В основе биткоина — открытый реестр, поэтому при должном навыке любой перевод можно проследить от адреса к адресу. Из этого выросла целая индустрия: трейдеры отслеживают китов и притоки на биржи, эксперты по блокчейн-форензику помогают вернуть похищенное, комплаенс отсеивает «грязные» монеты.
В этом гайде по шагам разберем, как анализировать транзакции вручную, как поставить работу на поток с помощью инструментов и автоматики, а также почему даже самый продвинутый трейсинг дает вероятность, а не стопроцентный ответ.
Базовые определения и рыночные метрики оставим за скобками — для них есть отдельный материал в формате карточек.
Часть 1. Анализируем транзакции вручную
Шаг 1. Находим транзакцию по TXID
У каждого перевода в блокчейне есть уникальный идентификатор — TXID, хеш транзакции. Это длинная строка, обычно из 64 символов, которую сеть получает, прогоняя все данные перевода — входы, выходы, суммы и подписи — через алгоритм SHA-256.
Схема образования хеша. Источник: Arkham.
Подделать такой хеш практически невозможно: малейшая правка данных дает совершенно другую строку, поэтому двух одинаковых TXID не бывает. По сути это «номер чека», по которому операцию найдет и проверит любой узел сети.
Способ получить хеш зависит от того, что уже есть на руках:
если перевод уже совершен — его можно открыть в истории кошелька или биржи. Рядом с операцией обычно есть ссылка вроде «Посмотреть в обозревателе»: она ведет на страницу транзакции, где идентификатор указан целиком;
если же на руках только адрес отправителя или получателя — его вставляют в строку поиска любого блокчейн-обозревателя (эксплорера). Откроется история адреса со всеми переводами; нужную транзакцию можно опознать по сумме и дате, а ее хеш — найти на странице самой транзакции.
Как выглядит транзакция в эксплорере. Источник: Etherscan.
https://forklog.com/cryptorium/chto-takoe-etherscan
Шаг 2. Разбираем устройство транзакции: входы, выходы и сдача
В отличие от банковского счета, биткоин не хранит баланс единым числом. Сеть работает по модели UTXO (unspent transaction output, неизрасходованный выход транзакции): средства существуют как отдельные «купюры» разного номинала, а кошелек хранит лишь ключи к ним. Доступный баланс — сумма всех таких выходов, которые контролирует владелец.
Потратить «купюру» частично нельзя. При оплате такой выход уходит в транзакцию целиком, а взамен сеть создает два новых: один — получателю, второй — сдачу обратно отправителю на свежий адрес.
Возьмем пример. У Алисы есть выход на 5 BTC, и она переводит Бобу 0,01 BTC. В блокчейне появляются вход на 5 BTC, платеж 0,01 BTC и сдача ~4,99 BTC (за вычетом комиссии).
Одна транзакция Алисы: вход на 5 BTC распадается на платеж Бобу и сдачу на новый адрес. Источник: ForkLog.
Любой наблюдатель может увидеть всю операцию через эксплорер — «круглый» платеж легко отличить от «дробной» сдачи. На этом признаке построено определение адреса сдачи в блокчейн-форензике.
Шаг 3. Проверяем подтверждения и мемпул
Отправленная транзакция попадает в блокчейн не мгновенно. Сначала перевод оказывается в мемпуле — общей очереди операций, ожидающих включения в блок. На этом этапе возможны задержки: майнеры обычно отдают приоритет операциям с более высокой комиссией, поэтому при слишком низкой перевод может надолго остаться в очереди.
Как только операция попадает в блок, у нее появляется первое подтверждение. После включения записи в блок она получает первое подтверждение. С каждым последующим уровень надежности растет, а вероятность отмены становится все ниже. Для небольших сумм обычно достаточно одного-двух подтверждений, тогда как для крупных платежей принято ждать шесть.
