В сентябре 2024 года в сеть утекло то, что никогда не должно было покинуть стены IRS: внутреннее обучающее видео Chainalysis длиной 34 минуты, записанное в августе 2023-го. Это была закрытая сессия «office hours» для следователей криминального отдела налоговой службы США (IRS-CI). Докладчик - киберследователь подразделения Chainalysis Government Solutions. Компания удалила ролик в течение нескольких часов и отказалась от комментариев Cointelegraph. Но копии уже разошлись: тред u/lt в r/Monero, зеркало на Odysee, покадровый разбор на takebackourtech.org. Центральный кейс презентации это расследование против администраторов даркнет-маркета, предположительно работавших из Колумбии. Это первый публичный случай, когда видно, КАК именно превращают «неотслеживаемые» транзакции Monero в зацепки для задержания.

Предыстория: как IRS признала бессилие

Сентябрь 2020. Криминальный отдел IRS публикует открытый тендер: нужен инструмент трейсинга приватных монет XMR, ZEC, DASH, GRIN, Komodo, Verge, Horizen и транзакций Lightning Network. Приз = $625 000. Пилотные контракты получают Chainalysis и Integra FEC. Рабочий продукт сдает только Chainalysis. Дальше Chainalysis получает контракт на $22 млн - 620 годовых лицензий для сотрудников IRS, доступ к API, обучающие материалы, билеты на конференции. Софт расходится по четырем департаментам, включая отдел расследования мошенничества и даже подразделение по малому бизнесу. Слитое видео — фрагмент того самого «обучения» из контракта тут https://odysee.com/@takebackourtech:f/chainalysis_XMR:d

Что Chainalysis реально видит в Monero

У компании есть собственный закрытый обозреватель блоков Monero аналог Etherscan, только для монеты, у которой «нечего смотреть» (см.на Рис.1).

По каждой транзакции инструмент показывает: - размер кольца (количество приманок-«микс-инов»); - комиссию не в XMR, а как множитель базовой ставки: 1x, 2x, 10x. Это важнее, чем кажется: кошелек Exodus годами платил нестандартные комиссии и тем самым метил транзакции своих пользователей. Monero Research Lab добилась исправления только в 2023; - unlock time это нестандартная блокировка выходов тоже отпечаток; - и главное: IP-адрес отправителя, если тот подключился к ноде, принадлежащей Chainalysis.

Такие записи в интерфейсе помечены меткой «RPC» (см.на Рис.2). Перевод на человеческий: Chainalysis годами держит в сети Monero флот подставных («вредоносных») нод в разных странах и у разных провайдеров и пишет IP и временные метки каждого, кто отправил через них транзакцию без Tor или VPN. До внедрения протокола Dandelion++ в 2020 компания, по утечке, могла сопоставлять транзакции с IP вплоть до уровня всей сети. Криптографию никто не ломал. Ломают инфраструктуру вокруг нее и человеческую лень.

Во второй части расскажу откуда у следствия взялись 70 хешей транзакций, при чем тут панамский обменник без KYC, слитые документы ФБР из архива BlueLeaks и как одна-единственная ошибка с VPN привела точку на карте Колумбии прямо к задержанию.

#расследование #chainalysis #monero #кибербезопасность #криптовалюта #приватность #блокчейн #IRS #osint #даркнет