Heute werden wir über
Bitfury Crystal sprechen, eine Plattform, die
Bitcoin- und Bitcoin Cash-Blockchains analysiert und es Ihnen ermöglicht, verdächtige Kryptowährungstransaktionen zu identifizieren. Berücksichtigen Sie die vom System verwendeten Tools und die Prinzipien ihrer Arbeit.
/ Bitfury KristallWarum brauchen wir ein solches System?
Blockchain ist ein offenes Netzwerk, sodass jeder Teilnehmer den Verlauf von Transaktionen studieren und die zwischen Adressen übertragenen Beträge ermitteln kann. Es ist jedoch sehr problematisch, den Besitzer einer bestimmten Brieftasche herauszufinden, da das Netzwerk anonym ist. Aus diesem Grund verwenden Angreifer Kryptowährung aktiv für Geldwäsche, Erpressung oder Erpressung. Laut
Europol werden Kryptowährungstransaktionen für illegale Transaktionen immer beliebter.
Unser Team hat eine Reihe von Tools für die vollständigste Analyse der Blockchain entwickelt. Crystal gruppiert Adressen, die einem Eigentümer gehören, und gibt eine Risikobewertung ab (wie hoch ist die Wahrscheinlichkeit, dass sie mit illegalen Aktivitäten zusammenhängen). Mit diesem Dienst können Sie auch die Bewegung von Bitcoins zu einer bestimmten Adresse oder nach einer bestimmten Transaktion verfolgen.
Kristallwerkzeuge
Im Allgemeinen kann die Crystal-Plattform als eine Kombination der folgenden Tools betrachtet werden: Clustering, Risikobewertung, Visualisierung, Interaktion und Nachverfolgung. Ihre konsistente Anwendung ermöglicht es Ihnen, die Verbindung einer Kryptowährungsbrieftasche oder -zahlung mit illegalen oder „zweifelhaften“ Aktivitäten zu identifizieren und eine solche Verbindung nachzuweisen. Wir werden Ihnen sagen, welche Aufgaben jedes dieser Tools löst.
Clustering
Um festzustellen, ob eine Brieftasche mit verdächtigen Aktivitäten zusammenhängt, gruppiert Crystal Adressen in der Blockchain, die einem Eigentümer gehören. Das heißt, es löst das Problem des Clustering. Beim Kristallclustering werden am häufigsten zwei Heuristiken verwendet:
die Gesamtausgabenheuristik und
die Änderungsheuristik .
Im ersten Fall werden Adressen gruppiert, die separate Eingaben einer Transaktion sind. Da verschiedene Adressen Geld in einer Transaktion senden und Zugriff auf die privaten Schlüssel des jeweils anderen haben, können wir davon ausgehen, dass diese Adressen einen gemeinsamen Eigentümer haben.
Was ist Transaktionsein- und -ausgang?Alle Bitcoin-Blockchain-Transaktionen haben eine oder mehrere Ein- und Ausgänge. Die Eingaben der neuen Transaktion beziehen sich auf die Ausgaben der vorherigen Transaktion und liefern Daten für den Geldtransfer.
Wir haben in einem unserer früheren Materialien ausführlich über den Mechanismus der Transaktionsarbeit geschrieben. Diese Regel gilt jedoch bei weitem nicht für alle Fälle. Mit der
CoinJoin- Methode können
Sie beispielsweise Eingaben von verschiedenen Absendern in einer Transaktion kombinieren, um sie zu anonymisieren. In diesem Fall wird es schwieriger, die genaue Verteilung der Mittel „in Verbindung“ zu bestimmen.
/ Beispiel einer Coinjoin-Transaktion in unserer VisualisierungDiese Bedingung legt dem Clustering-Algorithmus eine Reihe von Einschränkungen auf. Um die Funktionen des Systems zu erweitern, wird eine zusätzliche Heuristik verwendet - die Änderungsheuristik.
Die Summe aller Eingaben für die aktuelle Transaktion muss an ihren Ausgaben verwendet werden, andernfalls werden die verbleibenden Mittel zur Provision des Bergmanns. Aus diesem Grund wird häufig eine neue Exit-Adresse generiert, an die der Absender eine Änderung erhält. Mit der Änderungsheuristik können Sie ähnliche Adressen identifizieren und dem Absendercluster hinzufügen.
Nach dem Clustering werden Crystal-Analysten in die Arbeit einbezogen, die anhand von Informationen zu dem Objekt in den ihnen zur Verfügung stehenden Quellen den Eigentümer des Clusters bestimmen.
Risikobewertung
Spezielle Algorithmen bewerten die Wahrscheinlichkeit, dass Brieftaschen mit potenziell schädlichen Aktivitäten verbunden sind. Mit dem Modul Risikobewertung können Sie zusätzliche Informationen zu nicht zugewiesenen Clustern (einschließlich einzelner Adressen) abrufen, die auf deren Interaktion mit gekennzeichneten Clustern basieren. Zusätzliche Informationen bedeuten den Grad des Risikos der Adressgruppe in Abhängigkeit von der Zugehörigkeit zu einer Aktivität (
Darkmarket, Malware, Miner usw. ).
