Aujourd'hui, nous parlerons de
Bitfury Crystal , une plate-forme qui analyse les chaînes de blocs Bitcoin et Bitcoin Cash et vous permet d'identifier les transactions suspectes de crypto-monnaie. Considérez les outils utilisés par le système et les principes de leur travail.
/ Cristal BitfuryPourquoi avons-nous besoin d'un tel système
La blockchain est un réseau ouvert, donc tout participant peut étudier l'historique des transactions et établir les montants transférés entre les adresses. Mais trouver le propriétaire d'un portefeuille particulier est très problématique, car le réseau est anonyme. Pour cette raison, les attaquants utilisent activement la crypto-monnaie pour le blanchiment d'argent, l'extorsion ou le chantage. Selon
Europol , ce sont les transactions de crypto-monnaie qui deviennent de plus en plus populaires pour les transactions illégales.
Notre équipe a développé un ensemble d'outils pour l'analyse la plus complète de la blockchain. Crystal regroupe les adresses appartenant à un seul propriétaire et donne une évaluation des risques (quelle est la probabilité qu'ils soient liés à des activités illégales). Le service vous permet également de suivre le mouvement des bitcoins vers une adresse spécifique ou après une transaction spécifique.
Crystal Tools
En général, la plateforme Crystal peut être considérée comme une combinaison des outils suivants: clustering, évaluation des risques, visualisation, interaction et suivi. Leur application cohérente vous permet d'identifier la connexion d'un portefeuille de crypto-monnaie ou d'un paiement avec des activités illégales ou «douteuses» et de fournir la preuve d'une telle connexion. Nous vous dirons quelles tâches chacun de ces outils résout.
Regroupement
Pour déterminer si un portefeuille est lié à une activité suspecte, Crystal regroupe les adresses sur la blockchain appartenant à un propriétaire. Autrement dit, il résout le problème du clustering. Le clustering en cristal utilise le plus souvent deux heuristiques:
l' heuristique de dépense totale et
l'heuristique de changement .
Dans le premier cas, les adresses sont regroupées, qui sont des entrées distinctes d'une transaction. Étant donné que différentes adresses envoient des fonds en une seule transaction et ont accès aux clés privées des autres, nous pouvons supposer que ces adresses ont un propriétaire commun.
Qu'est-ce que l'entrée et la sortie d'une transactionToutes les transactions de blockchain Bitcoin ont une ou plusieurs entrées et sorties. Les entrées de la nouvelle transaction se réfèrent aux sorties de la transaction précédente et fournissent des données pour le transfert de fonds.
Nous avons écrit en détail sur le mécanisme du travail de transaction dans l'un de nos documents antérieurs . Mais cette règle est loin d'être vraie dans tous les cas. Par exemple, la méthode
CoinJoin vous permet de combiner les entrées de différents expéditeurs en une seule transaction pour l'anonymiser. Dans ce cas, il devient plus difficile d'établir la répartition exacte des fonds «conjointement».
/ Exemple d'une transaction Coinjoin sur notre visualisationCette condition impose un certain nombre de restrictions à l'algorithme de clustering. Pour étendre les capacités du système, une heuristique supplémentaire est utilisée - l'heuristique de changement.
La somme de toutes les entrées pour la transaction en cours doit être utilisée à ses sorties, sinon les fonds restants deviennent la commission du mineur. Pour cette raison, une nouvelle adresse de sortie est souvent générée, à laquelle l'expéditeur recevra la modification. L'heuristique de modification vous permet d'identifier des adresses similaires et de les ajouter au cluster d'expéditeurs.
Après le clustering, les analystes de Crystal sont inclus dans le travail qui, en fonction des informations sur l'objet trouvé dans les sources à leur disposition, détermine le propriétaire du cluster.
Évaluation des risques
Des algorithmes spéciaux évaluent la probabilité que les portefeuilles soient associés à des activités potentiellement dangereuses. Le module d'évaluation des risques vous permet d'obtenir des informations supplémentaires sur les clusters non alloués (y compris les adresses uniques) en fonction de leur interaction avec les clusters étiquetés. Des informations supplémentaires signifient le degré de risque du groupe d'adresses en fonction de l'affiliation à tout type d'activité (
darkmarket, malware, mineur, etc. ).
Le module «Evaluation des risques» utilise la méthode de
propagation des
étiquettes (
propagation des étiquettes ), qui fait référence au type de formation avec une implication partielle de l'enseignant (
apprentissage semi-encadré ). La méthode de distribution des étiquettes est utilisée pour classer les objets qui ont une structure graphique. Dans ce graphique, un sous-ensemble des sommets est étiqueté en classes (le nombre de sommets étiquetés est beaucoup moins que non placé). Dans notre cas, les sommets indiquent les clusters et les arêtes - les interactions entre eux. Le poids du bord correspond au montant des fonds transférés entre les adresses.
