Hoy hablaremos de
Bitfury Crystal , una plataforma que analiza las cadenas de bloques de Bitcoin y Bitcoin Cash y le permite identificar transacciones sospechosas de criptomonedas. Considere las herramientas utilizadas por el sistema y los principios de su trabajo.
/ Cristal Bitfury¿Por qué necesitamos un sistema así?
Blockchain es una red abierta, por lo que cualquier participante puede estudiar el historial de transacciones y establecer las cantidades transferidas entre direcciones. Pero averiguar el propietario de una billetera en particular es muy problemático, ya que la red es anónima. Por esta razón, los atacantes utilizan activamente la criptomoneda para el lavado de dinero, la extorsión o el chantaje. Según
Europol , las transacciones de criptomonedas son cada vez más populares para las transacciones ilegales.
Nuestro equipo ha desarrollado un conjunto de herramientas para el análisis más completo de blockchain. Crystal agrupa las direcciones que pertenecen a un propietario y brinda una evaluación de riesgos (cuál es la posibilidad de que estén relacionadas con actividades ilegales). El servicio también le permite rastrear el movimiento de bitcoins a una dirección específica o después de una transacción específica.
Herramientas de cristal
En general, la plataforma Crystal se puede considerar como una combinación de las siguientes herramientas: agrupación, evaluación de riesgos, visualización, interacción y seguimiento. Su aplicación coherente le permite identificar la conexión de una billetera de criptomonedas o el pago con actividades ilegales o "dudosas" y proporcionar evidencia de dicha conexión. Le diremos qué tareas resuelve cada una de estas herramientas.
Agrupación
Para determinar si una billetera está relacionada con actividades sospechosas, Crystal agrupa las direcciones en la cadena de bloques que pertenecen a un propietario. Es decir, resuelve el problema de la agrupación. La agrupación de cristales usa más comúnmente dos heurísticas:
la heurística de gasto total y
la heurística de cambio .
En el primer caso, las direcciones se agrupan, que son entradas separadas de una transacción. Dado que diferentes direcciones envían fondos en una transacción y tienen acceso a las claves privadas de cada uno, podemos suponer que estas direcciones tienen un propietario común.
¿Qué es la entrada y salida de transacciones?Todas las transacciones de blockchain de Bitcoin tienen una o más entradas y salidas. Las entradas de la nueva transacción se refieren a las salidas de la transacción anterior y proporcionan datos para la transferencia de fondos.
Escribimos en detalle sobre el mecanismo del trabajo de transacción en uno de nuestros materiales pasados . Pero esta regla está lejos de ser cierta para todos los casos. Por ejemplo, el método
CoinJoin le permite combinar entradas de diferentes remitentes en una transacción para anonimizarla. En este caso, se hace más difícil establecer la distribución exacta de los fondos "en conjunto".
/ Ejemplo de una transacción Coinjoin en nuestra visualizaciónEsta condición impone una serie de restricciones en el algoritmo de agrupamiento. Para ampliar las capacidades del sistema, se utiliza una heurística adicional: el cambio heurístico.
La suma de todas las entradas para la transacción actual debe usarse en sus salidas, de lo contrario, los fondos restantes se convertirán en la comisión del minero. Por esta razón, a menudo se genera una nueva dirección de salida, a la que el remitente recibirá el cambio. El cambio heurístico le permite identificar direcciones similares y agregarlas al clúster de remitentes.
Después de la agrupación, los analistas de Crystal se incluyen en el trabajo, que, según la información sobre el objeto encontrado en las fuentes disponibles para ellos, determina el propietario de la agrupación.
Evaluación de riesgos
Algoritmos especiales evalúan la probabilidad de que las billeteras se asocien con actividades potencialmente dañinas. El módulo de evaluación de riesgos le permite obtener información adicional sobre los clústeres no asignados (incluidas las direcciones individuales) en función de su interacción con los clústeres etiquetados. Información adicional significa el grado de riesgo del grupo de direcciones dependiendo de la afiliación con cualquier tipo de actividad (
darkmarket, malware, miner, etc. ).
El módulo "Evaluación de riesgos" utiliza el método de
propagación de
etiquetas (
propagación de etiquetas ), que se refiere al tipo de capacitación con participación parcial del maestro (
aprendizaje semi-supervisado ). El método de distribución de etiquetas se usa para clasificar objetos que tienen una estructura gráfica. En este gráfico, un subconjunto de los vértices está etiquetado en clases (el número de vértices etiquetados es mucho menor que sin colocar). En nuestro caso, los vértices indican los grupos y los bordes, las interacciones entre ellos. El peso del borde corresponde a la cantidad de fondos transferidos entre direcciones.
