В основе биткоина — открытый реестр, поэтому при должном навыке любой перевод можно проследить от адреса к адресу. Из этого выросла целая индустрия: трейдеры отслеживают китов и притоки на биржи, эксперты по блокчейн-форензику помогают вернуть похищенное, комплаенс отсеивает «грязные» монеты.

В этом гайде по шагам разберем, как анализировать транзакции вручную, как поставить работу на поток с помощью инструментов и автоматики, а также почему даже самый продвинутый трейсинг дает вероятность, а не стопроцентный ответ.

Базовые определения и рыночные метрики оставим за скобками — для них есть отдельный материал в формате карточек.

Часть 1. Анализируем транзакции вручную

Шаг 1. Находим транзакцию по TXID

У каждого перевода в блокчейне есть уникальный идентификатор — TXID, хеш транзакции. Это длинная строка, обычно из 64 символов, которую сеть получает, прогоняя все данные перевода — входы, выходы, суммы и подписи — через алгоритм SHA-256.

Подделать такой хеш практически невозможно: малейшая правка данных дает совершенно другую строку, поэтому двух одинаковых TXID не бывает. По сути это «номер чека», по которому операцию найдет и проверит любой узел сети.

Способ получить хеш зависит от того, что уже есть на руках:

• если перевод уже совершен — его можно открыть в истории кошелька или биржи. Рядом с операцией обычно есть ссылка вроде «Посмотреть в обозревателе»: она ведет на страницу транзакции, где идентификатор указан целиком;
• если же на руках только адрес отправителя или получателя — его вставляют в строку поиска любого блокчейн-обозревателя (эксплорера). Откроется история адреса со всеми переводами; нужную транзакцию можно опознать по сумме и дате, а ее хеш — найти на странице самой транзакции.

Шаг 2. Разбираем устройство транзакции: входы, выходы и сдача

В отличие от банковского счета, биткоин не хранит баланс единым числом. Сеть работает по модели UTXO (unspent transaction output, неизрасходованный выход транзакции): средства существуют как отдельные «купюры» разного номинала, а кошелек хранит лишь ключи к ним. Доступный баланс — сумма всех таких выходов, которые контролирует владелец.

Потратить «купюру» частично нельзя. При оплате такой выход уходит в транзакцию целиком, а взамен сеть создает два новых: один — получателю, второй — сдачу обратно отправителю на свежий адрес.

Возьмем пример. У Алисы есть выход на 5 BTC, и она переводит Бобу 0,01 BTC. В блокчейне появляются вход на 5 BTC, платеж 0,01 BTC и сдача ~4,99 BTC (за вычетом комиссии). 

Любой наблюдатель может увидеть всю операцию через эксплорер — «круглый» платеж легко отличить от «дробной» сдачи. На этом признаке построено определение адреса сдачи в блокчейн-форензике.

Шаг 3. Проверяем подтверждения и мемпул

Отправленная транзакция попадает в блокчейн не мгновенно. Сначала перевод оказывается в мемпуле — общей очереди операций, ожидающих включения в блок. На этом этапе возможны задержки: майнеры обычно отдают приоритет операциям с более высокой комиссией, поэтому при слишком низкой перевод может надолго остаться в очереди.

Как только операция попадает в блок, у нее появляется первое подтверждение. После включения записи в блок она получает первое подтверждение. С каждым последующим уровень надежности растет, а вероятность отмены становится все ниже. Для небольших сумм обычно достаточно одного-двух подтверждений, тогда как для крупных платежей принято ждать шесть.

По хешу за этим удобно следить в реальном времени: эксплорер покажет, висит ли перевод в очереди, в какой блок попал, сколько набрал подтверждений и какую комиссию заплатил отправитель. Если операция надолго застряла, та же страница подскажет причину — чаще всего это заниженная комиссия.

Шаг 4. Прослеживаем путь монеты

Каждый вход новой операции ссылается на конкретный выход одной из предыдущих — по ее хешу, причем входов и выходов у нее может быть сразу несколько. Поэтому переводы складываются не в одну цепочку, а в разветвленную сеть: монеты в ней сходятся и расходятся между адресами.

По этой сети движение средств можно проследить в обе стороны — вперед к новым адресам и назад, вплоть до coinbase-транзакции, в которой они впервые появились как награда за добытый блок.

На практике аналитик идет по адресам выхода и смотрит, куда средства ушли дальше. Затем повторяет то же с новыми адресами — шаг за шагом, пока не сложится полная цепочка. 

Так на блокчейне проступают характерные маршруты: перевод на биржу, дробление крупной суммы на части или вывод похищенного через несколько промежуточных кошельков.

Пример: в 2025 году адрес раннего инвестора впервые проявил активность после 13 лет бездействия, переведя 909 BTC (около $85 млн) на новый кошелек. Эти монеты были получены еще в 2012–2013 годах, когда цена биткоина не превышала нескольких долларов.

Такой перевод виден в любом эксплорере: достаточно открыть адрес, пройти по цепочкам выходов и увидеть, куда дальше двинулись средства.

Часть 2. Ставим анализ на поток

Ручной разбор хорош, когда транзакций одна-две. Но реестр пополняется ежесекундно, и тысячи переводов глазами не охватить. 

Здесь на смену приходит автоматика: программы сами запрашивают данные из сети, считают показатели и присылают уведомление в нужный момент. Разберем три ее уровня — доступ к данным, аналитику и мониторинг.

