Разгадать биткоин: Новые инструменты отслеживания киберпреступников

Жёлтые и синие линии начинают заполнять экран, который занимает всю стену в Имперском колледже Лондона. Они возникают из пустоты — эта гипнотическая визуализация представляет собой блокчейн биткоина.

Появляется неровный синий круг, и Уильям Кноттенбелт, исследователь колледжа, комментирует:

Здесь вы видите, что кто-то покупает биткоин, а затем платит им тысячам других людей. Это может быть майнинговый пул, выплачивающий вознаграждения людям, которые принимали участие в нахождении блока. А вот эта структура интересна.

Он указывает на группу линий на экране. Появляется несколько синих кружков — множество выплат нескольким учётным записям, но они соединены друг с другом неровными штрихами жёлтых линий. Будто кто-то нарисовал на экране фломастером. То, что только что заметил Кноттенбелт, может стать первым доказательством сложной преступной схемы.

Новые методы экспертизы позволяют властям следить за деньгами через криптовалютные сети, которые оказались намного менее анонимными, чем надеялись их основатели. Подобно тому, как камеры помогли находить грабителей банков, исследователи надеются, что их достижения помогут находить воров, чтобы сделать криптовалютный мир более безопасным для обычных пользователей.

Возможности криптопреступников

Единственное, что связывает вас с учётной записью биткоина, эфириума или тысяч других криптовалютных систем, — это адрес, который представляет собой случайный набор букв и цифр. У вас может быть бесконечное множество этих адресов, и, в принципе, нет очевидного способа связать их вместе или определить их владельца. Средства с этих счетов могут быть переданы без посредников в любую точку планеты в два клика. Джеффри Робинсон, журналист и автор 30 книг о финансовых преступлениях, среди которых «BitCon: голая правда о биткоине», говорит:

Вместо того чтобы встретить вас в тёмном переулке, чтобы передать чемодан с деньгами, я могу сидеть с ноутбуком на балконе в Монако.

Умные преступники освоили эти новые возможности. Исследование 2018 года, проведённое аналитическим блокчейн-стартапом Elliptic и Центром по санкциям и незаконным финансам, обнаружило пятикратное увеличение числа крупномасштабных незаконных операций в блокчейне биткоина за период с 2013 по 2016 год. Анализируя историю более чем 500 000 биткоинов, они выявили 102 преступных субъекта, включая торговые площадки в дарквебе, финансовые пирамиды и вымогателей, и показали, что многие биткоины могут быть связаны с ними.

95% всех отмытых монет, проанализированных в ходе исследования, были получены с девяти торговых площадок дарквеба, среди которых наиболее известны Silk Road, Silk Road 2.0, Agora и AlphaBay. Робинсон говорит:

В дарквебе вы можете купить юридическую консультацию. Там есть адвокаты, которые принимают оплату в биткоинах, и рассказывают вам, как не попасться на биткоине.

Появляются и другие виды организованной преступности. Хакеры требуют биткоины в качестве оплаты при вымогательстве. В 2016 году почти 16% монет были связаны с вредоносными программами, такими как Locky. В 2017 году это были WannaCry и NotPetya.

И всё же, поскольку каждая биткоин-транзакция записывается в распределённый публичный реестр, их можно отслеживать. Любой пользователь может загрузить всю историю биткоин-транзакций, которая в настоящее время занимает около 160 гигабайт.

Анализ этой истории помог раскрыть одну крупную кражу. В 2014 году Mt. Gox, в то время самая большая криптовалютная биржа в мире, была взломана хакерами, которые украли 850 000 биткоинов.

Чтобы найти их, была создана команда экспертов-криминалистов, которые обнаружили… беспорядок. Джонатан Левин, возглавлявший расследование, говорит:

Биржа не знала, сколько биткоинов она должна людям и сколько биткоинов у неё действительно было, пока не заметила, что их просто нет.

Левин и его команда в конечном итоге отследили средства и нашли их на ныне закрытой бирже BTC-e, где след и оборвался.

Хотя они не смогли вернуть большую часть монет, по словам Левина, «это исследование дало возможность разработать инструмент, который могли бы использовать другие люди». Его компания Chainalysis, возникшая фактически благодаря этому расследованию, создаёт инструменты как для бизнеса, так и для правоохранительных органов. Другие компании, например Block Seer и Elliptic, предлагают похожие инструменты и услуги.

По словам Тома Робинсона, соучредителя и главного сотрудника по информационным технологиям в Elliptic, многие биткоин-биржи используют программное обеспечение его компании для экранирования транзакций. Они проверяют, могут ли транзакции быть связаны с кошельками вымогателей, торговым площадкам дарквеба или кражами. Elliptic помогла собрать доказательства по нескольким уголовным делам.

Робинсон не называет своих клиентов, но быстрый поиск по USAspending.gov показывает, что среди них есть Управление по контролю за наркотиками, Служба внутренних доходов, ФБР, иммиграционная служба, таможня, а также Комиссия по ценным бумагам и биржам США. Chainalysis утверждает, что Европол и более половины полицейских ведомств в Европе используют её программное обеспечение. Интерес Казначейства США к блокчейну отражает тот факт, что преступность в сфере криптовалют не ограничивается чёрными рынками. Речь также идёт о мошенничестве и уклонении от уплаты налогов.

