Как расследуют криптопреступления: блокчейн-аналитика и возврат активов
Главная » Практика » Способы
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412
11 Ноября 2025 - 15:02

Как криптоспециалисты идут по следам преступников

Аватар пользователя Дмитрий Пойда
Дмитрий Пойда
Аналитик по расследованиям AML/KYT-провайдера «Шард»
Вверх
Проголосовало: 10
...
Как криптоспециалисты идут по следам преступников

Киберпреступники действуют всё изощрённее, но криптоаналитики идут по их цифровым следам. Сочетая кластеризацию, абдукцию и автоматизированный мониторинг, эксперты превращают хаос блокчейна в карту улик и помогают вернуть украденные активы.

 

 

 

 

 

 

  1. Введение
  2. Как распознать симптомы криптоатаки до массовых ликвидаций
  3. Как вычисляют криптопреступников: от следа в блокчейне до идентификации
  4. Почему ручного мониторинга уже недостаточно
  5. Как выстроить эффективную систему расследования криптоинцидентов
  6. Почему экспертное заключение — главное оружие в суде
  7. Выводы

Введение

За первое полугодие 2025 года злоумышленники похитили из криптопроектов более $2,1 млрд. Это почти равно общему объёму хищений за весь 2024 год.

Кража криптоактивов может произойти всего за несколько минут. Чтобы предотвратить преступление, необходимо быстро распознавать аномалии и фиксировать цифровые следы, пока они не исчезли. Как своевременно определить тревожные сигналы возможной атаки и успешно установить причастных к ней лиц? Объясняет Дмитрий Пойда, аналитик по расследованиям AML/KYT провайдера «Шард».

Как распознать симптомы криптоатаки до массовых ликвидаций

Современные криптоатаки редко происходят внезапно — им предшествуют обнаруживаемые аномалии в работе протоколов. К наиболее критичным индикаторам относятся подозрительные взаимодействия с ключевыми элементами системы: оракулами, пулами ликвидности и административными функциями протокола.

Особое внимание следует уделять манипуляциям с оракулами. Если цена актива, предоставленная оракулом, начинает систематически отклоняться от рыночных значений, особенно в условиях низкой ликвидности, это часто служит вектором атаки. Яркой иллюстрацией такой тактики стал инцидент на платформе Odin.fun, где злоумышленники воспользовались уязвимостью в обновлённой системе автоматического маркетмейкинга. Они внесли токены SATOSHI в пул ликвидности, искусственно повысили их стоимость за счёт манипуляций с ценой и затем вывели собственную ликвидность, получив доступ к значительной части биткоин-резервов платформы. В результате было украдено около 58,2 BTC, что составляло $7 млн на момент эксплуатации.

Поведенческие отклонения в протоколе не менее информативны. Тревожными сигналами считаются: резкий рост количества ликвидаций займов, снижение доходности (APR), уменьшение общего объёма заблокированных средств (TVL), нестабильность цен активов в пулах ликвидности и изменение привычных маршрутов вывода средств через мосты или DEX-агрегаторы (агрегаторы децентрализованных бирж). Особенно показательным является одновременное проявление нескольких таких индикаторов, что свидетельствует о нарастающей системной нестабильности или целенаправленной атаке.

В апреле 2023 года при атаке на лендинговый протокол Loopscale на блокчейне Solana злоумышленники создали искусственный дисбаланс через серию недостаточно обеспеченных займов, что вызвало резкий рост ликвидаций и привело к выводу около 12 % от общего объёма заблокированных средств. Аналогично во время взлома DeFi-протокола Platypus Finance на блокчейне Avalanche одновременно наблюдалось снижение доходности по займам, резкий рост ликвидаций и значительное падение TVL на 26 %, что сопровождалось нестабильностью цен токена проекта и изменением маршрутов вывода активов.

Как вычисляют криптопреступников: от следа в блокчейне до идентификации

Эффективное расследование криптопреступлений требует сочетания технических методов и аналитического мышления. Криптоаналитик работает на пересечении on-chain и off-chain слоёв: кроме анализа транзакций, он отслеживает активности в социальных сетях, анализирует домены и поведенческие совпадения.

Основой технической методологии является кластеризация — метод, при котором объединяются адреса, предположительно принадлежащие одному человеку или группе лиц. Это позволяет выявить связи между различными операциями и построить карту перемещений средств.

Немаловажна и логическая работа, построение и проверка гипотез с применением дедукции (что однозначно вытекает из фактов), индукции (что повторяется в подобных кейсах) и особенно абдукции — поиска самого вероятного объяснения произошедшего события.

После подготовки технического заключения его передают в правоохранительные органы, которые используют документ как основание для направления официального запроса на централизованные биржи. В ответ на такой запрос биржи могут предоставить данные о владельцах задействованных адресов — KYC-информацию, историю входов, IP-адреса и другие цифровые метаданные.

Почему ручного мониторинга уже недостаточно

Одной из самых распространённых ошибок при расследовании криптопреступлений является недооценка значения автоматизации и раннего оповещения. Многие команды до сих пор полагаются на ручной мониторинг, который физически не способен успевать за динамикой событий в ончейне. В современных условиях атаки происходят за секунды, и любое промедление может стоить десятков миллионов долларов.

