Кроссчейн-мошенничество под прицелом: новый подход к обнаружению обмана в блокчейнах

от

Автор: Денис Аветисян

Исследователи разработали систему, способную выявлять мошеннические аккаунты в различных блокчейнах, используя возможности больших языковых моделей и анализа транзакций.

🐢

Ищешь ракеты? Это не к нам. У нас тут скучный, медленный, но надёжный, как швейцарские часы, фундаментальный анализ.

Телеграм канал
В отличие от традиционных методов выявления мошеннических аккаунтов в блокчейнах, основанных на специфичной для каждой сети разработке признаков, представленная методика использует агента на базе большой языковой модели для обеспечения последовательного обнаружения мошенничества в различных блокчейнах, что позволяет преодолеть ограничения, связанные с фрагментацией данных и разнородностью сетей.
В отличие от традиционных методов выявления мошеннических аккаунтов в блокчейнах, основанных на специфичной для каждой сети разработке признаков, представленная методика использует агента на базе большой языковой модели для обеспечения последовательного обнаружения мошенничества в различных блокчейнах, что позволяет преодолеть ограничения, связанные с фрагментацией данных и разнородностью сетей.

Представлена UniDetect — платформа, объединяющая мультимодальные данные о транзакциях и методы обучения с подкреплением для универсального обнаружения мошеннических действий в гетерогенных блокчейнах.

Развитие межсетевой совместимости блокчейнов создает новые возможности для отмывания средств, затрудняя выявление незаконной деятельности традиционными методами. В данной работе представлена система ‘UniDetect: LLM-Driven Universal Fraud Detection across Heterogeneous Blockchains’, использующая большие языковые модели (LLM) для универсального обнаружения мошеннических аккаунтов в различных блокчейнах. Предложенный подход объединяет текстовые описания транзакций, генерируемые LLM, с анализом графов транзакций, что позволяет достичь значительного улучшения точности обнаружения — до 7.58% по метрике Kolmogorov-Smirnov. Сможет ли UniDetect стать эффективным инструментом для обеспечения безопасности и прозрачности децентрализованных финансовых систем?

Проблемы гетерогенного мошенничества в блокчейнах

Традиционные методы обнаружения мошенничества испытывают значительные трудности при работе с масштабом и сложностью транзакций в блокчейне, особенно когда речь идет о взаимодействии между различными цепями. Ранее разработанные алгоритмы, эффективно работающие с централизованными системами или отдельными блокчейнами, оказываются неспособными справиться с огромным потоком данных и сложными взаимосвязями, характерными для современной блокчейн-экосистемы. Проблема усугубляется тем, что злоумышленники все чаще используют мультичейн-стратегии, перемещая активы между разными блокчейнами для маскировки незаконной деятельности и затруднения отслеживания. Такая фрагментация данных требует принципиально новых подходов к анализу и обнаружению мошеннических схем, способных охватывать всю сеть взаимодействующих блокчейнов и учитывать сложность транзакционных графов.

Существующие решения для обнаружения мошенничества, ориентированные на отдельные блокчейны, оказываются недостаточно гибкими для выявления сложных схем, распространяющихся между различными цепями. Такой подход не позволяет отследить перемещение средств или активов, используемых в мошеннических операциях, когда злоумышленники намеренно используют несколько блокчейнов для маскировки своих действий и уклонения от обнаружения. Неспособность учитывать взаимосвязи между транзакциями в разных цепях создает значительные уязвимости, поскольку традиционные системы анализа, сконцентрированные на локальных данных одного блокчейна, попросту не видят полную картину происходящего, оставляя лазейки для злоумышленников и увеличивая риски финансовых потерь.

Для эффективной борьбы с современным мошенничеством в блокчейне требуется целостный подход, способный анализировать сложные графы транзакций и взаимосвязи между аккаунтами. Традиционные методы обнаружения аномалий часто оказываются неэффективными из-за масштаба и сложности блокчейн-операций, особенно когда они распределены между несколькими цепями. Анализ не ограничивается отдельными транзакциями, а предполагает выявление паттернов поведения, связанных с мошенническими схемами, что требует построения и исследования графов, где узлами являются аккаунты, а ребрами — транзакции между ними. Понимание взаимосвязей между аккаунтами, включая косвенные связи через множество транзакций, позволяет выявлять скоординированные мошеннические действия, которые остаются незамеченными при анализе изолированных операций. Такой подход, основанный на графовом анализе, обеспечивает более глубокое понимание структуры мошеннических схем и позволяет разрабатывать более эффективные механизмы обнаружения и предотвращения.

