Чем пользуется ZachXBT: 25 инструментов криптодетектива

12 мая один из самых популярных ончейн-расследователей ZachXBT опубликовал новое расследование. Он выяснил, что 18-летний житель США Дритан Капллани-младший причастен к криптокражам на сумму около $19 млн, включая хищение 185 BTC (около $13 млн на момент атаки). Сыщик-инвестигейтор отследил подозреваемого через цепочку транзакций, скриншоты из Discord-созвонов и контент с элементами богатства, который мошенник сам постил в сети.

На фоне выхода расследования участники криптосообщества снова задались вопросами о том, как именно онлайн-сыщик находит нужную информацию. Редакция BeInCrypto собрала в одном обзоре подборку инструментов для инвестигейторов. Чтобы было удобнее знакомиться со списком, мы разделили его на категории. Также мы прописали предпожительные варианты использования инструментов в ходе свежего расследования ZachXBT.

Ончейн-следы: кошельки и транзакции

Etherscan и Solscan

EVM-сети — это Ethereum и совместимые с ней сети (Polygon, Arbitrum, BNB Chain и другие), которые используют общий формат адресов.

Сервисы принимают адрес, хэш транзакции или контракт. На выходе — полная история транзакций, баланс, список токенов, взаимодействия со смарт-контрактами (программами внутри блокчейна, которые выполняют действия автоматически) и internal transactions. Последние — это внутренние переводы, которые делает сам смарт-контракт. В обычном списке они не показываются, но критичны для отслеживания: украденные средства часто уходят через цепочку контрактов.

Сыщик стартует именно отсюда: видит, что 185 BTC после взлома пришли на конкретный адрес, оттуда раздробились на пять кошельков — и переходит к каждому, чтобы тянуть цепочку дальше.

Blockchair

Сервис принимает адрес, хэш или номер блока и сам определяет, к какой сети это относится.

Сценарий: пришел хэш транзакции от жертвы, в какой сети — неясно. Blockchair находит ее автоматически.

Arkham

Метки — это привязка анонимного адреса к реальному владельцу: биржа, маркет-мейкер, венчурный фонд, известный мошенник, фишинговая группа. И команда сервиса, и пользователи (за вознаграждение по программе bounty — система выплат за полезные действия) подписывают новые адреса.

Вводишь голый 0x… — сразу видишь, что это, например, депозитный адрес Binance, а не безымянный кошелек.

Также Arkham дает визуализатор для построения графов потоков и алерты — оповещения о новых действиях с интересующих адресов.

MetaSleuth

По функционалу сервис близок к TRM, но рассчитан на ритейл: есть бесплатный тариф, не требуется корпоративная верификация.

Вводишь адрес — получаешь визуальный граф потоков с фильтрами по сумме (можно отсечь мелочь и оставить только крупные транши). Подходит, когда нужно показать в статье или твите, как $13 млн раздробились через 50 промежуточных адресов и осели на трех биржах.

TRM

Платная корпоративная подписка, целевая аудитория — правоохранители, биржи, compliance-отделы.

Кроме графов и меток сервис дает risk scoring — оценку риска адреса в баллах. Например, связан ли кошелек:

Также TRM нужен для AML-проверок (anti-money laundering, противодействие отмыванию денег) и для подготовки материалов к суду.

Сыщик обычно работает без TRM, но конечный отчет правоохранители часто верифицируют именно через него.

Cielo

Сервис доступен и как веб-дашборд, и как Telegram-бот. Поддерживает EVM-сети, биткоин, Solana, Tron и другие.

Добавляешь подозрительный адрес в watchlist (список наблюдения) — получаешь пуши о каждой новой транзакции: свапы (обмен одного токена на другой внутри блокчейна), депозиты на биржу, переводы.

Главная польза — не пропустить момент, когда деньги начинают двигаться.

MetaSuites

Накладывается поверх Etherscan и аналогичных эксплореров для других сетей. Рядом с адресом показывает USD-стоимость баланса, метку сущности (например, «OKX Deposit»), ссылки на быстрый переход в другие инструменты.

Экономит десятки кликов в каждом расследовании.