Visualisation
Grâce à l'outil de visualisation, un utilisateur Crystal peut, en peu de temps, construire un diagramme de mouvement de toutes les transactions connues sous forme de graphique. De plus, le graphique aura un nombre minimum d'intersections d'arêtes pour une meilleure visualisation.
En règle générale, les graphiques sont dessinés à l'aide d'algorithmes de classe à
force dirigée (ils sont appelés algorithme de dessin de graphique de force). Dans ce cas, un système de forces attractives et répulsives agissant entre les sommets et les bords du graphe est spécifié. Ensuite, il y a une position dans laquelle le système a le niveau d'énergie le plus bas (minimum local).
Cette approche pose de nombreux problèmes, dont l'un est le minimum local d'intersections au lieu de global. Pour cette raison, nous avons décidé d'écrire notre propre algorithme de rendu. Dans la figure ci-dessous, vous pouvez voir un exemple de visualisation, à savoir le retrait de fonds des adresses WannaCry.
/ Exemple de visualisation de retrait WannaCryL'interaction
Il permet de trouver toutes les transactions directes entre deux clusters et de les étudier en détail. La fonction dessine également des graphiques qui vous permettent d'évaluer l'intensité de l'interaction des propriétaires d'adresses en fonction du temps.
/ exemple de l'interaction des échanges de crypto-monnaies Binance et Kraken.Suivi
Notre équipe Crystal a développé un outil qui surveille automatiquement le flux de crypto-monnaie qui a participé à un ensemble de transactions défini par l'utilisateur. Cela permet, par exemple, de localiser l'argent volé ou l'organisation par laquelle il a été retiré.
Lorsqu'ils essaient de suivre un tel mouvement manuellement, les chercheurs rencontrent généralement un problème de grande ramification: l'argent est divisé en petites parties, convergé aux adresses, divisé à nouveau. De plus, les pièces provenant d'autres sources peuvent être mélangées avec de l'argent volé, car une transaction peut contenir plusieurs entrées.
Le résultat du suivi Crystal est une liste d'adresses de crypto-monnaie auxquelles l'argent est arrivé, ainsi que la détermination de tous les itinéraires de livraison. Sur la base de ces données, vous pouvez créer automatiquement une visualisation. Par exemple, la figure ci-dessous montre la «voie» de retrait des fonds par les pirates de la bourse Zaif.
/ transfert de fonds par un pirate à la bourse de BinanceLes attaquants ont transféré des crypto-monnaies à partir d'adresses d'échange dans la transaction
c3b9a4a0831a65523c81e6a04f6ddf5a7a89f344d990e8a13e5278efe57f4280 . L'argent a été collecté à
1FmwHh6pgkf4meCMoqo8fHH3GNRF571f9w , et nous avons enquêté sur les mouvements de fonds associés à cette adresse.
En conséquence, il s'est avéré qu'une partie des fonds a été distribuée sur des comptes sur des bourses telles que Binance, Bitstamp et Livecoin. Et une partie des fonds est allée aux mélangeurs, par exemple hipMixer.com.
Le déroulement complet de l'enquête est décrit
en détail
dans notre blog sur Medium .
Où Crystal est-il utilisé?
En utilisant les outils décrits ci-dessus, Crystal permet aux organisations qui acceptent les bitcoins de déterminer l'origine des fonds et leur relation avec l'activité illégale (Risk Assessment). Si les informations reçues ne sont pas suffisantes, les organisations peuvent mener une enquête plus approfondie en utilisant les outils de «visualisation» et «d'interaction».
Crystal vous permet également d'enquêter sur les cas de vol de crypto-monnaie. La fonction «Tracking» permet d'obtenir une liste de toutes les adresses et organisations par lesquelles l'argent volé a été dépensé. Après cela, le système montrera graphiquement comment ils y sont arrivés. Ensuite, avec ces données, l'utilisateur peut contacter les organisations identifiées avec une demande de gel des fonds.
Les outils Crystal répertoriés sont le résultat du développement de l'équipe professionnelle Bitfury, qui ne va pas s'arrêter là. La plate-forme Crystal est déjà utilisée en Asie, aux États-Unis, en Europe et dans la CEI par des institutions financières et des organismes chargés de l'application des lois. Une courte vidéo sur Crystal:
Pour des questions de coopération, contactez: contact@crystalblockchain.com