Экспериментальные результаты показывают, что UniDetect успешно обобщает знания, обнаруживая мошеннические действия как между различными блокчейнами с разной структурой данных, так и в задачах, выходящих за рамки блокчейн-сценариев.
Экспериментальные результаты показывают, что UniDetect успешно обобщает знания, обнаруживая мошеннические действия как между различными блокчейнами с разной структурой данных, так и в задачах, выходящих за рамки блокчейн-сценариев.

Графовое представление и интеграция с большими языковыми моделями

Внедряемая система обнаружения мошеннических операций построена на графовом представлении данных, где сущности (счета) моделируются как узлы графа, а транзакции между ними — как ребра, соединяющие эти узлы. Такая структура, именуемая «Граф транзакций», позволяет эффективно отображать и анализировать взаимосвязи между счетами. Система использует этот граф для выявления подозрительных паттернов и аномалий, основанных на структуре и характере транзакций, а также для последующей интеграции с большими языковыми моделями (LLM) для более глубокого семантического анализа.

В данной системе для обучения устойчивых векторных представлений узлов графа (аккаунтов) используются графовые нейронные сети (GNN), в частности, Dual-PGNN. Dual-PGNN использует два механизма распространения информации: один для агрегации признаков соседних узлов, а другой — для учета характеристик самих транзакций (ребер). Этот подход позволяет эффективно извлекать и сохранять ключевые признаки аккаунтов, отражающие паттерны их транзакционной активности, что необходимо для точного выявления мошеннических операций. Алгоритм учитывает не только непосредственных соседей узла, но и более удаленные связи, что повышает устойчивость векторных представлений к различным манипуляциям и искажениям данных.

Интеграция больших языковых моделей (LLM) позволяет формировать информативные сводки по счетам, обеспечивая семантическое понимание паттернов транзакций. LLM анализируют историю операций, включая суммы, даты, контрагентов и другие релевантные данные, для генерации текстовых описаний, резюмирующих поведение счета. Эти сводки предоставляют контекст, выходящий за рамки простого перечисления транзакций, позволяя выявлять аномалии и подозрительную активность на основе семантического анализа, а не только на основе числовых порогов. Сгенерированные сводки могут включать в себя описание типичных транзакций, выявление необычных операций и обобщение финансовых привычек владельца счета, что значительно повышает эффективность обнаружения мошеннических действий.

Комбинирование графового представления транзакций с анализом, проводимым большими языковыми моделями (LLM), позволяет значительно повысить точность выявления мошеннических операций. Традиционные методы часто не учитывают сложные взаимосвязи между счетами и транзакциями, в то время как графовое представление моделирует эти связи явно. LLM, анализируя семантическое содержание транзакций и формируя обобщенные описания счетов, предоставляет дополнительный контекст, который позволяет выявлять аномалии, не обнаруживаемые при анализе только структурных данных графа. Такой подход обеспечивает более детальное понимание паттернов транзакций и позволяет эффективно обнаруживать мошеннические схемы, которые могут быть скрыты в сложных сетях взаимосвязанных счетов.

UniDetect использует двухэтапную стратегию обучения для совместной оптимизации анализаторов сводок на основе LLM и кодировщика графов, формируя обогащенные представления аккаунтов для прогнозирования мошеннических действий посредством анализа подграфов, центрированных вокруг аккаунтов, и генерации сводок транзакций.
UniDetect использует двухэтапную стратегию обучения для совместной оптимизации анализаторов сводок на основе LLM и кодировщика графов, формируя обогащенные представления аккаунтов для прогнозирования мошеннических действий посредством анализа подграфов, центрированных вокруг аккаунтов, и генерации сводок транзакций.

Двухэтапное попеременное обучение для повышения производительности

В системе используется двухэтапная стратегия попеременного обучения, последовательно улучшающая LLM-агент для криминалистического анализа и графовый энкодер Dual-PGNN. На первом этапе обучается LLM-агент, используя выходные данные графового энкодера в качестве входных признаков. Затем, на втором этапе, графовый энкодер переобучается с использованием обновленных весов LLM-агента, что позволяет ему более точно представлять граф транзакций для последующего анализа. Этот процесс итеративно повторяется, обеспечивая взаимное улучшение обеих моделей и повышение общей производительности системы в обнаружении мошеннических операций.

