Теневые схемы Monero: новый метод анализа транзакций

от

Автор: Денис Аветисян

Исследователи разработали инновационный подход к выявлению подозрительной активности в сети Monero, основанный на анализе графов транзакций.

☕️

Читаем отчёты, пьём кофе, ждём дивиденды. Если тебе надоел хайп и ты ищешь скучную, но стабильную гавань — добро пожаловать.

Бесплатный Телеграм канал
Граф ART демонстрирует взаимосвязанные узлы и отношения, формируя сложную экосистему, где каждое взаимодействие предсказывает потенциальные точки отказа и эволюцию системы в целом.
Граф ART демонстрирует взаимосвязанные узлы и отношения, формируя сложную экосистему, где каждое взаимодействие предсказывает потенциальные точки отказа и эволюцию системы в целом.

Представлен ART-граф — инструмент для поведенческого анализа транзакций Monero, позволяющий выявлять потенциально незаконную деятельность без прямой отслеживаемости.

Несмотря на успехи криминалистического анализа криптовалют, преступники все чаще используют монеты, ориентированные на конфиденциальность, такие как Monero, чтобы скрыть незаконные операции. В данной работе, посвященной разработке фреймворка ‘ART: A Graph-based Framework for Investigating Illicit Activity in Monero via Address-Ring-Transaction Structures’, предложен новый графовый метод для выявления поведенческих паттернов, связанных с преступной деятельностью в сети Monero. Построенные на основе связей адресов, колец и транзакций графы позволяют извлекать структурные и временные характеристики, пригодные для обучения моделей машинного обучения. Может ли подобный подход стать основой для аналитических инструментов, способных поддерживать расследования в экосистемах блокчейнов, ориентированных на конфиденциальность?

Прозрачность как пророчество: уязвимость криптовалют

Несмотря на распространенное мнение об анонимности, криптовалюты, такие как Bitcoin, на самом деле не обеспечивают встроенной конфиденциальности. Каждая транзакция записывается в публичном и распределенном реестре — блокчейне — и, хотя личные данные пользователей напрямую не указываются, адреса отправителя и получателя, а также сумма перевода, становятся общедоступными. Это означает, что при достаточном анализе блокчейна, связывая адреса с реальными личностями через биржи или другие сервисы, можно отследить движение средств и идентифицировать участников транзакций. Такая прозрачность, с одной стороны, способствует безопасности сети, но, с другой, создает серьезные проблемы для пользователей, стремящихся сохранить финансовую конфиденциальность и может служить инструментом для слежки и контроля.

Отсутствие конфиденциальности в криптовалютах, таких как биткоин, существенно сдерживает их широкое распространение и, одновременно, привлекает нежелательную активность. Прозрачность блокчейна, изначально задуманная как гарант безопасности, парадоксальным образом делает каждую транзакцию общедоступной, что препятствует использованию криптовалют в легальных целях, где важна финансовая приватность. Эта уязвимость создает благоприятную среду для отмывания денег и другой незаконной деятельности, подрывая доверие к цифровым валютам в целом. В связи с этим, разработка и внедрение решений, направленных на повышение анонимности и конфиденциальности транзакций, является критически важной задачей для обеспечения устойчивого развития и легитимности криптовалютной экосистемы.

Криптовалюта Monero принципиально отличается от большинства своих аналогов благодаря радикальному пересмотру структуры транзакций. В отличие от Bitcoin и Ethereum, где информация об отправителе, получателе и сумме сделки хоть и псевдонимна, но доступна в блокчейне, Monero использует несколько ключевых технологий для обеспечения конфиденциальности. В частности, применяется технология кольцевых подписей, которая смешивает подпись отправителя с подписями других пользователей, затрудняя идентификацию истинного инициатора транзакции. Кроме того, Monero использует конфиденциальные транзакции, скрывающие сумму перевода, и технология Stealth Address, генерирующая уникальные одноразовые адреса для каждой транзакции, что делает невозможным связывание транзакций с конкретным пользователем. Эти нововведения позволяют Monero обеспечивать высокий уровень анонимности, что делает её привлекательной для пользователей, заботящихся о конфиденциальности своих финансовых операций.

Скрывая следы: протокол конфиденциальности RingCT

RingCT — это ключевой протокол конфиденциальности в Monero, объединяющий три основных технологии для сокрытия деталей транзакций. Он использует кольцевые подписи (Ring Signatures) для маскировки отправителя, смешивая его с группой других потенциальных подписывающих, что затрудняет определение реального инициатора. Для сокрытия адреса получателя применяются скрытые адреса (Stealth Addresses), которые генерируются на основе его публичного ключа и предотвращают привязку транзакций к известным адресам. Наконец, конфиденциальные транзакции (Confidential Transactions) используют $Pedersen Commitments$ для сокрытия суммы перевода, сохраняя при этом возможность верификации транзакции сетью без раскрытия точного значения.

