Блокчейн-аналитика как профессия: как работают специалисты по крипторасследованиям

Только за первое полугодие 2025 года мошенники похитили криптовалюту на сумму более $2,1 млрд, что говорит о росте схем отмывания денег. На этом фоне роль специалистов по крипторасследованиям становится ключевой в борьбе с финансовыми преступлениями

Дмитрий Пойда, аналитик по расследованиям AML/KYT провайдера «Шард», рассказал о том, как именно строится процесс криптовалютных расследований, какие методы и инструменты используются аналитиками, и почему роль человека в этом процессе остается незаменимой.

Как выглядит типичный цикл криптовалютного расследования

Цикл криптовалютного расследования начинается с обнаружения инцидента — это может быть обращение пострадавшего, сигнал от партнеров или зафиксированные «аномалии» в системе мониторинга. На первом этапе проводится предварительный анализ, в ходе которого определяются адреса и транзакции, задействованные в предполагаемом мошенничестве. Далее специалисты приступают к трассировке средств в блокчейне с помощью аналитических платформ, чтобы установить, куда были переведены активы, попали ли они на биржи и использовались ли миксеры.

Основная задача криптовалютного расследования заключается в определении точек входа и выхода средств, в которых возможно установить личность владельца активов. Финальным этапом становится подготовка аналитического отчета с хронологией событий, графом движения средств и подтверждающими данными.

Кроме того, расследования нередко инициируются по запросу правоохранительных органов. В таких случаях специалисты предоставляют заключение, которое помогает следователям формализовать запросы в криптовалютные биржи и использовать собранные данные в качестве доказательной базы в суде.

После получения запроса большинство бирж предоставляют информацию о пользователе, которому принадлежит подозрительный адрес. В числе этих данных могут быть: KYC-информация (ФИО, адрес, удостоверения личности), IP-адреса, история входов и транзакций, а также сведения о связанных аккаунтах и устройствах.

Если аккаунт проходил верификацию, на этом этапе можно установить реальную личность злоумышленника. После этого правоохранительные органы могут:

• вызвать подозреваемого на допрос;
• направить дополнительные запросы в банки и обменные сервисы;
• установить его местоположение;
• инициировать арест или возбуждение уголовного дела.

Какие методы анализа транзакций используются в реальной практике

Любое криптовалютное расследование строится напринципе причинно-следственной связи: каждое действие злоумышленника оставляет след в блокчейне. Эти следы не удаляются, они могут быть запутаны, но не уничтожены.

Ключевой навык аналитика — реконструкция логики злоумышленника:

• зачем он вывел активы именно в это время;
• почему выбрал именно эту биржу;
• что он пытался скрыть и что случайно раскрыл.

Это поможет выстроить поведенческий профиль, на основе которого уже будут приниматься решения.

На практике в криптовалютных расследованиях используется комбинация специализированных аналитических инструментов, открытых источников и собственной методологии, проверенной на реальных кейсах. Основная цель заключается в понимании поведения злоумышленника, выявлении ключевых точек его взаимодействия с инфраструктурой (биржами, сервисами) и сборе доказательной базы, пригодной для юридического использования.

В этом процессе важны не столько конкретные инструменты, хотя они также играют значимую роль, сколько способность аналитика интерпретировать данные, распознавать шаблоны и объединять разрозненные элементы в единую логическую картину.

На более глубоком уровне криптовалютное расследование представляет собой поиск порядка в хаосе. Несмотря на кажущуюся анархичность блокчейна как децентрализованной системы, в его структуре прослеживаются закономерности, повторяющиеся ошибки и поведенческие следы, характерные для человеческой деятельности.

В каких случаях автоматизированные KYT-системы не справляются и нужно подключать ручной разбор цепочек

Автоматизированные KYT-системы эффективно справляются с рутинным мониторингом и выявлением типичных подозрительных паттернов. Однако в ряде сложных случаев их возможностей может быть недостаточно.

Например, это особенно заметно при использовании злоумышленниками продвинутых методов обфускации: многократного применения миксеров, смешения активов в мультицепочечных DeFi-протоколах или обхода стандартных правил, заложенных в алгоритмах системы. Подобные сценарии зачастую выходят за рамки возможностей автоматической фильтрации, поскольку такие системы опираются на заранее заданные паттерны и статистические модели, а преступники стремятся их обходить.

С научной точки зрения, это связано с ограничениями алгоритмов машинного обучения и эвристических подходов: они показывают высокую эффективность на известных данных, но теряют точность при столкновении с новыми, нетипичными схемами и поведенческими моделями, отсутствующими в обучающих выборках. В таких ситуациях возникает необходимость в ручной работе — экспертном анализе, основанном на методах дедукции, индукции и кросс-валидации данных из разных источников.

Так, аналитик может заметить нетипичные временные корреляции транзакций, которые не фиксируются автоматикой, или выявить поведенческие паттерны, отражающие психологию мошенника. Как правило, у таких злоумышленников прослеживаются повторяющиеся ошибки, заметные только при глубоком анализе. Нестандартный подход включает в себя работу с OSINT-данными, анализ активности в социальных сетях и на форумах, а также изучение нестандартных DeFi-протоколов. Это позволяет сформировать полное «поведенческое досье» мошенника.

Как отличить нелегальный микшер от законного мультисервисного кошелька

Микшеры характеризуются множеством мелких входящих и исходящих транзакций, совершаемых с высокой частотой в короткие промежутки времени, чтобы затруднить отслеживание движения средств. В отличие от них, легитимные мультисервисные кошельки, как правило, демонстрируют более стабильные и прозрачные потоки, отражающие повседневную активность пользователей или сервисов.

Некоторые микшеры используют стратегию «отложенных» переводов: средства сначала аккумулируются на одном адресе, а затем, спустя часы или даже дни, начинают выводиться на множество других. В течение нескольких суток суммы дробятся и распределяются по сотням кошельков с задержками от 12 до 48 часов. Это отличает их от мультисервисных кошельков, которые работают в более «живом» режиме.

Таким образом, отличительные признаки микшеров — это высокая интенсивность мелких транзакций, временные задержки и цепочки распределений, формирующие видимость хаотичного движения средств. В то время как деятельность легитимных мультисервисных кошельков, напротив, выглядит более прямолинейной, последовательной и оперативной — она отражает реальные пользовательские сценарии, а не попытки скрыть происхождение активов.

Какие компетенции необходимы специалисту по блокчейн-аналитике в 2025 году

Ранее работа аналитика сводилась в основном к техническому трейсингу транзакций: отслеживанию пути средств, сопоставлению их с биржами и построению графов. Сегодня этого недостаточно — криптопреступники используют более сложные схемы обфускации, включая многоступенчатое дробление, миксеры и DeFi-протоколы.

В условиях появления новых видов мошенничества KYT-системы, аналитик становится основным звеном между автоматической диагностикой и человеческой интерпретацией. Его задача — восполнить пробелы, где алгоритмы не справляются. Для этого специалист должен владеть методами ручной реконструкции цепочек транзакций, применять OSINT-подходы, работать с данными из форумов и социальных сетей, а иногда даже создавать поведенческие профили на основе цифровых следов.

Навыки криминалистики, финансовой разведки, анализа угроз и юридической подготовки (в части допустимости доказательств) становятся неотъемлемой частью профессионального профиля современного аналитика.