Das Modul „Risikobewertung“ verwendet die Methode der
Etikettenvermehrung (
Etikettenvermehrung ), die sich auf die Art der Ausbildung bezieht, an der der Lehrer teilweise beteiligt ist (
halbüberwachtes Lernen ). Die Beschriftungsverteilungsmethode wird verwendet, um Objekte mit einer Diagrammstruktur zu klassifizieren. In diesem Diagramm wird eine Teilmenge der Scheitelpunkte in Klassen eingeteilt (die Anzahl der beschrifteten Scheitelpunkte ist viel geringer als nicht platziert). In unserem Fall geben die Eckpunkte die Cluster und die Kanten an - die Wechselwirkungen zwischen ihnen. Das Gewicht der Kante entspricht dem Betrag der zwischen Adressen übertragenen Gelder.
Visualisierung
Dank des Visualisierungstools kann ein Crystal-Benutzer in kurzer Zeit ein Bewegungsdiagramm aller bekannten Transaktionen in Form eines Diagramms erstellen. Darüber hinaus weist das Diagramm zur besseren Visualisierung eine Mindestanzahl von Kantenschnittpunkten auf.
In der Regel werden Diagramme mit
kraftgerichteten Klassenalgorithmen gezeichnet (sie werden als Kraftdiagramm-Zeichenalgorithmus bezeichnet). In diesem Fall wird ein System von Anziehungs- und Abstoßungskräften angegeben, die zwischen den Eckpunkten und Kanten des Graphen wirken. Dann gibt es eine Position, in der das System das niedrigste Energieniveau hat (lokales Minimum).
Dieser Ansatz weist viele Probleme auf, von denen eines das lokale Minimum an Kreuzungen anstelle des globalen ist. Aus diesem Grund haben wir uns entschlossen, einen eigenen Rendering-Algorithmus zu schreiben. In der folgenden Abbildung sehen Sie ein Beispiel für die Visualisierung, nämlich das Abheben von Geldern von WannaCry-Adressen.
/ Beispiel für eine Visualisierung der WannaCry-AuszahlungInteraktion
Es ist hilfreich, alle direkten Transaktionen zwischen zwei Clustern zu finden und sie im Detail zu untersuchen. Die Funktion zeichnet auch Diagramme, mit denen Sie die Intensität der Interaktion von Adressbesitzern in Abhängigkeit von der Zeit bewerten können.
/ Beispiel für die Interaktion der Kryptowährungsbörsen Binance und Kraken.Tracking
Unser Crystal-Team hat ein Tool entwickelt, das automatisch den Kryptowährungsfluss überwacht, der an einer benutzerdefinierten Reihe von Transaktionen teilgenommen hat. Dies ermöglicht es beispielsweise, das gestohlene Geld oder die Organisation zu lokalisieren, über die es abgehoben wurde.
Wenn Forscher versuchen, eine solche Bewegung manuell zu verfolgen, stoßen sie normalerweise auf das Problem der großen Verzweigung: Geld wird in kleine Teile aufgeteilt, an Adressen konvergiert und erneut aufgeteilt. Außerdem können Münzen aus anderen Quellen mit gestohlenem Geld gemischt werden, da eine Transaktion mehrere Eingaben enthalten kann.
Das Ergebnis der Crystal-Verfolgung ist eine Liste der Kryptowährungsadressen, an die Geld eingegangen ist, sowie die Bestimmung aller Übermittlungswege. Basierend auf diesen Daten können Sie automatisch eine Visualisierung erstellen. Die folgende Abbildung zeigt beispielsweise den "Weg" zum Abheben von Geldern durch Hacker von der Zaif-Börse.
/ Überweisung von Geldern durch einen Hacker an die Binance-BörseAngreifer haben die Kryptowährung von den Austauschadressen in der Transaktion
c3b9a4a0831a65523c81e6a04f6ddf5a7a89f344d990e8a13e5278efe57f4280 übertragen . Das Geld wurde unter
1FmwHh6pgkf4meCMoqo8fHH3GNRF571f9w gesammelt, und wir untersuchten die Bewegung der mit dieser Adresse verbundenen Mittel.
Infolgedessen stellte sich heraus, dass ein Teil des Geldes auf Konten an Börsen wie Binance, Bitstamp und Livecoin verteilt war. Ein Teil der Mittel ging an Mixer, zum Beispiel hipMixer.com.
Der gesamte Verlauf der Untersuchung wird
in unserem Blog auf Medium ausführlich beschrieben.
Wo wird Kristall verwendet?
Mithilfe der oben beschriebenen Tools ermöglicht Crystal Organisationen, die Bitcoins akzeptieren, die Herkunft von Geldern und ihre Beziehung zu illegalen Aktivitäten zu bestimmen (Risikobewertung). Wenn die empfangenen Informationen nicht ausreichen, können Unternehmen mithilfe der Tools „Visualisierung“ und „Interaktion“ eine eingehendere Untersuchung durchführen.
Mit Crystal können Sie auch Fälle von Diebstahl von Kryptowährung untersuchen. Mit der Funktion „Tracking“ können Sie eine Liste aller Adressen und Organisationen abrufen, über die gestohlenes Geld ausgegeben wurde. Danach zeigt das System grafisch, wie sie dorthin gekommen sind. Mit diesen Daten kann der Benutzer dann die identifizierten Organisationen mit der Bitte kontaktieren, Gelder einzufrieren.
Die aufgeführten Crystal-Tools sind das Ergebnis der Entwicklung des professionellen Bitfury-Teams, das hier nicht aufhören wird. Die Crystal-Plattform wird bereits in Asien, den USA, Europa und den GUS-Staaten sowohl von Finanzinstituten als auch von Strafverfolgungsbehörden eingesetzt. Ein kurzes Video über Crystal:
Bei Fragen zur Zusammenarbeit wenden Sie sich an: contact@crystalblockchain.com