Итеративный процесс обучения обеспечивает получение языковой моделью (LLM) точных представлений графа, что критически важно для анализа транзакций. Одновременно с этим, графовый энкодер (Dual-PGNN) оптимизируется для сохранения признаков, релевантных для выявления мошеннических операций. Взаимная зависимость обучения LLM и энкодера позволяет LLM эффективно использовать информацию из графа, а энкодеру — фокусироваться на наиболее значимых для обнаружения мошенничества характеристиках транзакций. Такой подход повышает общую точность системы за счет улучшения качества как входных данных (представлений графа), так и модели анализа.

Для повышения возможностей языковой модели (LLM) используется обучение с подкреплением. Для эффективной тонкой настройки и снижения вычислительных затрат применяется метод LoRA (Low-Rank Adaptation). LoRA позволяет обучать LLM, изменяя лишь небольшое количество параметров, что существенно ускоряет процесс и снижает требования к объему памяти. Это позволяет модели более эффективно адаптироваться к специфическим задачам обнаружения мошенничества, сохраняя при этом общую производительность и обобщающую способность.

Для всестороннего анализа транзакций в системе используются специализированные агенты, такие как Discriminative и Residual Summary Analyst Agents. Агент Discriminative извлекает ключевую информацию, необходимую для разграничения мошеннических и легитимных операций, акцентируя внимание на характеристиках, позволяющих их классифицировать. Residual Summary Analyst Agent, в свою очередь, фокусируется на извлечении остаточной информации, дополняющей данные, полученные от Discriminative, и позволяет сформировать более полное представление о транзакции, включая контекст и взаимосвязи между различными элементами. Комбинированное использование этих агентов обеспечивает более точное и детальное понимание каждого случая, что критически важно для эффективного выявления и предотвращения мошеннических действий.

Агент-криминалист использует заданный шаблон запросов для анализа данных.
Агент-криминалист использует заданный шаблон запросов для анализа данных.

Кросс-чейн обобщение и перспективы развития

Система демонстрирует выдающиеся способности к обобщению, что позволяет обнаруживать мошеннические действия на ранее не изученных блокчейнах. В основе этого лежит метод Zero-Shot Cross-Chain Inference, позволяющий переносить знания, полученные на одном блокчейне, на другие без необходимости дополнительного обучения. Данный подход позволяет анализировать транзакционные графы различных блокчейнов, выявляя аномалии и подозрительную активность, даже если система не была изначально обучена на данных конкретного блокчейна. Это достигается за счет выявления общих паттернов мошенничества, которые не зависят от специфических особенностей конкретной платформы, и адаптации существующих моделей к новым данным. Такая способность к обобщению существенно расширяет возможности обнаружения мошенничества в постоянно развивающейся экосистеме криптовалют.

Для эффективной обработки масштабных графов транзакций, представляющих собой сложную сеть взаимодействий, система UniDetect использует передовые методы, такие как выборочная выборка подграфов и структурное сжатие. Выборочная выборка подграфов позволяет сосредоточиться на наиболее значимых участках графа, отбрасывая избыточную информацию и снижая вычислительную нагрузку. В свою очередь, структурное сжатие уменьшает размер графа путем удаления несущественных связей и узлов, сохраняя при этом ключевую информацию, необходимую для выявления мошеннических операций. Комбинация этих техник значительно повышает скорость и эффективность анализа, позволяя UniDetect обрабатывать огромные объемы данных без потери точности и своевременно обнаруживать подозрительную активность в криптовалютных сетях.

Для повышения качества анализа графов транзакций, система UniDetect использует метод семантически-ориентированной выборки (Semantic-Guided Sampling). Вместо случайного выбора соседних узлов в графе, данный подход концентрируется на тех соседях, которые наиболее релевантны для выявления мошеннических действий. Это достигается путем анализа семантических характеристик транзакций и узлов, позволяя системе более эффективно фокусироваться на потенциально подозрительных связях. В результате, семантически-ориентированная выборка не только снижает вычислительную нагрузку за счет обработки меньшего объема данных, но и значительно повышает точность обнаружения мошеннических схем, выделяя ключевые взаимосвязи в сложных финансовых сетях.

Исследования показали, что разработанная система UniDetect значительно повышает эффективность обнаружения мошеннических операций с криптовалютами. В ходе экспериментов зафиксировано улучшение показателя F1 на 8.56%, что свидетельствует о более высокой точности и полноте выявления мошенничества. Кроме того, статистический тест Колмогорова-Смирнова (KS) продемонстрировал улучшение как минимум на 5.57%, подтверждая, что система способна надежно отличать мошеннические транзакции от легитимных с высокой статистической значимостью. Данные результаты указывают на существенный прогресс в области обнаружения мошенничества в крипто-пространстве, обеспечивая более надежную защиту пользователей и снижение финансовых потерь.