Шаг 5. Подключаемся к данным через API

Первый уровень — программный доступ к блокчейну через API нод и эксплореров. Это интерфейс, посредством которого скрипт запрашивает те же сведения, которые мы раньше могли видеть на странице перевода (но без участия человека и в любом объеме).

У сервиса mempool.space есть два варианта на выбор. REST API отвечает на разовые запросы: статус транзакции, баланс адреса, состояние мемпула. WebSocket API держит постоянное соединение и сам присылает обновления — можно подписаться на адрес и получать сигнал каждый раз, когда по нему проходит новый перевод.

Для массовых проверок подойдут Blockchair и Bitquery: они отдают данные сразу по многим адресам и поддерживают вебхуки.

Шаг 6. Автоматизируем аналитику

Второй уровень — платформы, которые позволяют написать запрос один раз и получать готовый дашборд вместо разового результата. 

На Dune данные блокчейна запрашивают на языке SQL и выводят на графики; отчет по биржевым потокам, активности китов или топ-холдерам обновляется сам, без повторного запроса.

Похожим образом устроен Flipside — у него есть и бесплатный Python-SDK, через который данные можно тянуть прямо в пользовательские скрипты.

Ключевое отличие от ручного метода простое: запрос пишется один раз, а работает постоянно. Раньше аналитик ежедневно пересматривал график — теперь есть дашборды, которые обновляются сами.

Шаг 7. Настраиваем мониторинг и алерты

Третий уровень — уведомления вместо ручного обновления страницы. Связка «API плюс бот» следит за нужными адресами и присылает уведомление, как только средства приходят или уходят. Так работают и публичные оповещения о крупных сделках китов, и частные алерты, например, о выводе монет с конкретного кошелька.

Базовый набор можно настроить и без программирования: платформы вроде Arkham предлагают готовые оповещения о переводах и активности китов, которые приходят на почту или в приложение. Тем, кому нужна собственная логика обработки события, подойдут вебхуки — они автоматически отправляют уведомление на сервер при наступлении заданного события.

Часть 3. Трейсинг и его границы

Шаг 8. Как работает блокчейн-форензик

Вершина автоматизации — трейсинг похищенных монет и расследование транзакций. Форензик-движки повторяют логику ручного анализа, но применяют ее в масштабе всей сети.

В основе этой технологии лежит кластеризация адресов по эвристикам, то есть правилам-предположениям; две из них особенно важны:

• общий вход: если в одной транзакции тратятся несколько UTXO, их с высокой вероятностью контролирует один владелец;
• определение адреса сдачи: по признаку из Шага 2 — круглый платеж против дробной сдачи — движок вычисляет, какой из выходов вернулся отправителю.

Поверх кластеризации добавляют распознавание типовых схем отмывания. Это, например, дробление сумм или «пилинг» — когда от крупного кошелька раз за разом отщипывают небольшие порции. 

Дальше идет оценка риска и атрибуция: привязка кластеров к реальным биржам, сервисам или лицам. Этим занимаются и коммерческие платформы (Chainalysis, TRM, Elliptic), и открытые движки (GraphSense, BlockSci).

Шаг 9. Можно ли доверять автоматике

У автоматического анализа есть принципиальное ограничение. Кластеризация дает вероятность, а не факт. Эвристики ошибаются: например, технология CoinJoin специально объединяет в одной транзакции UTXO разных пользователей, из-за чего правило общего входа дает осечку. 

Снизить риск утечки данных можно и вручную. Функция Coin control в кошельках (например, Sparrow или Trezor Suite) позволяет самому выбрать, какой UTXO потратить: подобрать выход под сумму платежа и не смешивать в одной транзакции монеты из разных источников. Так уменьшается сдача и не срабатывает эвристика общего входа — те самые зацепки, на которых строится кластеризация.

Биткоин обеспечивает не анонимность, а псевдонимность — более слабое свойство, которое настойчивый анализ часто «пробивает», но не всегда: результат остается оценкой, пусть и хорошо обоснованной. Как подчеркивают в Chainalysis, эвристики атрибуции дают вероятностный результат, а не определенность, поэтому оценка риска — это лишь основа для решения аналитика, а не вердикт.

Отсюда практический вывод. Стоит различать автоматическую группировку адресов и проверенную человеком атрибуцию: первая — гипотеза, вторая — вывод. Результат оценки риска — повод присмотреться к адресу, а не приговор его владельцу.

***

Открытый реестр делает каждый биткоин-перевод прослеживаемым — на этом строится весь ончейн-анализ. Для ручной работы достаточно базы: знать, что такое TXID, понимать модель UTXO и механику сдачи, читать входы, выходы и подтверждения в эксплорере. Этого хватает, чтобы пройти через цепочки транзакций и увидеть, куда двинулись средства.

Автоматика в виде API, SQL-дашбордов и ботов не убирает потребность в этой базе — она просто масштабирует работу: то, что аналитик делает руками с одной транзакцией, инструменты повторяют для всей сети.

На вершине стоит форензик с кластеризацией и оценкой риска. Однако он опирается на вероятностные эвристики, а потому дает гипотезы, а не доказательства. 

Осваивать тему логично снизу вверх: сначала эксплорер, затем API и дашборды, и лишь потом — специализированные инструменты ончейн-аналитики. При этом чем глубже трейсинг, тем важнее отличать вероятное от доказанного.

Источник: ForkLog