Критически важным временным окном для сбора информации являются первые 30 минут после обнаружения подозрительной активности. В этот промежуток можно сохранить текущее состояние смарт-контрактов, получить логи вызовов, хеши транзакций. Без этих данных будет трудно восстановить хронометраж того, как именно произошла атака.

Особенно быстро проходят атаки с использованием flash loans или манипуляций с оракулами — они могут завершиться всего за 3–5 минут в сети Ethereum. Поэтому необходимо, чтобы системы безопасности автоматически реагировали и блокировали уязвимые функции, а также приостанавливали работу контрактов и ограничивали доступ подозрительным активностям.

Ещё одной серьёзной проблемой становится отсутствие интеграции on-chain результатов с off-chain источниками. Без быстрого юридического запроса к централизованным биржам на предоставление KYC и без правовой помощи по юрисдикциям расследование может застопориться на техническом этапе. Преступники целенаправленно используют юрисдикции со слабой кооперацией, поэтому оперативные правовые действия и сотрудничество с биржами критически важны для дальнейшей заморозки средств.

Как выстроить эффективную систему расследования криптоинцидентов

Расследование требует системного подхода, где технический анализ, оперативная реакция и правовая регламентация действуют как единое целое.

В цифровых активах время играет важную роль: злоумышленники действуют быстро, и даже небольшое промедление снижает шансы на восстановление контроля над средствами и сбор доказательств. В отличие от традиционных финансов, где участники встроены в централизованную систему, блокчейн прозрачен по данным, но закрыт по идентичности. Поэтому важно не только отследить транзакцию, но и понять её контекст, выявить связи между адресами и действиями их владельцев.

Ключ к раскрытию криптопреступления — правильно организованная архитектура реагирования. Она начинается с систем мониторинга и алертов, фиксирующих подозрительные операции, обращения к смарт-контрактам и перемещение активов через DEX (Decentralized Exchange, децентрализованная биржа) и CEX (Centralized Exchange, централизованная биржа). Эти данные поступают в инфраструктуру forensic-аналитики, где они обогащаются, сопоставляются с внешними источниками, логами и сведениями об угрозах. Важно зафиксировать связи с внешними артефактами сразу после инцидента, иначе часть информации может быть утрачена.

Используя топологический анализ и кластеризацию, аналитики объединяют адреса, принадлежащие одному субъекту, и выстраивают карту движения средств. Важно сопоставлять данные on-chain и off-chain: анализировать логи систем безопасности, API бирж, взаимодействие с интерфейсами DeFi и активность в публичных каналах общения. Специализированные инструменты позволяют выявлять поведенческие паттерны, а не только прямые связи между адресами, что повышает эффективность расследования сложных схем обналичивания через миксеры (автоматизированные сервисы, которые смешивают разные потоки криптовалюты, не позволяя определять происхождение средств) или кроссчейн-мосты (механизмы для передачи активов и информации между различными сетями блокчейна).

Однако технический анализ является только одной из составляющих расследования. Настоящее расследование начинается тогда, когда результаты аналитики получают юридическую силу. Чтобы перейти от анонимных адресов к конкретным людям, необходимо задействовать off-chain механизмы: направлять правовые запросы на централизованные биржи, провайдеров и эмитентов токенов, использовать KYC-информацию, сотрудничать с международными структурами. В результате собранные данные получают правовой статус и могут использоваться в судебных процедурах.

Одной из основных причин сложности расследований остаётся отсутствие согласованности между участниками. Эффективная система расследования предполагает наличие единого координационного центра, где все участники работают по заранее утверждённым сценариям.

Почему экспертное заключение — главное оружие в суде

Заключение криптоспециалиста — это не просто отчёт о транзакциях, а технический документ, в котором уже заложена логика обвинения. Он строит мост между анонимным адресом и потенциальным фигурантом дела. Такой документ должен быть точным, структурированным и юридически читаемым.

Если аналитическая работа выполнена правильно, появляется шанс не просто отследить путь средств, а вернуть их, зафиксировать доказательства в допустимой форме и инициировать реальные уголовно-правовые действия. Грамотный предварительный анализ открывает путь к оффчейн-идентификации и конкретным фигурантам дела.

Эффективная защита возможна только при комплексном подходе, сочетающем автоматизированный мониторинг, глубокую экспертизу и тесное взаимодействие с правоохранительными и международными органами, что обеспечивает безопасность дальнейшего развития индустрии и активов пользователей.

Выводы

Эффективное расследование криптопреступлений требует синхронизации технических, юридических и аналитических инструментов. Без автоматизации и быстрой реакции даже самые точные данные теряют ценность — атаки развиваются за секунды.

Ключевой фактор успеха — интеграция on-chain и off-chain информации. Только объединяя данные блокчейна с юридическими запросами и KYC-информацией, специалисты могут связать цифровые следы с реальными людьми.

Комплексный подход, основанный на аналитике, автоматизации и межведомственном сотрудничестве, превращает криптопреступления из нераскрываемых схем в дела с реальными обвинениями, укрепляя доверие к индустрии цифровых активов.

Полезные ссылки: 
> Вектор атаки TEE.Fail ломает доверенные среды CPU от Intel, AMD, NVIDIA
> Блокчейн технологии в России, возможности и интеграция
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.