Исследования показали, что UniDetect демонстрирует значительную адаптивность, достигая улучшения показателя AUC на 4.47% при анализе данных из различных, не связанных между собой доменов. Этот результат указывает на способность системы эффективно выявлять мошеннические транзакции, даже когда применяются к новым и незнакомым блокчейнам или типам финансовых операций. Способность обобщать знания и переносить их на другие области применения является ключевым преимуществом UniDetect, позволяющим эффективно бороться с развивающимися схемами мошенничества и обеспечивать надежную защиту в различных финансовых экосистемах. Такая гибкость делает UniDetect особенно ценным инструментом для обнаружения аномалий и предотвращения финансовых потерь в динамичной среде криптовалют.

Система демонстрирует впечатляющую скорость обработки транзакций, обеспечивая задержку инференса всего 1.47 миллисекунды на образец. Это позволяет обрабатывать до 680 образцов в секунду, что делает ее пригодной для анализа больших объемов данных в реальном времени. Такая производительность достигается благодаря оптимизированной архитектуре и эффективным алгоритмам обработки графов, позволяющим оперативно выявлять потенциально мошеннические операции даже в быстро меняющихся условиях блокчейн-сетей. Высокая скорость и пропускная способность системы открывают возможности для ее применения в системах мониторинга, предотвращения мошенничества и обеспечения безопасности криптовалютных транзакций.

Анализ эффективности UniDetect на данных Ethereum показал, что, несмотря на вычислительные затраты, связанные с использованием LLM, система остается пригодной для практического применения благодаря приемлемой задержке и пропускной способности.
Анализ эффективности UniDetect на данных Ethereum показал, что, несмотря на вычислительные затраты, связанные с использованием LLM, система остается пригодной для практического применения благодаря приемлемой задержке и пропускной способности.

Исследование представляет собой не просто систему обнаружения мошенничества, но и попытку создать адаптивную экосистему анализа транзакций. Авторы UniDetect, подобно садовникам, взращивают модель, способную к универсальности и обобщению на различных блокчейнах. Вместо жесткой привязки к конкретным правилам, система опирается на понимание семантики транзакций, извлеченной с помощью больших языковых моделей. Как заметила Грейс Хоппер: «Лучший способ предсказать будущее — это создать его». UniDetect демонстрирует эту философию, создавая будущее обнаружения мошенничества, основанное не на реакциях на известные паттерны, а на способности к прогнозированию и адаптации к новым формам обмана, используя мультимодальный подход и обучение с подкреплением.

Что дальше?

Представленная работа, стремясь к универсальному обнаружению мошеннических действий в гетерогенных блокчейнах, неизбежно наталкивается на фундаментальную сложность: системы не строятся, они вырастают. Универсальность — это не пункт назначения, а направление движения, и каждая попытка её достижения лишь выявляет новые формы хаоса, которые система, в конечном итоге, должна будет принять. Гарантий безопасности не существует, лишь договоры с вероятностью, и каждая архитектурная оптимизация — это пророчество о будущем сбое, который рано или поздно проявится.

Перспективы развития лежат не в усложнении моделей, а в их адаптивности. Поиск не универсального алгоритма, а гибкой экосистемы, способной к самообучению и эволюции, представляется более плодотворным. Интеграция механизмов обучения с подкреплением — лишь первый шаг. Будущее за системами, способными не только обнаруживать известные паттерны мошенничества, но и предсказывать возникновение новых, опираясь на аномалии в потоке транзакций, которые для статичной модели останутся незамеченными. Стабильность — это иллюзия, которая хорошо кэшируется, а истинная надежность рождается из способности к непрерывной трансформации.

В конечном счёте, задача не в том, чтобы построить идеальную систему обнаружения мошенничества, а в том, чтобы создать платформу, которая позволит ей развиваться вместе с постоянно меняющимся ландшафтом блокчейн-технологий. Хаос — это не сбой, это язык природы, и только системы, способные его понимать, смогут выжить.

Оригинал статьи: https://arxiv.org/pdf/2604.12329.pdf

Связаться с автором: https://www.linkedin.com/in/avetisyan/

Смотрите также:

2026-04-16 02:02