Forklog
2026-07-16 10:17:39

От адреса к имени: как OSINT вскрывает блокчейн

Открытый реестр прозрачен: суммы, время транзакций и адреса всегда на виду. Однако личности тех, кто стоит за этими переводами, остаются скрытыми. Ранее ForkLog уже разбирал механику отслеживания монет на примере TXID и модели UTXO. Этот путь можно пройти вручную, изучая данные в любом блокчейн-обозревателе. Но у такого подхода есть предел. Цепочка блоков показывает лишь движение средств, а не инициатора перевода. Здесь на сцену выходит OSINT — разведка по открытым источникам. Именно она помогает связать анонимный адрес с реальным человеком. Разберемся, какие данные реестр открывает сам, а какие приходится добывать извне, как поэтапно строится расследование, на каких инструментах оно базируется и где проходит грань между аналитикой и слежкой. За пределами блокчейна Распределенный реестр ничего не скрывает. Каждый перевод и кластер кошельков виден любому наблюдателю. В этом заключается суть ончейн-анализа. Но у метода есть предел: цепочка отвечает на вопрос «куда», а не на вопрос «кто». Этот пробел восполняет OSINT — разведка по открытым источникам. Дисциплина старше криптоиндустрии: мониторинг общедоступных радиоэфиров наладили в Великобритании и США еще во время Второй мировой войны. Суть метода с тех пор не изменилась. Это анализ информации, которая находится в открытом доступе и собрана без взлома систем защиты. В блокчейн-сфере сюда попадает почти все: сообщения на форумах, сведения о регистрации доменов, старые скриншоты и утечки баз данных. Подобная связка работает благодаря псевдонимности. В отличие от абсолютной анонимности, в сети биткоина и большинстве других блокчейнов пользователь скрыт за буквенно-цифровым адресом, но все его действия навсегда остаются в реестре. «Личность не раскрыта напрямую, а вот след от нее заметен и неизменен», — объясняют в OSINT Industries. На практике ончейн-анализ и OSINT решают разные задачи. Первый восстанавливает маршрут монет: кто кому и сколько перевел, через какие адреса прошли средства.  Разведка по открытым источникам связывает адрес с внешними данными — аккаунтом на бирже, профилем в соцсети или доменной записью. Одной оплошности пользователя достаточно для его деанонимизации. Цепочка дает суммы и связи, офчейн — контекст; вместе они выводят на конкретного пользователя. Источник: ForkLog.  Зачем вообще «копать» За аббревиатурой OSINT стоят пять разных направлений. У каждого из них свои задачи и результаты. Первое — расследование краж и мошенничества. Независимые аналитики публикуют данные, которые помогают оперативно заморозить похищенные активы. Например, в деле о краже $243 млн у кредитора Genesis такое расследование позволило заблокировать более $9 млн. Второе — комплаенс и санкционный скрининг. Криптовалютные транзакции часто охватывают множество площадок и юрисдикций. В таких условиях важно не просто отследить перевод, а привязать его к реальному человеку. Третье — разведка угроз, или threat intelligence. С ее помощью отслеживают потоки средств, связанные с выплатами вымогателям и работой нелегальных площадок. Четвертое — рыночная аналитика. Многие крупные держатели и связанные с ними кошельки давно под пристальным наблюдением. Трейдеры воспринимают движение их средств как сигнал о готовящихся распродажах или накоплении активов. Пятое — журналистские расследования. Крах биржи FTX в 2022 году начался с публикации CoinDesk: издание сопоставило корпоративные документы с ончейн-данными и выяснило, что бизнес держался на неликвидном токене FTT. У всех пяти сценариев общая механика: от следа в реестре — к внешним данным, а от них — к конкретному имени. Пять сценариев применения OSINT в криптоиндустрии. Источник: ForkLog.  От адреса к имени Расследование редко начинается с готового имени. Чаще всего на старте есть лишь аномалия: взломанный контракт, адрес из жалобы пострадавшего или кошелек из сомнительной схемы. Сам процесс исследователи делят на четыре стадии: зацепка, сбор данных, привязка адреса и проверка. Строгого порядка действий нет, но логика неизменна — двигаться от цифрового следа в реестре к реальному человеку. Зацепка задает направление. Отправной точкой служит сам инцидент, конкретный адрес, тип кошелька (например, горячий, биржевой) или смарт-контракт. От этого зависит стратегия поиска. Сбор данных — OSINT в чистом виде. Аналитик ищет любую связь адреса с офчейном: доменные записи, профили в соцсетях, переписку на форумах и в Discord, утечки баз, старые скриншоты. Каждая находка становится связующим звеном между псевдонимом и личностью. Атрибуция сводит разрозненные факты воедино. Адреса группируют в кластеры по контрагентам, времени и суммам переводов, а затем привязывают к бирже, сервису или лицу. Нередко исход решает одна ошибка: публично засвеченный кошелек или депозит на платформу с KYC способны сразу раскрыть владельца. https://forklog.com/exclusive/bitkoin-tranzaktsiya-kak-ee-prochitat-i-otsledit Верификация оставляет последнее слово за аналитиком. На этом этапе перепроверяют связи, ищут противоречия и оценивают вероятность ошибки. В этом кроется главное ограничение метода. Атрибуция всегда носит вероятностный характер: она говорит не «это точно он», а «скорее всего, он». В наиболее сложных расследованиях ончейн-анализ дополняют исследованием устройств, оперативной памяти и сетевого трафика. Пропуск любого из этих слоев — повод усомниться в выводах. Для каждой из четырех стадий применяется свой набор инструментов — от блокчейн-обозревателей до систем визуализации связей. Четыре стадии расследования — от зацепки к проверке. Источник: ForkLog.  