Конфиденциальные транзакции в Monero используют схемы Педерсена ($commitment = random \cdot public\_key + value$) для сокрытия суммы транзакции, сохраняя при этом возможность её проверки сетью. В рамках этой схемы, значение транзакции скрывается путём добавления случайного значения (random) к значению транзакции (value) и умножения результата на публичный ключ получателя. Результирующее значение (commitment) публикуется в блокчейне. Для подтверждения корректности транзакции, отправитель предоставляет доказательство диапазона (range proof), которое демонстрирует, что скрытое значение ($value$) находится в допустимом диапазоне, то есть сумма транзакции положительна. Это позволяет сети убедиться в валидности транзакции, не раскрывая фактическую сумму.

Скрытые адреса (Stealth Addresses) в Monero генерируются на основе публичного ключа получателя и служат для повышения конфиденциальности транзакций. Вместо прямой отправки средств на публичный ключ получателя, отправитель генерирует одноразовый, уникальный адрес, производный от этого ключа. Этот одноразовый адрес не может быть связан с исходным публичным ключом без знания секретного ключа получателя. Фактически, каждая транзакция получает уникальный адрес, что предотвращает связывание транзакций с конкретным адресом получателя и затрудняет отслеживание его активности в сети. Процесс генерации скрытого адреса включает в себя использование криптографических хэшей и случайных чисел, обеспечивая, что каждый адрес уникален даже при повторных транзакциях на один и тот же публичный ключ.

Кольцевые подписи (Ring Signatures) обеспечивают сокрытие отправителя транзакции путём смешения его ключа с ключами других пользователей, формируя группу возможных подписантов. Технически, подпись генерируется с использованием ключей всех участников группы, но только отправитель обладает личным ключом, позволяющим создать действительную подпись. Это позволяет сети верифицировать подпись как принадлежащую одному из участников группы, не раскрывая, кто именно её создал. В результате, каждый участник группы может убедительно доказать, что подпись была создана кем-то из группы, но никто не может определить конкретного подписанта, что значительно повышает анонимность транзакции. При этом, размер группы подписи является важным параметром, влияющим на уровень анонимности и вычислительную сложность.

Анализ графа: подход к графу ART

Традиционные методы анализа блокчейна испытывают значительные трудности при работе с Monero из-за реализованных в ней функций, повышающих конфиденциальность транзакций. В частности, использование кольцевых подписей, конфиденциальных транзакций и скрытых адресов эффективно скрывает связи между отправителями и получателями, затрудняя отслеживание потоков средств. Это делает невозможным применение стандартных эвристик и алгоритмов, успешно работающих с публичными блокчейнами, такими как Bitcoin или Ethereum. Необходимость преодоления этих ограничений обусловила потребность в разработке новых подходов к анализу, способных учитывать специфику Monero и извлекать полезную информацию из ограниченных данных.

Стандартный граф адрес-транзакций (Address-Transaction Graph) не учитывает специфические особенности сети Monero, такие как кольцевые подписи, скрытые адреса и конфиденциальные транзакции. ART-граф (Address-Ring-Transaction graph) расширяет эту модель, вводя понятие «кольца» (ring) для представления множества возможных отправителей в кольцевой подписи. Это позволяет учитывать все потенциальные источники транзакции, а не только один известный адрес. В ART-графе каждый узел представляет адрес или транзакцию, а ребра отражают связи между ними, включая отношения между адресами-источниками и адресами-получателями, а также связи внутри кольцевых подписей. Такая структура позволяет более точно моделировать потоки средств в сети Monero, несмотря на повышенный уровень анонимности.

Построение ART-графа позволяет извлекать структурные и временные признаки, пригодные для машинного обучения. К структурным признакам относятся характеристики графа, такие как степень вершины (количество входящих и исходящих транзакций) и центральность. Временные признаки отражают динамику транзакций, включая интервалы времени между транзакциями и продолжительность активности адреса. Особое внимание уделяется 0-hop и i-hop признакам: 0-hop признаки описывают непосредственные связи между адресами (например, транзакция напрямую от одного адреса к другому), а i-hop признаки — связи через $i$ промежуточных адресов. Комбинация этих признаков формирует вектор, используемый в качестве входных данных для моделей машинного обучения, предназначенных для анализа поведения и выявления аномалий.

Извлеченные структурные и временные характеристики, такие как 0-hop и i-hop признаки, позволяют построить модели, описывающие взаимосвязи между транзакциями в сети Monero. Анализ этих моделей выявляет отклонения от нормального поведения, которые могут указывать на незаконную деятельность. Например, кластеризация транзакций, необычные паттерны перемещения средств или аномальная частота транзакций могут быть идентифицированы как потенциальные индикаторы отмывания денег, финансирования терроризма или других противоправных действий. Построение и анализ этих моделей позволяет проводить более эффективное расследование и выявлять подозрительные операции, несмотря на повышенный уровень конфиденциальности в сети Monero.