Бридж-эксплореры: следы через мосты

Когда злоумышленник переводит украденное в другую сеть через мост (бридж — сервис, который позволяет «перенести» актив из одного блокчейна в другой), обычный блок-эксплорер обрывается на адресе моста: транзакция входит в контракт — и след пропадает. В этот момент подключаются специализированные сервисы.

Range

CCTP позволяет перемещать USDC между Ethereum, Arbitrum, Base, Polygon, Avalanche и другими сетями.

Подаешь хэш транзакции в исходной сети — получаешь соответствующую транзакцию в целевой сети с адресом получателя. Без Range приходится сверять блок-таймстемпы и суммы вручную.

Socketscan

Socket — протокол кроссчейн-взаимодействия, на котором работает популярный агрегатор мостов Bungee. Socketscan дает картину транзакций, прошедших через Socket-инфраструктуру: показывает, куда вышли средства после моста. Логика та же, что у Range.

Pulsy

Подтягивает данные из нескольких популярных протоколов кросс-чейн переводов — LayerZero, Stargate, Wormhole, Across, deBridge.

Подаешь хэш или адрес — Pulsy показывает все переходы между сетями, даже если использовалось несколько разных мостов подряд (типовой прием при отмывании). Один сервис экономит обход десятка отдельных эксплореров.

OSINT: связки между ончейн- и реальной личностью

OSINT (open-source intelligence) — разведка по открытым источникам. В крипторасследовании это все то, что не лежит в блокчейне: следы в соцсетях, утечках, мессенджерах, на форумах и в архивах.

OSINT Industries

Вводишь данные — получаешь список сторонних сервисов плюс метаданные: имя владельца, аватар, дата регистрации, иногда город.

Поддерживает сотни платформ: Google, Apple, Twitter, Telegram, Spotify, Strava, Adobe, LinkedIn и многие другие.

Сценарий: знаешь только e-mail подозреваемого — узнаешь, что у него есть Telegram со статусами, Spotify с фото и LinkedIn с местом работы.

Cavalier by Hudson Rock

Инфостилеры — вредоносные программы, которые тайно крадут с зараженной машины пароли, файлы криптокошельков, cookie браузера и историю входов. Самые известные семейства — RedLine, Vidar, Raccoon.

Cookie — файлы, которые сайт сохраняет в браузере для распознавания уже залогиненного пользователя. Кто украл cookie, тот заходит в аккаунт без пароля.

Подаешь e-mail или домен — Cavalier показывает, есть ли в базе зараженные машины с этими учетками и к каким сервисам там были логины.

Сценарий: жертва говорит «у меня украли сид-фразу» (12 или 24 слова, восстанавливающие доступ к криптокошельку, — кто знает сид-фразу, тот владеет кошельком). Проверка e-mail в Cavalier подтверждает, что компьютер был заражен RedLine за две недели до взлома.

Атакующая сторона тоже часто сама засветилась в утечках инфостилеров — это дает выход на ее реальную почту.

LeakPeek

Возвращает данные из публично известных дампов: пароли, ники, телефоны, IP-адреса.

Сыщик использует инструмент, чтобы по одному e-mail собрать набор сопутствующих идентификаторов — другие почты на тех же паролях, телефоны, исторические ники.

Snusbase

Применяется в паре с LeakPeek, чтобы не пропустить утечку, не попавшую в основную базу.

Intelx

Сервис охватывает несколько типов источников:

Поддерживает массовые запросы и часто находит данные, которых нет у конкурентов.

Spur

Сервис определяет тип соединения:

Сценарий: жертва дала IP, с которого был фишинговый вход в кошелек. Spur показывает, что это residential proxy — атакующий маскировался под обычного домашнего пользователя.

Mugetsu

Вводишь @никнейм — видишь, под какими именами учетка работала раньше и какие токены пушила.

Сценарий: блогер с большой аудиторией (в крипте таких называют KOL, key opinion leader — лидер мнений) рекламирует «гем», то есть якобы перспективный токен.

Mugetsu показывает, что две недели назад тот же аккаунт назывался иначе и продвигал другой токен по схеме pump-and-dump — организованной накачке цены с последующим обвалом, когда организаторы продают свои запасы на пике.