Visualización
Gracias a la herramienta de visualización, un usuario de Crystal puede, en un corto período de tiempo, construir un diagrama de movimiento de todas las transacciones conocidas en forma de gráfico. Además, el gráfico tendrá un número mínimo de intersecciones de bordes para una mejor visualización.
Por lo general, los gráficos se dibujan utilizando algoritmos de clase
dirigidos por la fuerza (se denominan algoritmo de dibujo del gráfico de fuerza). En este caso, se especifica un sistema de fuerzas atractivas y repulsivas que actúan entre los vértices y los bordes del gráfico. Luego hay una posición en la que el sistema tiene el nivel de energía más bajo (mínimo local).
Este enfoque tiene muchos problemas, uno de los cuales es el mínimo local de intersecciones en lugar del global. Por esta razón, decidimos escribir nuestro propio algoritmo de representación. En la figura a continuación puede ver un ejemplo de visualización, es decir, el retiro de fondos de las direcciones de WannaCry.
/ Ejemplo de visualización de retirada de WannaCryInteracción
Ayuda a encontrar todas las transacciones directas entre dos grupos y estudiarlas en detalle. La función también dibuja gráficos que le permiten evaluar la intensidad de la interacción de los propietarios de direcciones según el tiempo.
/ ejemplo de la interacción de los intercambios de criptomonedas Binance y Kraken.Seguimiento
Nuestro equipo de Crystal ha desarrollado una herramienta que monitorea automáticamente el flujo de criptomonedas que participaron en un conjunto de transacciones definidas por el usuario. Esto permite, por ejemplo, localizar el dinero robado o la organización a través de la cual se retiró.
Al tratar de rastrear un movimiento de este tipo manualmente, los investigadores generalmente encuentran un problema de gran ramificación: el dinero se divide en pequeñas partes, convergen en direcciones, se vuelven a dividir. Además, las monedas de otras fuentes pueden mezclarse con dinero robado, ya que una transacción puede contener varias entradas.
El resultado del seguimiento de Crystal es una lista de direcciones de criptomonedas a las que ha llegado el dinero, así como la determinación de todas las rutas de entrega. En función de estos datos, puede crear automáticamente una visualización. Por ejemplo, la figura a continuación muestra la "ruta" de retiro de fondos por parte de piratas informáticos del intercambio de Zaif.
/ transferencia de fondos por un hacker al intercambio de BinanceLos atacantes transfirieron criptomonedas desde las direcciones del intercambio en la transacción
c3b9a4a0831a65523c81e6a04f6ddf5a7a89f344d990e8a13e5278efe57f4280 . El dinero se recaudó en
1FmwHh6pgkf4meCMoqo8fHH3GNRF571f9w , e investigamos el movimiento de fondos asociados con esta dirección.
Como resultado, resultó que parte de los fondos se distribuyeron entre cuentas en bolsas como Binance, Bitstamp y Livecoin. Y parte de los fondos se destinaron a mezcladores, por ejemplo, hipMixer.com.
El curso completo de la investigación se describe
en detalle
en nuestro blog en Medium .
¿Dónde se usa Crystal?
Utilizando las herramientas descritas anteriormente, Crystal permite a las organizaciones que aceptan bitcoins determinar el origen de los fondos y su relación con la actividad ilegal (Evaluación de riesgos). Si la información recibida no es suficiente, las organizaciones pueden realizar una investigación más profunda utilizando las herramientas de "Visualización" e "Interacción".
Crystal también le permite investigar casos de robo de criptomonedas. La función "Rastreo" permite obtener una lista de todas las direcciones y organizaciones a través de las cuales se gastó el dinero robado. Después de eso, el sistema mostrará gráficamente cómo llegaron allí. Luego, con estos datos, el usuario puede contactar a las organizaciones identificadas con una solicitud para congelar fondos.
Las herramientas de Crystal enumeradas son el resultado del desarrollo del equipo profesional de Bitfury, que no se detendrá allí. La plataforma Crystal ya está siendo utilizada en Asia, EE. UU., Europa y la CEI tanto por instituciones financieras como por organismos encargados de hacer cumplir la ley. Un video corto sobre Crystal:
Para preguntas de cooperación, contactar: contact@crystalblockchain.com