Що насправді бачить Chainalysis (і чого не бачить)
Для більшості користувачів Chainalysis, TRM чи Elliptic — чорна скринька, яка чомусь вирішила, що їхні кошти «брудні». Насправді методологія цих движків добре відома: кластеризація, атрибуція, скоринг шляху. Розуміння механіки — перший крок до оскарження її висновків.
Крок 1: кластеризація — згрупувати адреси одного власника
Блокчейн псевдонімний: адрес мільярди, власників — на порядки менше. Перше завдання движка — кластеризація: визначити, які адреси контролює один суб'єкт. Базові евристики відомі десятиліттями: co-spend (адреси, що підписали входи однієї транзакції, належать одному гаманцю), визначення адрес решти, поведінкові патерни (час активності, типові суми, повторювані маршрути). Великі кластери бірж і сервісів ідентифікуються ще простіше — за патернами гарячих гаманців і консолідації.
Крок 2: атрибуція — повісити на кластер мітку
Сам кластер — просто множина адрес. Цінність баз Chainalysis — у мітках: «це гарячий гаманець біржі X», «це Tornado Cash», «це кластер скам-проєкту Y». Звідки мітки: контрольні закупівлі і тестові депозити (движок сам відправляє кошти на біржу і дивиться, куди вони впали), публічні інциденти і судові матеріали, санкційні списки, розмітка партнерів. Важливо: атрибуція — це твердження бази, а не факт блокчейна. Вона буває застарілою, неповною і подекуди помилковою — і оновлюється заднім числом, чому ваші торішні транзакції раптом «побруднішали».
Крок 3: скоринг шляху — порахувати ваш ризик
Ваш депозит оцінюється за зв'язками: скільки хопів до ризикових кластерів, яка частка обсягу звідти прийшла, яка категорія ризику (санкції важчі за гемблінг). Звідси головний неінтуїтивний наслідок: ваш ризик-скор — це властивість шляху ваших коштів, а не вашої поведінки. Деталі скорингу з боку біржі ми розбирали в окремій статті.
Чого движок НЕ бачить
Не бачить осіб: поза KYC-точками (біржі, обмінники з верифікацією) граф анонімний — движок знає «кластер №483920», а не прізвище. Не бачить намірів: «отримав від клієнта оплату» і «отримав транш від скамера» для графа ідентичні. Не бачить офчейн-контексту: ваші договори, рахунки і переписки в граф не входять — саме тому їх треба подавати окремо як Source of Funds.
Звідки беруться хибні спрацювання
Агресивна кластеризація
Кастодіальні сервіси й обмінники змішують кошти тисяч клієнтів: «сусідство» у спільному гаманці тягне чужий ризик у ваш слід.
Застаріла або груба атрибуція
Кластер міг змінити власника; сервіс міг бути перепроданий; мітка «high-risk exchange» інколи накриває цілком легальні регіональні платформи.
Успадкований ризик глибоких хопів
На 4–5 хопах «брудна» частка розмивається до відсотків, але консервативні налаштування біржі все одно можуть тригернутись.
Чому це працює і на ваш захист
Методологія симетрична: незалежний форензик-звіт тим самим класом інструментів показує ваш граф таким, яким його бачить біржа — з конкретною точкою, де виник ризик. Далі позиція будується предметно: ось хоп, ось частка, ось документи на цю транзакцію — а не «я чесна людина, повірте». Спроби ж «почистити слід» міксерами після флага дають зворотний ефект: розрив графа — самостійний важкий флаг. Як ми застосовуємо це в кейсах — методологія Onyx AML.
Висновок
Chainalysis — не всевидяче око і не генератор випадкових звинувачень, а статистична машина з відомими евристиками і відомими слабкостями. З нею можна предметно сперечатись — мовою графа і документів. Якщо ваш кейс уже отримав флаг — оцініть його або залиште заявку: подивимось на ваш слід тими ж очима, що й біржа.