TelegramDB Search Bot

По юзернейму или числовому ID показывает группы, в которых состоит или состоял пользователь, иногда историю смены имени и фото.

Дает «социальный граф» — список приватных чатов, в которых сидит подозреваемый.

Discord[.]ID

ID можно снять через developer mode в самом мессенджере. Сервис возвращает дату создания учетки, аватар, имя и иногда серверы.

Сценарий: подозреваемый общается с жертвой в Discord. Сыщик снимает его ID, пробивает и видит, что аккаунту три недели — учетка создана специально под скам.

Impersonator

dApp (decentralized application) — приложение, работающее на блокчейне: децентрализованная биржа, маркетплейс NFT, лендинг-протокол.

Указываешь чужой адрес — приложение считает, что это ты, и подгружает интерфейс под него:

Все это в режиме чтения, без доступа к приватным ключам.

Архивы и аналитика

Wayback Machine

Вводишь URL — получаешь снимки страницы за разные даты, иногда годами назад.

Незаменим, когда мошенники удалили сайт, страницу с командой или whitepaper (официальный документ проекта с описанием технологии, токеномики и команды — стандарт для любого криптопроекта).

Сценарий: проект убрал из сайта раздел Team. Wayback Machine показывает версию от марта с реальными именами, фотографиями и ссылками на LinkedIn.

Archive Today

Часто архивирует то, чего нет в Internet Archive, — в том числе контент за пейволами и отдельные твиты.

Применяется как дублирующий источник: то, что удалили из X, бывает только здесь.

Dune

SQL — язык запросов к базам данных. Готовые дашборды от сообщества покрывают большинство популярных задач.

Сыщик использует Dune, чтобы посмотреть на ситуацию агрегированно:

Если SQL писать не хочется — почти всегда есть готовый дашборд под задачу.

Obsidian

Markdown — простой текстовый формат с легкой разметкой. Obsidian поддерживает граф связей между заметками.

На каждый адрес, ник, e-mail и факт сыщик заводит отдельную заметку и проставляет обратные ссылки. На выходе получается визуальная карта расследования — своего рода «доска с фотографиями и нитками» из криминальных сериалов.

Удобно для длинных расследований, в которых сотни сущностей и забыть, что с чем связано, легко.

CryptoTaxCalculator

Подключаешь адрес — сервис автоматически разбирает все свапы и переводы, считает PnL (profit and loss, итоговую прибыль и убыток) по методу FIFO (first in, first out — «первым купил, первым продал», стандартный подход в налоговом учете).

Сыщики применяют его в обратной задаче: посчитать, сколько именно заработал скамер на пампе. Складывать вручную триста свапов нереально, CryptoTaxCalculator делает это за пару кликов.

Как это работает в связках

Расследование редко строится на одном инструменте. Несколько типовых сценариев.

Деанон скамера через ончейн плюс OSINT

Стартовая задача: от анонимного адреса дойти до реальной личности.

Слежка за украденными средствами

Задача: проследить путь украденного до биржи или миксера, чтобы успеть подать запрос на заморозку.

Расследование пампа на бирже

Задача: показать, что памп токена был не органическим, а скоординированным.

Маркет-мейкер — компания, которая поддерживает торговлю токеном: ставит заявки на покупку и продажу, обеспечивает ликвидность. В скам-схемах часто действует в сговоре с командой проекта.

Когда подозреваемый известен по нику

Задача: собрать максимум данных о человеке, имея только его никнейм.

Перечисленные сервисы — рабочий минимум. У ZachXBT и других известных сыщиков набор шире и включает закрытые корпоративные подписки уровня Chainalysis Reactor и TRM Forensics. Базовая логика та же:

Хотите получить доступ к экспертным инсайдам? Подписывайтесь на наш телеграм-канал, получайте доступ торговым сигналам и новостям рынка, общайтесь с нашим аналитиком. Будьте на шаг впереди рынка каждый день!

Источник: https://ru.beincrypto.com/blokchejn-rassledovanie-podborka-instrumentov/

Наверх