Як читати та відстежувати біткоїн-транзакції: повний гайд від TXID до форензики

Біткоїн побудований на відкритому реєстрі, і це означає, що будь-який переказ можна відстежити від адреси до адреси — за наявності відповідних навичок. На цьому фундаменті виросла ціла індустрія: трейдери відстежують китів та притоки на біржі, експерти з блокчейн-форензики допомагають повертати викрадені кошти, а комплаєнс-відділи відсіюють «брудні» монети. У цьому матеріалі я розберу, як аналізувати транзакції вручну, як автоматизувати процес за допомогою інструментів та API, і чому навіть найпросунутіший трейсинг дає лише ймовірнісну відповідь, а не абсолютну істину.
Частина 1. Ручний аналіз: від TXID до ланцюжків
Крок 1. Знаходимо транзакцію за TXID. У кожного переказу в блокчейні є унікальний ідентифікатор — TXID, хеш транзакції. Це 64-символьний рядок, який мережа отримує, пропускаючи всі дані (входи, виходи, суми, підписи) через SHA-256. Підробити такий хеш практично неможливо: найменша зміна даних дає зовсім інший рядок. По суті, це «номер чека», за яким будь-який вузол мережі може знайти та перевірити операцію. Отримати TXID можна з історії гаманця або біржі, або ввівши адресу відправника/отримувача в рядок пошуку блокчейн-оглядача (експлорера).
Крок 2. Розбираємо будову транзакції: входи, виходи та решта. На відміну від банківського рахунку, біткоїн не зберігає баланс єдиним числом. Мережа використовує модель UTXO (unspent transaction output): кошти існують як окремі «купюри» різного номіналу. Витратити «купюру» частково не можна — при оплаті вона йде цілком, а натомість створюються два нові виходи: один отримувачу, другий — решта відправнику на нову адресу. Будь-який спостерігач може побачити цю операцію через експлорер: «круглий» платіж легко відрізнити від «дробової» решти. На цій ознаці й будується визначення адреси решти в блокчейн-форензиці.
Крок 3. Перевіряємо підтвердження та мемпул. Відправлена транзакція не потрапляє в блокчейн миттєво. Спочатку вона опиняється в мемпулі — спільній черзі операцій, що очікують на включення в блок. Майнери надають пріоритет переказам з вищою комісією, тому за надто низької комісії транзакція може надовго застрягти. Щойно операція потрапляє в блок, у неї з'являється перше підтвердження. Чим більше підтверджень, тим нижча ймовірність скасування. Для невеликих сум зазвичай достатньо одного-двох, для великих — шести. Експлорер у реальному часі покаже статус: чи висить переказ у черзі, в який блок потрапив, скільки набрав підтверджень і яку комісію заплатив відправник.
Крок 4. Прослідковуємо шлях монети. Кожен вхід нової транзакції посилається на конкретний вихід однієї з попередніх. Перекази складаються не в один ланцюжок, а в розгалужену мережу: монети сходяться та розходяться між адресами. Аналітик йде за адресами виходу та дивиться, куди кошти пішли далі, повторюючи процес крок за кроком, доки не складеться повна картина. Так на блокчейні проступають характерні маршрути: переказ на біржу, дроблення великої суми або виведення викраденого через проміжні гаманці.
Частина 2. Автоматизація аналізу: від API до алертів
Ручний розбір хороший для однієї-двох транзакцій, але реєстр поповнюється щосекунди. Тут на допомогу приходить автоматика. Перший рівень — програмний доступ до блокчейну через API нод та експлорерів. REST API відповідає на разові запити (статус, баланс, стан мемпула), а WebSocket API тримає постійне з'єднання та сам надсилає оновлення. Для масових перевірок підійдуть сервіси на кшталт Blockchair або Bitquery, які віддають дані за багатьма адресами та підтримують вебхуки.
Другий рівень — платформи на кшталт Dune або Flipside, де можна написати SQL-запит один раз і отримувати готовий дашборд, який оновлюється автоматично. Третій рівень — моніторинг та алерти. Зв'язка «API плюс бот» стежить за потрібними адресами та надсилає сповіщення при кожному русі коштів. Платформи на кшталт Arkham пропонують готові оповіщення про перекази китів, а для власної логіки обробки подій підходять вебхуки.
Частина 3. Форензика та її межі
Вершина автоматизації — трейсинг викрадених монет. Форензик-движки використовують кластеризацію адрес за евристиками. Дві ключові: «спільний вхід» (якщо в одній транзакції витрачаються кілька UTXO, їх з високою ймовірністю контролює один власник) та «визначення адреси решти». Поверх кластеризації додається розпізнавання типових схем відмивання — дроблення сум або «пілінг». Потім іде атрибуція: прив'язка кластерів до реальних бірж, сервісів або осіб. Цим займаються як комерційні платформи (Chainalysis, TRM, Elliptic), так і відкриті движки (GraphSense, BlockSci).
Однак у автоматичного аналізу є принципове обмеження. Кластеризація дає ймовірність, а не факт. Евристики помиляються: наприклад, технологія CoinJoin спеціально об'єднує UTXO різних користувачів, через що правило спільного входу дає осічку. Біткоїн забезпечує не анонімність, а псевдонімність — слабшу властивість, яку наполегливий аналіз часто «пробиває», але не завжди. Результат залишається оцінкою, хай і добре обґрунтованою. Тому варто розрізняти автоматичне групування адрес і перевірену людиною атрибуцію: перше — гіпотеза, друге — висновок.
Освоювати тему логічно знизу вгору: спочатку експлорер, потім API та дашборди, і лише потім — спеціалізовані інструменти ончейн-аналітики. Чим глибший трейсинг, тим важливіше відрізняти ймовірне від доведеного.
Мій коментар: Ринок ончейн-аналітики стрімко розвивається, і вміння читати блокчейн стає обов'язковим навиком для будь-якого серйозного учасника криптоіндустрії. Однак не варто переоцінювати можливості автоматики: навіть найпросунутіші алгоритми — це лише інструменти, а остаточне рішення завжди залишається за людиною, яка розуміє їхні обмеження.