Hoje falaremos sobre o
Bitfury Crystal , uma plataforma que analisa as blockchains Bitcoin e Bitcoin Cash e permite identificar transações suspeitas de criptomoedas. Considere as ferramentas usadas pelo sistema e os princípios de seu trabalho.
/ Cristal de BitfúriaPor que precisamos desse sistema
O Blockchain é uma rede aberta, para que qualquer participante possa estudar o histórico das transações e estabelecer os valores transferidos entre os endereços. Mas descobrir o proprietário de uma carteira específica é muito problemático, pois a rede é anônima. Por esse motivo, os atacantes estão usando ativamente criptomoeda para lavagem de dinheiro, extorsão ou chantagem. Segundo a
Europol , são as transações de criptomoeda que estão se tornando cada vez mais populares para transações ilegais.
Nossa equipe desenvolveu um conjunto de ferramentas para a análise mais completa do blockchain. Os grupos Crystal abordam a propriedade de um proprietário e fazem uma avaliação de risco (qual é a chance de eles estarem relacionados a atividades ilegais). O serviço também permite rastrear o movimento de bitcoins para um endereço específico ou após uma transação específica.
Ferramentas de cristal
Em geral, a plataforma Crystal pode ser considerada como uma combinação das seguintes ferramentas: clustering, avaliação de riscos, visualização, interação e rastreamento. A aplicação consistente deles permite identificar a conexão de uma carteira ou pagamento de criptomoeda com atividades ilegais ou "duvidosas" e fornecer evidências dessa conexão. Nós lhe diremos quais tarefas cada uma dessas ferramentas resolve.
Agrupamento
Para determinar se uma carteira está relacionada a atividades suspeitas, o Crystal agrupa endereços na blockchain pertencentes a um proprietário. Ou seja, resolve o problema de agrupar. O agrupamento de cristais geralmente usa duas heurísticas:
a heurística de gasto total e
a heurística de mudança .
No primeiro caso, os endereços são agrupados, que são entradas separadas de uma transação. Como endereços diferentes enviam fundos em uma transação e têm acesso às chaves privadas um do outro, podemos assumir que esses endereços têm um proprietário em comum.
O que é entrada e saída de transaçãoTodas as transações de blockchain do Bitcoin têm uma ou mais entradas e saídas. As entradas da nova transação referem-se às saídas da transação anterior e fornecem dados para a transferência de fundos.
Escrevemos em detalhes sobre o mecanismo do trabalho de transação em um de nossos materiais anteriores . Mas essa regra está longe de ser verdadeira para todos os casos. Por exemplo, o método
CoinJoin permite combinar entradas de diferentes remetentes em uma transação para anonimá-lo. Nesse caso, fica mais difícil estabelecer a distribuição exata dos fundos "em conjunto".
/ Exemplo de uma transação Coinjoin em nossa VisualizaçãoEssa condição impõe várias restrições ao algoritmo de armazenamento em cluster. Para expandir os recursos do sistema, uma heurística adicional é usada - a heurística da mudança.
A soma de todas as entradas para a transação atual deve ser usada em suas saídas, caso contrário, os fundos restantes se tornarão a comissão do mineiro. Por esse motivo, é frequentemente gerado um novo endereço de saída, para o qual o remetente receberá alterações. A heurística da mudança permite identificar endereços semelhantes e adicioná-los ao cluster do remetente.
Após o cluster, os analistas do Crystal são incluídos no trabalho, que, com base nas informações sobre o objeto encontrado nas fontes disponíveis, determina o proprietário do cluster.
Avaliação de risco
Algoritmos especiais avaliam a probabilidade de carteiras serem associadas a atividades potencialmente prejudiciais. O módulo Avaliação de risco permite obter informações adicionais sobre clusters não alocados (incluindo endereços únicos) com base na interação com clusters rotulados. Informações adicionais significam o grau de risco do grupo de endereços, dependendo da afiliação a qualquer tipo de atividade (mercado
escuro, malware, minerador, etc. ).
O módulo “Avaliação de Riscos” utiliza o método de
propagação de
rótulos (
propagação de rótulos ), que se refere ao tipo de treinamento com envolvimento parcial do professor (
aprendizado semi-supervisionado ). O método de distribuição de rótulo é usado para classificar objetos que possuem uma estrutura de gráfico. Neste gráfico, um subconjunto dos vértices é rotulado em classes (o número de vértices rotulados é muito menor do que não colocado). No nosso caso, os vértices indicam os clusters e as arestas - as interações entre eles. O peso da borda corresponde à quantidade de fundos transferidos entre os endereços.