Машинное обучение для поведенческого анализа

В основе анализа транзакций для выявления подозрительной активности лежат алгоритмы машинного обучения. Эти алгоритмы применяются к извлеченным характеристикам каждой транзакции — таким как сумма, время, географическое положение и тип операции — для автоматической классификации. Процесс предполагает преобразование сырых данных в числовые признаки, которые затем используются моделью для обучения и прогнозирования. Благодаря этому подходу становится возможным выявление аномалий и паттернов, указывающих на потенциально вредоносные действия, значительно превосходящее возможности ручного анализа. Обученные модели способны оперативно оценивать большие объемы данных, что критически важно для защиты от современных киберугроз.

Модель случайного леса (Random Forest) представляет собой надежный и точный классификационный инструмент, благодаря своей способности улавливать нелинейные зависимости в данных. В отличие от линейных моделей, которые предполагают прямую пропорциональность между признаками и результатом, случайный лес строит множество решающих деревьев, каждое из которых рассматривает различные подмножества признаков и данных. Это позволяет модели эффективно обнаруживать сложные взаимосвязи и учитывать взаимодействия между признаками, которые остаются незамеченными для более простых алгоритмов. Такой подход особенно важен при анализе транзакций, где мошеннические действия часто проявляются в нелинейных паттернах, связанных с комбинацией различных факторов. Использование ансамбля деревьев снижает риск переобучения и повышает обобщающую способность модели, обеспечивая стабильные и точные прогнозы даже в условиях зашумленных или неполных данных.

Несбалансированность данных представляет собой серьезную проблему при анализе транзакций, поскольку редкие классы, связанные с вредоносной активностью, часто оказываются недостаточно представленными. Для решения этой задачи активно применяется метод Synthetic Minority Oversampling Technique (SMOTE), позволяющий генерировать синтетические примеры для миноритарного класса. SMOTE не просто дублирует существующие данные, а создает новые, похожие, но не идентичные, экземпляры на основе существующих, что способствует более эффективному обучению модели и повышению ее способности к обнаружению аномалий. Благодаря применению SMOTE удается значительно улучшить производительность алгоритмов машинного обучения, особенно в случаях, когда необходимо выявить небольшое количество целевых событий среди большого объема нормальных транзакций, что критически важно для предотвращения финансовых потерь и обеспечения кибербезопасности.

Анализ транзакций с использованием алгоритмов машинного обучения позволяет выявлять поведенческие паттерны, характерные для злоумышленников, связанных с такими угрозами, как шифровальщик WannaCry 2.0 и группировка Lazarus. В ходе тематического исследования, посвященного транзакциям, приписываемым Lazarus Group, разработанная модель продемонстрировала высокую эффективность, достигнув общего значения F1-меры в 0.857. Особенно примечательно, что модель обеспечила точность (Precision) в 1.000, что указывает на отсутствие ложноположительных срабатываний, и полноту (Recall) в 0.750, демонстрируя способность выявлять значительную часть целевых транзакций, связанных с вредоносной деятельностью.

Исследование, представленное в статье, демонстрирует, как сложные системы, вроде блокчейна Monero, порождают закономерности, которые можно изучать, но не контролировать. Попытки выстроить идеальную систему отслеживания транзакций обречены на неудачу, ведь любая архитектура — это компромисс, застывший во времени. Кен Томпсон как-то заметил: «Программирование — это искусство объяснения компьютеру, как делать что-то, что он сам не придумал бы». В контексте Monero, это означает, что анализ поведенческих паттернов, основанный на ART-графе, — не попытка взломать систему, а скорее — попытка понять её естественное течение, выявить отклонения от нормы, которые могут указывать на незаконную деятельность. И, подобно погоде, эти отклонения будут возникать непредсказуемо, требуя постоянного наблюдения и адаптации.

Куда Ведет Этот Путь?

Представленная работа демонстрирует не столько возможность «отслеживания» активности в сети Monero, сколько способность создавать карту её внутренних напряжений. ART-граф — это не инструмент для разоблачения, а скорее зеркало, отражающее неизбежные закономерности поведения в любой сложной системе. Попытки создать идеальный алгоритм выявления «неправомерных» транзакций обречены на провал; ведь в идеальном решении просто не остаётся места для человеческой непредсказуемости, для случайности, являющейся основой самой жизни системы.

Следующим шагом видится не усовершенствование алгоритмов машинного обучения, а принятие того факта, что любая попытка полной «прозрачности» приведет к стагнации. Более перспективным представляется исследование динамики системы, её способности к самовосстановлению после «сбоев». Именно в этих сбоях, в кажущихся аномалиях, и кроется ключ к пониманию её истинной структуры. Система, которая никогда не ломается, мертва; её устойчивость — в способности адаптироваться к хаосу.

Будущие исследования должны сосредоточиться не на поиске «плохих акторов», а на изучении эволюции поведенческих паттернов. Не на создании идеальной системы контроля, а на понимании границ её применимости. Ибо в конечном итоге, любой инструмент, созданный для анализа системы, сам становится её частью, внося свой вклад в её непредсказуемую эволюцию.

Оригинал статьи: https://arxiv.org/pdf/2511.16192.pdf

Связаться с автором: https://www.linkedin.com/in/avetisyan/

Смотрите также:

2025-11-21 21:36