По хешу за этим удобно следить в реальном времени: эксплорер покажет, висит ли перевод в очереди, в какой блок попал, сколько набрал подтверждений и какую комиссию заплатил отправитель. Если операция надолго застряла, та же страница подскажет причину — чаще всего это заниженная комиссия.
Мемпул биткоина. Источник: mempool.space.
Шаг 4. Прослеживаем путь монеты
Каждый вход новой операции ссылается на конкретный выход одной из предыдущих — по ее хешу, причем входов и выходов у нее может быть сразу несколько. Поэтому переводы складываются не в одну цепочку, а в разветвленную сеть: монеты в ней сходятся и расходятся между адресами.
По этой сети движение средств можно проследить в обе стороны — вперед к новым адресам и назад, вплоть до coinbase-транзакции, в которой они впервые появились как награда за добытый блок.
На практике аналитик идет по адресам выхода и смотрит, куда средства ушли дальше. Затем повторяет то же с новыми адресами — шаг за шагом, пока не сложится полная цепочка.
Так на блокчейне проступают характерные маршруты: перевод на биржу, дробление крупной суммы на части или вывод похищенного через несколько промежуточных кошельков.
Пример: в 2025 году адрес раннего инвестора впервые проявил активность после 13 лет бездействия, переведя 909 BTC (около $85 млн) на новый кошелек. Эти монеты были получены еще в 2012–2013 годах, когда цена биткоина не превышала нескольких долларов.
История транзакций «пробудившегося» биткоин-кошелька. Источник: Arkham.
Такой перевод виден в любом эксплорере: достаточно открыть адрес, пройти по цепочкам выходов и увидеть, куда дальше двинулись средства.
Часть 2. Ставим анализ на поток
Ручной разбор хорош, когда транзакций одна-две. Но реестр пополняется ежесекундно, и тысячи переводов глазами не охватить.
Здесь на смену приходит автоматика: программы сами запрашивают данные из сети, считают показатели и присылают уведомление в нужный момент. Разберем три ее уровня — доступ к данным, аналитику и мониторинг.
Шаг 5. Подключаемся к данным через API
Первый уровень — программный доступ к блокчейну через API нод и эксплореров. Это интерфейс, посредством которого скрипт запрашивает те же сведения, которые мы раньше могли видеть на странице перевода (но без участия человека и в любом объеме).
У сервиса mempool.space есть два варианта на выбор. REST API отвечает на разовые запросы: статус транзакции, баланс адреса, состояние мемпула. WebSocket API держит постоянное соединение и сам присылает обновления — можно подписаться на адрес и получать сигнал каждый раз, когда по нему проходит новый перевод.
Для массовых проверок подойдут Blockchair и Bitquery: они отдают данные сразу по многим адресам и поддерживают вебхуки.
Шаг 6. Автоматизируем аналитику
Второй уровень — платформы, которые позволяют написать запрос один раз и получать готовый дашборд вместо разового результата.
На Dune данные блокчейна запрашивают на языке SQL и выводят на графики; отчет по биржевым потокам, активности китов или топ-холдерам обновляется сам, без повторного запроса.
Похожим образом устроен Flipside — у него есть и бесплатный Python-SDK, через который данные можно тянуть прямо в пользовательские скрипты.
Ключевое отличие от ручного метода простое: запрос пишется один раз, а работает постоянно. Раньше аналитик ежедневно пересматривал график — теперь есть дашборды, которые обновляются сами.
Шаг 7. Настраиваем мониторинг и алерты
Третий уровень — уведомления вместо ручного обновления страницы. Связка «API плюс бот» следит за нужными адресами и присылает уведомление, как только средства приходят или уходят. Так работают и публичные оповещения о крупных сделках китов, и частные алерты, например, о выводе монет с конкретного кошелька.
Базовый набор можно настроить и без программирования: платформы вроде Arkham предлагают готовые оповещения о переводах и активности китов, которые приходят на почту или в приложение. Тем, кому нужна собственная логика обработки события, подойдут вебхуки — они автоматически отправляют уведомление на сервер при наступлении заданного события.