Visualização
Graças à ferramenta de visualização, um usuário do Crystal pode, em um curto período de tempo, criar um diagrama de movimento de todas as transações conhecidas na forma de gráfico. Além disso, o gráfico terá um número mínimo de interseções de arestas para melhor visualização.
Normalmente, os gráficos são desenhados usando algoritmos de classe
direcionados à força (eles são chamados de algoritmo de desenho de gráfico de força). Nesse caso, um sistema de forças atraentes e repulsivas atuando entre os vértices e as arestas do gráfico é especificado. Depois, há uma posição em que o sistema tem o menor nível de energia (mínimo local).
Essa abordagem tem muitos problemas, um dos quais é o mínimo local de cruzamentos em vez do global. Por esse motivo, decidimos escrever nosso próprio algoritmo de renderização. Na figura abaixo, você pode ver um exemplo de visualização, a saber, a retirada de fundos dos endereços WannaCry.
/ Exemplo de visualização de retirada do WannaCryInteração
Ajuda a encontrar todas as transações diretas entre dois clusters e estudá-las em detalhes. A função também desenha gráficos que permitem avaliar a intensidade da interação dos proprietários de endereços, dependendo do tempo.
/ exemplo da interação de trocas de criptomoedas Binance e Kraken.Rastreamento
Nossa equipe do Crystal desenvolveu uma ferramenta que monitora automaticamente o fluxo de criptomoedas que participaram de um conjunto de transações definido pelo usuário. Isso permite, por exemplo, localizar o dinheiro roubado ou a organização pela qual ele foi sacado.
Ao tentar rastrear esse movimento manualmente, os pesquisadores geralmente encontram um problema de grande ramificação: o dinheiro é dividido em pequenas partes, convergido em endereços e novamente dividido. Além disso, moedas de outras fontes podem ser misturadas com dinheiro roubado, pois uma transação pode conter vários insumos.
O resultado do rastreamento do Crystal é uma lista de endereços de criptomoedas para os quais o dinheiro chegou, bem como a determinação de todas as rotas de entrega. Com base nesses dados, você pode criar automaticamente uma visualização. Por exemplo, a figura abaixo mostra a "rota" da retirada de fundos por hackers da bolsa Zaif.
/ transferência de fundos por um hacker para a bolsa BinanceOs invasores transferiram a criptomoeda dos endereços da troca na transação
c3b9a4a0831a65523c81e6a04f6ddf5a7a89f344d990e8a13e5278efe57f4280 . O dinheiro foi coletado em
1FmwHh6pgkf4meCMoqo8fHH3GNRF571f9w e investigamos a movimentação de fundos associada a este endereço.
Como resultado, verificou-se que parte dos fundos foi distribuída em contas em bolsas como Binance, Bitstamp e Livecoin. E parte dos fundos foi para mixers, por exemplo, hipMixer.com.
Todo o curso da investigação é descrito
em detalhes
em nosso blog no Medium .
Onde o Crystal é usado?
Usando as ferramentas descritas acima, o Crystal permite que as organizações que aceitam bitcoins determinem a origem dos fundos e seu relacionamento com atividades ilegais (Avaliação de Risco). Se as informações recebidas não forem suficientes, as organizações podem realizar uma investigação mais profunda usando as ferramentas de "Visualização" e "Interação".
O Crystal também permite investigar casos de roubo de criptomoeda. A função "Rastreamento" permite obter uma lista de todos os endereços e organizações através dos quais o dinheiro roubado foi gasto. Depois disso, o sistema mostrará graficamente como eles chegaram lá. Em seguida, com esses dados, o usuário pode entrar em contato com as organizações identificadas com uma solicitação para congelar fundos.
As ferramentas Crystal listadas são o resultado do desenvolvimento da equipe profissional do Bitfury, que não vai parar por aí. A plataforma Crystal já está sendo usada na Ásia, EUA, Europa e CEI por instituições financeiras e agências de aplicação da lei. Um pequeno vídeo sobre o Crystal:
Para questões de cooperação, entre em contato: contact@crystalblockchain.com