Chain analysis: как компании отслеживают хакеров по блокчейну и почему крипто не анонимна

Каждый адрес псевдоанонимен: он не привязан к имени по умолчанию, но все транзакции публичны. Деанонимизация происходит через «точки привязки»: KYC на бирже (пользователь верифицировался — адрес привязан к паспорту), IP-адрес при первой транзакции, публичное раскрытие адреса (пост в Twitter, адрес для пожертвований). Аналитические компании строят кластеры: если несколько адресов совместно подписывают транзакцию или используют общий источник средств — они, вероятно, принадлежат одному лицу. Риск для законопослушного инвестора: все ваши транзакции также видны и потенциально связаны с вашей личностью через биржевый KYC.

После взлома аналитики фиксируют исходящий адрес атакующего и строят граф всех последующих транзакций. Стандартная схема отмывания хакера: взломанные средства → миксер или приватная монета → новые адреса → DEX → стейблкоины → попытка вывода на CEX с ликвидностью. На каждом шаге аналитики отслеживают потоки. CEX с KYC блокируют адреса из санкционных списков и меченые средства. Исторически крупные хакеры (Ronin Bridge, Lazarus Group) были отслежены до конкретных кластеров адресов, хотя конвертация в фиат оставалась затруднённой. Риск: даже через десятки транзакций след в блокчейне сохраняется навсегда.

Аналитические компании ведут базы данных «меченых» адресов: биржи, миксеры, адреса хакеров, санкционированные сущности. Когда средства с меченого адреса поступают на вашу биржу — биржа может заморозить счёт даже если вы получили их случайно (через DEX или пул ликвидности). Это называется «заражение» (taint). Практический риск для инвестора: участие в пуле ликвидности, куда поступили средства хакера, теоретически может «заразить» ваши токены. Большинство крупных бирж используют системы Chainalysis или Elliptic для автоматической проверки входящих транзакций.

Централизованные миксеры (tornado cash тип) существенно затрудняют трассировку, но не делают её невозможной: аналитики используют статистические методы для связывания входящих и исходящих транзакций. Tornado Cash был санкционирован OFAC США в 2022 году — взаимодействие с ним создаёт правовые риски даже для законопослушных пользователей. Приватные монеты (Monero) дают значительно лучшую анонимность на уровне протокола. Риск: использование инструментов обфускации само по себе привлекает внимание аналитиков и правоохранителей — «почему скрывает?» — даже при законных намерениях.

ФНС России и Росфинмониторинг имеют доступ к инструментам blockchain-аналитики и взаимодействуют с международными структурами. Публичность блокчейна означает: теоретически любая транзакция может быть проверена налоговой при наличии достаточного интереса. Идентификация через KYC на биржах — стандартная практика при расследованиях. На практике массовой автоматической проверки физлиц пока нет, но это не исключает индивидуальных запросов. Риск: сокрытие доходов от крипто-операций, очевидных из публичного блокчейна, создаёт значительно больший риск, чем добровольное декларирование.

Прозрачность блокчейна — не угроза для законопослушного инвестора, а аргумент в пользу честного декларирования. Практические выводы: декларируйте доходы от крипто в 3-НДФЛ — публичность блокчейна делает сокрытие доходов легко выявляемым при проверке. Не принимайте средства с неизвестных источников без проверки. Использование публичных адресов для получения оплаты создаёт постоянную связь транзакций — используйте новые адреса для разных операций. Риск: потеря приватных ключей остаётся несравнимо более вероятной угрозой для большинства инвесторов, чем интерес правоохранителей к их транзакциям.

Теоретически — да, если знает хотя бы один ваш адрес (например, через биржу с KYC). На практике массового автоматического мониторинга физлиц пока нет, но целевые запросы к биржам и blockchain-аналитика при расследованиях применяются. Добровольное декларирование значительно снижает риски.