Арсенал аналитика Когда говорят об инструментах форензики, обычно вспоминают пару известных платформ. Но реальный арсенал аналитика гораздо шире и по большей части бесплатен. Базовый уровень — блокчейн-обозреватели. Это Etherscan для Ethereum, Blockchair и WalletExplorer для биткоина, Solscan и TronScan для Solana и TRON соответственно. Они показывают транзакции, балансы, историю адресов. Следующий слой — системы визуализации. Они отображают потоки средств в виде графа. К этой категории относятся Arkham, Breadcrumbs и OXT. С их помощью аналитик отслеживает движение активов и быстрее замечает связанные кластеры. Отдельный пласт — коммерческие форензик-платформы вроде Chainalysis, TRM Labs, Elliptic и Scorechain. Их используют биржи, банки и правоохранительные органы для комплаенса и оценки рисков. Доступ к ним обычно платный и предоставляется корпоративным клиентам. За поиск офчейн-данных отвечает классический OSINT. Maltego строит графы связей между людьми и аккаунтами, SpiderFoot автоматизирует сбор информации из сотен источников, а IntelligenceX ищет данные по архивам и утечкам, включая биткоин-адреса. В этот же набор входит геолокация по IP через MaxMind и Google-дорки — специальные поисковые операторы для сужения выдачи. Например, запрос с параметром site: находит упоминания кошелька на конкретном сайте. Ориентироваться в многообразии софта помогают каталоги. OSINT Framework представляет собой дерево категорий с инструментами под любую задачу. Также существуют открытые подборки на GitHub, собранные специально для блокчейн-расследований. Порог входа в профессию низкий, так как большинство сервисов открыто для всех. Именно поэтому вокруг OSINT не стихают споры о том, где заканчивается законное расследование и начинается вторжение в приватность. Инструменты OSINT- и ончейн-аналитика. Источник: ForkLog.  Легально, но не бесспорно OSINT легален по своей природе. Он работает с открытыми данными и не обходит системы защиты. Проблемы возникают не на этапе поиска, а при использовании результатов. Первая сложность — правовая. Согласно статье 6 регламента GDPR, для обработки персональных данных нужны законные основания, даже если эти сведения находятся в открытом доступе. Вторая сложность — цена ошибки. Ошибочная атрибуция адреса создает риски для реальных людей: инструмент для поиска злоумышленников может указать на невиновного. При этом опубликованное обвинение годами остается в поисковой выдаче и веб-архивах. У OSINT есть принципиальные противники. Часть индустрии считает финансовую тайну неотъемлемым правом, а не лазейкой для преступников. Эту логику отражают приватные монеты: Monero по умолчанию скрывает суммы и адреса, а Zcash предлагает экранированные транзакции на выбор пользователя. Для сторонников такого подхода OSINT — не способ борьбы с преступностью, а инструмент тотального надзора. Однозначного победителя в этом споре нет. Прозрачность реестра работает в обе стороны: она помогает аналитикам, но также упрощает слежку. Сыщики-самоучки У многих известных ончейн-детективов нет ни профильного диплома, ни служебного удостоверения. Исследователь под ником ZachXBT пришел в криптоиндустрию на волне ICO-лихорадки 2017 года как обычный розничный инвестор. Потеряв деньги на скам-проектах, он самостоятельно изучил блокчейн-форензику. Спустя годы его расследование помогло раскрыть кражу $243 млн. Исполнителей он вычислил по офчейн-следам: случайно раскрытому имени, повторяющимся адресам и геометкам в соцсетях. В итоге Минюст США предъявил обвинения двоим фигурантам. Другой пример — Coffeezilla (Стивен Финдайзен). Инженер-химик по образованию занялся разоблачениями после того, как его мать обманули продавцы «чудо-лекарств». Свою аудиторию он собрал на YouTube. Одной из самых заметных работ стало интервью, где он добился признания от Хэйдена Дэвиса — ключевой фигуры скандала вокруг токена LIBRA. Тот публично назвал сумму собственной прибыли, которая составила около $113 млн. ZachXBT и Coffeezilla объединяет не технический арсенал, а подход: упорство и грамотная работа с базовыми данными. Порог входа в эту сферу гораздо ниже, чем принято считать. Открытый реестр превратил деанонимизацию в ремесло. Задачи, которые раньше были прерогативой спецслужб и комплаенс-отделов, теперь по силам энтузиасту с ноутбуком. У доступности инструментов есть оборотная сторона. Чем нагляднее алгоритм рисует связи, тем выше соблазн поверить ему вслепую. Но совпадение адресов — лишь гипотеза, а не приговор. Инструмент показывает данные, окончательный вывод делает человек.

Получите Информационный бюллетень Crypto
Прочтите Отказ от ответственности : Весь контент, представленный на нашем сайте, гиперссылки, связанные приложения, форумы, блоги, учетные записи социальных сетей и другие платформы («Сайт») предназначен только для вашей общей информации, приобретенной у сторонних источников. Мы не предоставляем никаких гарантий в отношении нашего контента, включая, но не ограничиваясь, точность и обновление. Никакая часть содержания, которое мы предоставляем, представляет собой финансовый совет, юридическую консультацию или любую другую форму совета, предназначенную для вашей конкретной опоры для любых целей. Любое использование или доверие к нашему контенту осуществляется исключительно на свой страх и риск. Вы должны провести собственное исследование, просмотреть, проанализировать и проверить наш контент, прежде чем полагаться на них. Торговля - очень рискованная деятельность, которая может привести к серьезным потерям, поэтому проконсультируйтесь с вашим финансовым консультантом, прежде чем принимать какие-либо решения. Никакое содержание на нашем Сайте не предназначено для запроса или предложения