Страница настройки алертов для различных событий (связанные с Lazarus Group кошельки, транзакции на сумму более $100 млн, выводы из CEX). Источник: Arkham.
Часть 3. Трейсинг и его границы
Шаг 8. Как работает блокчейн-форензик
Вершина автоматизации — трейсинг похищенных монет и расследование транзакций. Форензик-движки повторяют логику ручного анализа, но применяют ее в масштабе всей сети.
В основе этой технологии лежит кластеризация адресов по эвристикам, то есть правилам-предположениям; две из них особенно важны:
общий вход: если в одной транзакции тратятся несколько UTXO, их с высокой вероятностью контролирует один владелец;
определение адреса сдачи: по признаку из Шага 2 — круглый платеж против дробной сдачи — движок вычисляет, какой из выходов вернулся отправителю.
Поверх кластеризации добавляют распознавание типовых схем отмывания. Это, например, дробление сумм или «пилинг» — когда от крупного кошелька раз за разом отщипывают небольшие порции.
Дальше идет оценка риска и атрибуция: привязка кластеров к реальным биржам, сервисам или лицам. Этим занимаются и коммерческие платформы (Chainalysis, TRM, Elliptic), и открытые движки (GraphSense, BlockSci).
Граф кластеризации адресов и сущностей. Источник: Arkham.
https://forklog.com/exclusive/ne-vydat-informatsiyu-o-sebe-vmeste-so-sdachej
Шаг 9. Можно ли доверять автоматике
У автоматического анализа есть принципиальное ограничение. Кластеризация дает вероятность, а не факт. Эвристики ошибаются: например, технология CoinJoin специально объединяет в одной транзакции UTXO разных пользователей, из-за чего правило общего входа дает осечку.
Снизить риск утечки данных можно и вручную. Функция Coin control в кошельках (например, Sparrow или Trezor Suite) позволяет самому выбрать, какой UTXO потратить: подобрать выход под сумму платежа и не смешивать в одной транзакции монеты из разных источников. Так уменьшается сдача и не срабатывает эвристика общего входа — те самые зацепки, на которых строится кластеризация.
Интерфейс Coin control как пример противодействия трейсингу. Источник: Trezor.
Биткоин обеспечивает не анонимность, а псевдонимность — более слабое свойство, которое настойчивый анализ часто «пробивает», но не всегда: результат остается оценкой, пусть и хорошо обоснованной. Как подчеркивают в Chainalysis, эвристики атрибуции дают вероятностный результат, а не определенность, поэтому оценка риска — это лишь основа для решения аналитика, а не вердикт.
Отсюда практический вывод. Стоит различать автоматическую группировку адресов и проверенную человеком атрибуцию: первая — гипотеза, вторая — вывод. Результат оценки риска — повод присмотреться к адресу, а не приговор его владельцу.
***
Открытый реестр делает каждый биткоин-перевод прослеживаемым — на этом строится весь ончейн-анализ. Для ручной работы достаточно базы: знать, что такое TXID, понимать модель UTXO и механику сдачи, читать входы, выходы и подтверждения в эксплорере. Этого хватает, чтобы пройти через цепочки транзакций и увидеть, куда двинулись средства.
Автоматика в виде API, SQL-дашбордов и ботов не убирает потребность в этой базе — она просто масштабирует работу: то, что аналитик делает руками с одной транзакцией, инструменты повторяют для всей сети.
На вершине стоит форензик с кластеризацией и оценкой риска. Однако он опирается на вероятностные эвристики, а потому дает гипотезы, а не доказательства.
Осваивать тему логично снизу вверх: сначала эксплорер, затем API и дашборды, и лишь потом — специализированные инструменты ончейн-аналитики. При этом чем глубже трейсинг, тем важнее отличать вероятное от доказанного.
