Прозорість блокчейну: як аналізувати біткоїн-транзакції від TXID до форензики

Відкрита природа блокчейну біткоїна — це не просто технічна особливість, а фундаментальний принцип, який породив цілу індустрію аналізу. Трейдери відстежують рухи китів, експерти з блокчейн-форензики повертають викрадені активи, а комплаєнс-відділи фільтрують «брудні» монети. У цьому матеріалі я розберу, як самостійно аналізувати транзакції, автоматизувати цей процес і де лежать межі навіть найпросунутішого трейсингу.
Ручний аналіз: від TXID до ланцюжка слідів
Кожна транзакція в мережі має унікальний ідентифікатор — TXID. Це 64-символьний хеш, отриманий шляхом прогону даних переказу через SHA-256. Підробити його неможливо: найменша зміна даних дає зовсім інший рядок. По суті, це «номер чека», за яким будь-який вузол мережі може перевірити операцію. Знайти TXID можна в історії гаманця або біржі, або ввівши адресу відправника/отримувача в рядок пошуку блокчейн-оглядача (експлорера).
На відміну від банківського рахунку, біткоїн не зберігає баланс єдиним числом. Мережа працює за моделлю UTXO (невитрачений вихід транзакції): кошти існують як окремі «купюри» різного номіналу. Витратити «купюру» частково не можна — під час оплати вона йде цілком, а натомість створюються два нові виходи: один отримувачу, другий — решта відправнику на свіжу адресу. Саме ця ознака лежить в основі визначення адреси решти в блокчейн-форензиці.
Після відправлення транзакція потрапляє в мемпул — чергу операцій, що очікують на включення в блок. Майнери надають пріоритет переказам з вищою комісією, тому при заниженій комісії операція може надовго «застрягти». Як тільки транзакція потрапляє в блок, у неї з'являється перше підтвердження. З кожним наступним блоком рівень надійності зростає: для невеликих сум достатньо 1-2 підтверджень, для великих — прийнято чекати шість.
Кожен вхід нової транзакції посилається на конкретний вихід попередньої, створюючи розгалужену мережу. Рух коштів можна простежити в обидві сторони — вперед до нових адрес і назад, аж до coinbase-транзакції, де монети вперше з'явилися як винагорода за видобутий блок. Так на блокчейні проявляються характерні маршрути: переказ на біржу, дроблення великої суми або виведення викраденого через проміжні гаманці.
Автоматизація: від API до моніторингу
Ручний розбір ефективний для поодиноких транзакцій, але блокчейн поповнюється щосекунди. Перший рівень автоматизації — програмний доступ через API нод та експлорерів. Сервіси на кшталт mempool.space пропонують REST API для разових запитів і WebSocket для постійного з'єднання з оновленнями. Для масових перевірок підходять Blockchair і Bitquery з підтримкою вебхуків.
Другий рівень — аналітичні платформи. На Dune дані блокчейну запитуються на SQL і виводяться на графіки; звіт за біржовими потоками або активністю китів оновлюється автоматично. Flipside пропонує Python-SDK для інтеграції даних у користувацькі скрипти. Ключова перевага: запит пишеться один раз, а працює постійно.
Третій рівень — сповіщення. Зв'язка «API плюс бот» стежить за потрібними адресами і надсилає сигнали при русі коштів. Платформи на кшталт Arkham пропонують готові оповіщення про транзакції китів, а вебхуки дозволяють налаштувати власну логіку обробки подій.
Форензика та її межі
Вершина автоматизації — трейсинг викрадених монет. Форензик-двигуни повторюють логіку ручного аналізу в масштабі всієї мережі, використовуючи кластеризацію адрес за евристиками. Два ключові правила: «спільний вхід» (якщо в одній транзакції витрачаються кілька UTXO, їх з високою ймовірністю контролює один власник) і «визначення адреси решти» (круглий платіж проти дробової решти).
Однак у автоматичного аналізу є принципове обмеження: кластеризація дає ймовірність, а не факт. Евристики помиляються — наприклад, CoinJoin спеціально об'єднує UTXO різних користувачів, ламаючи правило спільного входу. Знизити ризик витоку даних можна функцією Coin Control у гаманцях (Sparrow, Trezor Suite), яка дозволяє самостійно вибирати, який UTXO витратити, зменшуючи решту і не змішуючи монети з різних джерел.
Біткоїн забезпечує не анонімність, а псевдонімність — слабшу властивість, яку наполегливий аналіз часто «пробиває», але не завжди. Результат оцінки ризику — це лише основа для рішення аналітика, а не вердикт. Варто розрізняти автоматичне групування адрес і перевірену людиною атрибуцію: перше — гіпотеза, друге — висновок.
Моя професійна думка: Освоювати ончейн-аналіз логічно знизу вгору — від експлорера до API та дашбордів, і лише потім до спеціалізованих форензик-інструментів. Чим глибший трейсинг, тим важливіше відрізняти ймовірне від доведеного. В епоху, коли регулятори все активніше впроваджують блокчейн-аналітику, розуміння цих меж — не просто технічна навичка, а необхідність для будь-якого учасника ринку.