Как отследить неотслеживаемых

Большая часть технологий этих компаний была представлена Сарой Мейкледжон, тогда работавшей в Калифорнийском университете, и её коллегами в 2013 году. Основная идея проста. Изучая активность блокчейна, вы можете обнаружить учётные записи, которые, как представляется, относятся к одному и тому же биткоин-кошельку и, таким образом, контролируются одним и тем же объектом. Процесс называется кластеризацией. Например, за несколькими адресами, инициирующими одну и ту же транзакцию, могут стоять один человек или организация, объединяющие небольшие средства в один крупный счёт. Со временем этот хаос превращается в систему.

Когда несколько учётных записей связаны с одним и тем же владельцем, вы можете попытаться выяснить, кто он. Связывание биткоин-адресов с реальными людьми возможно через регулируемые криптобиржи (как правило, в США или Европе), которые должны следовать принципу «знай своего клиента», то есть требуют от пользователей идентификационные данные. Некоторые люди просто публикуют свои приватные адреса на онлайн-форумах. Теперь Chainalysis и Elliptic используют машинное обучение для создания кластеров адресов. Вскоре может быть создан искусственный интеллект для отслеживания блокчейна полицией в режиме реального времени.

Визуализация данных в Имперском колледже — шаг к этому. Сине-жёлтая паутина, на которую обратил внимание Кноттенбелт, может быть биткоин-миксером, то есть последовательностью транзакций, специально предназначенных для того, чтобы усложнить отслеживание. Эффект почти такой же, как если бы вы переводили деньги через банк где-то на Каймановых островах, где существуют законы о соблюдении секретности банковских переводов и счетов.

На шаг впереди

Эти миксеры — не обязательно признак преступной деятельности. Кноттенбелт говорит, что некоторые люди используют их из соображений конфиденциальности. В любом случае для преступников есть лучшие способы замести свои следы. Поскольку мнимость конфиденциальности биткоина становятся всё более очевидной, люди переходят на новые криптовалюты, такие как Zcash и Monero, которые не раскрывают никаких данных о транзакциях, записанных в блокчейне.

Zcash для проверки транзакций использует так называемое доказательство с нулевым разглашением. Это математический способ подтвердить, что транзакция действительно была, не раскрывая при этом никакой информации о её сумме и участниках. Криптовалюта Monero фактически сама представляет собой большой миксер. Когда вы хотите передать монеты, ваш адрес смешивается с кучей других.

Zcash и Monero, безусловно, стоят на качественно другом уровне относительно биткоина. Но это не значит, что они никогда не раскроют своих секретов. Ошибка пользователя, например размещение частного адреса на форуме, может раскрыть его личность так же, как и в биткоине. Более того, Monero даёт пользователям возможность выполнять транзакции без микширования монет. Малте Мёзер из Университета Принстона и его коллеги считают, что 62% транзакций Monero поддаются анализу.

Возможно, главная проблема для правоохранительных органов — большое количество нерегулируемых бирж, где преступники могут замести следы путём обмена одной украденной криптовалюты на другую. Многие биржи принципиально не согласны с регулированием. Например, Shapeshift не запрашивает идентификационные данные у своих пользователей.

Исследователь безопасности и криптовалют Росс Андерсон из Университета Кембриджа, Великобритания, утверждает, что подобные биржи процветают отчасти потому, что законы неэффективны:

В целом проблема борьбы с отмыванием денег заключается в том, что никто не хочет соблюдать эти законы. Если вы банк, то вы не хотите знать, что ваш клиент — мафиози Джон Готти, и банки никогда не будут соблюдать закон, который предписывает им отправлять мафию в тюрьму.

Если так работает весь мир, почему криптобиржи должны выделяться?

Банки и финансовые компании экспериментируют с использованием криптовалюты для создания более плавных платёжных систем. Но технология также поддерживает новое поколение незаконной деятельности, предоставляя новые способы кражи, шантажа, мошенничества и нарушения международных санкций.

Андерсон создаёт то, что он называет taintchain — публичный список биткоинов с чёткими связями с преступной деятельностью:

Я собираюсь опубликовать список всех украденных биткоинов, а также создать программное обеспечение, которое поможет вам их проверять.

Самая крупная киберкража в истории

Хотя исследователи теперь могут следить за украденной криптовалютой в блокчейне в режиме реального времени, они не могут среагировать на преступления достаточно быстро.

Самая крупная киберкража в истории произошла в три часа ночи по японскому времени в январе этого года. Кто-то украл с токийской биржи Coincheck цифровую валюту NEM на полмиллиарда долларов.

Похищенную криптовалюту можно было отследить в публичном блокчейне. Команда NEM отслеживала монеты в Канаде, а затем наблюдала, как некоторые из них вернулись в Японию. Но в конце концов воры смогли обналичить по крайней мере половину украденных монет на нерегулируемых биржах. В марте команда NEM заявила, что отказывается от преследования. Coincheck объявила, что больше не будет заниматься Zcash, Monero, Dash или другой анонимной криптовалютой.

Решение Coincheck вписалось в глобальную тенденцию по наведению порядка в криптовалютном пространстве. Так, правительство США занимается идеей создания чёрного списка криптовалютных адресов, которые связаны с террористами, торговцами наркотиками и нарушителями санкций.

На этот раз похитителям NEM удалось остаться безнаказанными. Но методы экспертизы становятся всё более совершенными. Каждый раз, когда власти будут закрывать очередной Silk Road или BTC-e, это будет сигналом для остальных.

По материалам MIT Technology Review