Что на самом деле видит Chainalysis (и чего не видит)
Для большинства пользователей Chainalysis, TRM или Elliptic — чёрный ящик, который почему-то решил, что их средства «грязные». На самом деле методология этих движков хорошо известна: кластеризация, атрибуция, скоринг пути. Понимание механики — первый шаг к оспариванию её выводов.
Шаг 1: кластеризация — сгруппировать адреса одного владельца
Блокчейн псевдонимен: адресов миллиарды, владельцев — на порядки меньше. Первая задача движка — кластеризация: определить, какие адреса контролирует один субъект. Базовые эвристики известны десятилетиями: co-spend (адреса, подписавшие входы одной транзакции, принадлежат одному кошельку), определение адресов сдачи, поведенческие паттерны (время активности, типичные суммы, повторяющиеся маршруты). Крупные кластеры бирж и сервисов идентифицируются ещё проще — по паттернам горячих кошельков и консолидации.
Шаг 2: атрибуция — повесить на кластер метку
Сам кластер — просто множество адресов. Ценность баз Chainalysis — в метках: «это горячий кошелёк биржи X», «это Tornado Cash», «это кластер скам-проекта Y». Откуда метки: контрольные закупки и тестовые депозиты (движок сам отправляет средства на биржу и смотрит, куда они упали), публичные инциденты и судебные материалы, санкционные списки, разметка партнёров. Важно: атрибуция — это утверждение базы, а не факт блокчейна. Она бывает устаревшей, неполной и местами ошибочной — и обновляется задним числом, поэтому ваши прошлогодние транзакции вдруг «испачкались».
Шаг 3: скоринг пути — посчитать ваш риск
Ваш депозит оценивается по связям: сколько хопов до рисковых кластеров, какая доля объёма оттуда пришла, какая категория риска (санкции тяжелее гемблинга). Отсюда главное неинтуитивное следствие: ваш риск-скор — это свойство пути ваших средств, а не вашего поведения. Детали скоринга со стороны биржи мы разбирали в отдельной статье.
Чего движок НЕ видит
Не видит личностей: вне KYC-точек (биржи, обменники с верификацией) граф анонимен — движок знает «кластер №483920», а не фамилию. Не видит намерений: «получил от клиента оплату» и «получил транш от скамера» для графа идентичны. Не видит офчейн-контекста: ваши договоры, счета и переписки в граф не входят — именно поэтому их нужно подавать отдельно как Source of Funds.
Откуда берутся ложные срабатывания
Агрессивная кластеризация
Кастодиальные сервисы и обменники смешивают средства тысяч клиентов: «соседство» в общем кошельке тянет чужой риск в ваш след. Для СНГ это особенно актуально: значительная часть оборота идёт через наличные обменники и агрегаторы без сегрегации средств.
Устаревшая или грубая атрибуция
Кластер мог сменить владельца; сервис мог быть перепродан; метка «high-risk exchange» иногда накрывает вполне легальные региональные платформы.
Унаследованный риск глубоких хопов
На 4–5 хопах «грязная» доля размывается до процентов, но консервативные настройки биржи всё равно могут сработать.
Почему это работает и на вашу защиту
Методология симметрична: независимый форензик-отчёт тем же классом инструментов показывает ваш граф таким, каким его видит биржа — с конкретной точкой, где возник риск. Дальше позиция строится предметно: вот хоп, вот доля, вот документы на эту транзакцию — а не «я честный человек, поверьте». Попытки же «почистить след» миксерами после флага дают обратный эффект: разрыв графа — самостоятельный тяжёлый флаг. Как мы применяем это в кейсах — методология Onyx AML.
Вывод
Chainalysis — не всевидящее око и не генератор случайных обвинений, а статистическая машина с известными эвристиками и известными слабостями. С ней можно предметно спорить — языком графа и документов. Если ваш кейс уже получил флаг — оцените его или оставьте заявку: посмотрим на ваш след теми же глазами, что и биржа.