Гигантский микшер Эфириума

image5

68% от совокупной стоимости всех транзакций, похоже, контролируется одной системой.

Специалисты cyber•Fund анализировали транзакции Эфириума и обнаружили нечто такое, что сподвигло нас безотлагательно углубиться в эту проблему. Теперь мы хотим поделиться своими выводами с сообществом в надежде вместе найти им разумное объяснение.

Что мы обнаружили

65% от общего объёма транзакций в ETH генерируется временными адресами. Средства поступают на счёт и выводятся в течение одного часа, после чего адрес больше не используется.

Кластеризация всех адресов Эфириума с момента его создания до 15.09.2017 выявила класс адресов, которые в этой статье мы будем называть временными. Это адреса, средства с которых выводятся в течение очень короткого времени – не более 1 часа – после поступления, после чего адрес больше не используется. В анализируемый период количество временных адресов составило 46% от общего количества всех использовавшихся адресов и через них было проведено 65% от совокупного объёма транзакций. В результате анализа транзакций с участием этих адресов нам удалось собрать по кусочкам полную картину происходящего:

image5

В центре картинки выше изображено ядро микшера, состоящего из временных адресов более чем на 95%. Это ядро взаимодействует с группой адресов оболочки – слоем оболочки, включающим как постоянные, так и временные адреса. Слой оболочки в свою очередь получает ETH с адресов, которые мы будем называть входными, и отправляет ETH на выходные адреса, изображённые на схеме слева и справа соответственно. Мы просмотрели имена владельцев этих адресов в Etherscan. Только для нескольких из них было указано имя владельца. Другие имена, изображённые на картинке выше, упоминаются пользователями в комментариях на Etherscan, так что мы можем только предположить, что они являются истинными владельцами этих адресов. В итоге оказалось, что общая сумма входящих и исходящих транзакций для адресов ядра в 4 раза больше общей суммы транзакций для оболочки и ядра вместе взятых. Это навело нас на мысль о вероятном существовании своеобразного микшерного механизма (далее – микшер).

10,7% транзакций Эфириума, на которые приходится 68,5% от совокупного объёма переводимых ETH, похоже, контролируются одной системой.

0-S0IOQiHKSnnbKB37

Из всех транзакций, выполненных в блокчейне Эфириума в течение анализируемого периода, адреса с входящими суммами ~500, ~1000, ~2000, ~3000, ~5000 и ~10 000 ETH составили 68,5% (2 601 041 693,6 из 3 791 195 132,0 ETH) в денежном выражении и 10,7% (6 216 314 из 58 035 623) в количественном выражении. Дальнейший анализ показал, что эти адреса связаны друг с другом и могут контролироваться из одного центра.

Так с течением времени менялась доля транзакций микшера в общем количестве транзакций Эфириума:

0-NWh_XyxcVzqZxjXG.png

0-d5Lc_-KavTzgUxMT.png

Похоже, что эта система была впервые протестирована в 2016 году и активно использовалась с начала 2017 года. Это может объясняться увеличением капитализации и ликвидности Эфириума. Самое интересное, что, если исключить долю микшера, то характер роста количества транзакций Эфириума выглядит совершенно иначе. Если исключить из анализа транзакции микшера, становится очевидным, что они составляли большую часть роста общего объёма транзакций Эфириума.

0-gAJG4cx6NK1MhgWD

Анализ, который был выполнен

Были обнаружены несколько больших комплектов адресов. На адреса, принадлежащие к одному комплекту, поступали транзакции на одинаковую сумму ETH.

По объёму входящих транзакций эти адреса распределяются следующим образом:

Распределение адресов по объёму транзакций

0-GR5SPiFLjc7-9U7l.png

Из 6 282 858 адресов, участвующих во всех транзакциях, совершаемых на блокчейне Эфириума с момента его создания до 15 сентября 2017 года, наше внимание привлекли следующие наборы адресов:

0-qS-O3uEnPrpnJ4uN.png

Между этими адресами было переведено 67,5% из всех переданных ETH и на них приходится 8,5% от общего количества транзакций на блокчейне Эфириума за анализируемый период. Итак, почему же мы считаем, что эти адреса связаны друг с другом?

Эти комплекты адресов использовались поочерёдно: через какое-то время использования один комплект деактивировался и вместо него появлялся другой.

На рисунке ниже показано, как эти наборы адресов заменяют друг друга практически один за другим. Возьмём один набор адресов – например, адреса с входящими суммами около 1000 ETH. После некоторого времени использования все адреса этого набора становятся неактивными и в тот же момент активизируется другой набор адресов – например с входящими транзакциями по 3000 ETH. То есть адреса «ведут себя» таким образом, как будто их активность намеренно скоординирована, что заставляет нас задуматься о наличии определённой системы, управляющей их действиями. Эти адреса составляют ядро схемы.

0-IfCfCbzsWk0oy-oq.png

Результаты

При дальнейшем анализе системы мы определили временные и постоянные адреса, окружающие ядро и связанные с ним. Расчёты для ядра и связанных с ним адресов за период от создания Эфириума до 15.09.2017 дали следующие результаты:

Ротационные транзакции: 2 538 247 570 ETH или 67% от общего объёма транзакций между всеми активными адресами

Входящие транзакции: 31 418 705 ETH или 0,8% от общего объёма транзакций между всеми активными адресами

Исходящие транзакции: 31 375 418 ETH или 0,8% от общего объёма транзакций между всеми активными адресами

Гипотезы

Ниже приведены возможные объяснения, которые мы смогли придумать для зарегистрированной нами активности:

  1. Защита, предлагаемая клиентам биржами криптовалют: все средства клиентов перемешиваются, так что источники средств не могут быть отслежены, а владельцы денег, полученных законных путём, не могут быть необоснованно обвинены в какой-либо незаконной деятельности
  2. Механизм защиты резидентов США, желающих избежать контроля со стороны регулирующих органов своей страны
  3. Механизм, используемый крупной частной биржей для сохранения анонимности своих клиентов; эта биржа может работать и с фиатными валютами
  4. Механизм, используемый для безопасной передачи крипто-активов между криптовалютными биржами
  5. Схема отмывания эфиров

Это лишь гипотезы, которые мы с удовольствием готовы обсудить с любым, кого заинтересовали наши выводы. Если у вас есть другие предположения или объяснения этому явлению, пожалуйста, не стесняйтесь поделиться ими с нами. Более подробную информацию вы можете найти в Дополнении.

Вы всегда можете связаться с нами по электронной почте: datascience@cyber.fund, analytics@cyber.fund

Дополнение

Примечание: Если вы хотите самостоятельно просмотреть перечисленные ниже адреса на Etherscan, используйте список из этой Google-таблицы.

Топ-20 входных адресов (ETH, поступившие в микшер)

1-eWtZLLSTWf5W26rJfM2ETw.png

Топ-20 выходных адресов (ETH, выведенных из микшера)

1-BkJDO9HcoC2s0_iWctFPSA.png

Источник: блог Cyber-Fund



Рубрики:Анализ, Важное, ETH, Ethereum, эфир

Метки: , , ,

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s