтобы никто не мог сказать, какой из них тратил деньги. Zcash и Monero, безусловно, пока стараются сохранять приватность своих клиентов. Но это не значит, что и на нечистых на руку владельцев этих криптовалют не найдется управа. Неосторожное поведение пользователей, к примеру, размещение вашего адреса на форумах, как и в случае с биткоином, оставляет яркий след, ведущий непосредственно к вам.

Более того, Monero дает пользователям возможность выполнять транзакции без смешения монет. Это позволяет аналитикам выявить все транзакции, включающие эти монеты. Малте Мезер из Университета Принстона и его коллеги считают, что 62% транзакций Monero уязвимы для этого метода треккинга.

Но самой большой головной болью для правоохранительных органов являются нерегулируемые биржи, с помощью которых преступники могут стереть следы своих краж. Кроме того, многие биржи вообще не хотят мириться с госрегулированием: например, Shapeshift обещают никогда не запрашивать идентификацию у своих пользователей.

Исследователь криптовалютной безопасности Росс Андерсон из Университета Кембриджа уверен, что такие обменники процветают отчасти потому, что законы неэффективны. «Проблема борьбы с отмыванием денег в целом объясняется тем, что никто не заинтересован в том, чтобы это делалось правильно, — заявляет он. — Если говорить о фиатных активах, то это невыгодно ни банкам, ни их клиентам. Так обстоят дела во всем мире. Так почему крипто-обменники должны чем-то отличаться?»

Между тем банки и финансовые компании экспериментируют с использованием криптовалют для создания платежных систем. Но в то же время эти технологии поддерживают следующее поколение незаконной деятельности, предоставляя новые способы кражи, шантажа, совершения мошенничества и нарушения международных санкций.

Тем не менее, в конечном итоге, по оптимистичному мнению большинства экспертов, все вернется на круги своя: старая добрая полицейская разведка будет делать то, что она делает лучше всего. А, значит, и истории о доблестных следователях и хитрых преступниках никуда не денутся.

Самое большое киберограбление в истории

Но пока что киберпреступники все еще на шаг впереди. Несмотря на то, что аналитики теперь могут наблюдать кражи криптовалюты в блокчейн-сетях, которые происходят почти в реальном времени, они не могут связать их с реальным миром достаточно быстро, чтобы остановить даже самые крупные кибераферы.

Самое большое киберограбление произошло в 3 часа ночи по японскому времени в январе текущего года. Кто-то увел 523 миллиона токенов NEM с биржи Coincheck. Никто не поднял тревогу до обеда, и мошенники получили восьмичасовую фору.

Выяснилось, что средства были похищены из кошелька, подключенного к интернету. «Это похоже на то, как если бы вы оставили карту в банкомате с указанным на ней PIN-кодом», — считает Александра Тинсман, директор по связям NEM Foundation. Все 523 миллиона украденных монет были отправлены сначала через одну учетную запись, затем были разделены между несколькими другими.

Чтобы остановить воров и предотвратить отмывание украденных монет, команда NEM пометила эти монеты оповещением для бирж. На следующий день после взлома в NEM смогли определить адреса 11 учетных записей, на которых оказались похищенные средства. Каждый из них был помечен тегом «matchingheck_stolen_funds_do_not_accept_trades: owner_of_this_account_is_hacker». Но поскольку они не знали, кто именно владеет учетными записями, то удалось лишь заблокировать вывод монет.

Потеряв возможность вывести украденное из сети NEM в фиатную валюту, воры начали перемещать их внутри сети. Все эти движения были заметны в публичном блокчейне. Немного монет было обнаружено в Канаде, а некоторые из них вернулись в Японию. Но даже несмотря на то, что в NEM не отводили глаз от своих меток, воры все же ушли. Доподлинно известно, что по крайней мере половина средств была обналичена, а в марте команда NEM заявила, что отказывается от преследования воров.

И если сейчас преступникам удалось скрыться, то в будущем технологии все же позволят поймать мошенников. По мере совершенствования методов судебной экспертизы и инструментов ранее пропущенные доказательства будут доступны так же, как сейчас доступны для криминалистического анализа следы ДНК.