Использование AML-сервиса является неотъемлемой частью работы многих крипто участников и компаний, так как мониторинг адреса и транзакции позволяет установить связь с активами, полученными преступным путем. В зависимости от поставленных задач каждый пользователь выбирает для себя самый удобный вариант работы. Одни предпочитают веб интерфейс, другие Telegram-бот.
В этой статье мы расскажем как читать результаты проверок в CoinKYT AML bot, почему бот берет результаты из CoinKYT Web, что такое Indirect Exposure и Direct Exposure, и из чего состоит Risk Score.
Обозреватель КоинКит
Для получения сведений об адресе, транзакции или сущности команда КоинКит разработала специальный обозреватель, так как проверка кошелька ключевой этап в работе с крипто сервисами.
Обозреватель — это инструмент платформы, который позволяет получить необходимые сведения в выбранной блокчейн-сети.
Так выглядит обозреватель в веб версии платформы (CoinKYT Web):
Обозреватель CoinKYT Web позволяет осуществлять поиск сведений по адресу, транзакции и сущности.
Обозреватель в Телеграм (CoinKYT AML bot):
Обозреватель CoinKYT AML bot позволяет осуществлять поиск сведений по адресу или транзакции.
Какие сведения дает обозреватель?
В зависимости от запроса Обозреватель будет давать различные результаты по наполняемости.
В веб версии по запросу информации о:
1. адресе, вам будут доступны: панель информации, директы и индиректы с графиком распределения активов, таблицы “Транзакции” и “Связи”, а также доступ к визуализации;
2. транзакции, будут доступны: панель информации, таблица “Адреса”, доступ к визуализации;
3. сущности, будут доступны: панель информации, таблица “Связи”, “Транзакции” и “Адреса”, а также доступ к визуализации.
В Telegram-боте по запросу информации о:
1. адресе, вам будут доступны: общий Risk Score, владелец адреса, тип владельца, индиректы (распределение по уровням рисков);
2. транзакции, будут доступны: общий Risk Score, отправитель и его тип, получатель и его тип, номер блока, дата совершения транзакции, индиректы (распределение по уровням рисков).
Алгоритмы для расчета результатов проверки
Компания КоинКит создала собственные алгоритмы для наиболее точного подсчета Risk Score, также стоит упомянуть, что все аналитические компании используют разные алгоритмы, поэтому результаты проверок у компаний могут отличаться друг от друга.
Результат проверки, то есть Risk Score и распределение активов по сущностям, напрямую зависит от Индиректов, и косвенно от Директов.
Indirect Exposure (индиректы)
Индиректы — распределение активов по долям, которые размечены разными типами сущностей в пределах неограниченного количества шагов. Индиректы позволяют понять как размечены активы и сколько их с учетом всех входящих и исходящих транзакций на адресе, а также отследить самую первую транзакцию, и самую последнюю.
Благодаря индиректам известна вся информация об адресе и связанных транзакциях, за исключением:
1. Неопределенных входящих транзакций — неизвестный майнер (неопределенный риск)
2. Неопределенных исходящих транзакций — движение активов остановилось на неизвестном адресе (неопределенный риск)
Рис. 1 Построение визуализации в веб-версии от искомого адреса по индиректам
Direct Exposure (директы)
Директы — распределение активов по долям, которые размечены разными типами сущностей в пределах одного шага (прямыми входящими и исходящими транзакциями адреса).
Благодаря директам известна вся информация об адресе и связанных транзакциях в пределах одного шага, за исключением:
1. Неопределенных входящих и исходящих транзакций (отображается, как неопределенный риск)
Рис. 2 Построение визуализации в веб-версии от искомого адреса по директам
Risk Score (уровень риска)
Risk Score — показатель риска в процентах. Расчет Risk Score напрямую зависит от индиректов, и косвенно от директов, то есть при его расчете используется алгоритм, который учитывает как источник происхождения средств, так и сущности (отправителей, получателей средств).
Есть несколько уровней Risk Score, от которых зависит конечное решение о продолжении работы с просматриваемым адресом:
1. Высокий риск — помечен красным цветом, который означает, что данный адрес лучше не рассматривать для дальнейшей работы. Высокий риск включает несколько типов сущностей: даркнет-маркетплейс, сервис в даркнете, нелегальный сервис, скам, мошеннический обменник, азартные игры (гэмблинг), украденные активы, сервис-миксер, зловредное ПО, санкции, финансирование терроризма.
Высокий риск предполагает, что адрес и его входящие и исходящие транзакции, могут быть связаны с участием в нелегальной деятельности и преступных махинациях. Лицензированные сервисы не принимают активы, входящие с высокорисковых адресов.
2. Средний риск — помечен желтым цветом, который означает, что данный адрес и его транзакции являются подозрительными, и связаны с нелицензированными сервисами и обменниками. Средний риск включает несколько типов сущностей: банкоматы, нелицензированный обменник, нелицензированный P2P обменник, децентрализованный обменник.
Средний риск предполагает, что адрес и его входящие и исходящие транзакции, могут быть связаны с участием в полу легальной деятельности и около преступных махинациях. Лицензированные сервисы могут не принимать активы, входящие с подозрительных адресов.
3. Низкий риск — помечен зеленым цветом, который означает, что данный адрес является надежным, и связан с лицензированными сервисами, кошельками и честными участниками. Низкий риск включает несколько типов сущностей: онлайн кошелек, майнер, онлайн-маркетплейс, онлайн-кошелек, лицензированный P2P обменник, лицензированный обменник, награда\комиссия.
Низкий риск предполагает, что адрес его входящие или исходящие транзакции, могут быть связаны с участием в легальной деятельности. Лицензированные сервисы принимают активы, входящие с надежных адресов.
4. Неопределенный риск — помечен серым цветом, который означает, что данный адрес никак не определен. Неизвестный адрес может быть связан с неизвестным майнером или показывать, что движение активов остановилось на неизвестном адресе. Такой риск отображается в системе, как “Неопределенные”.
Неопределенный риск относится к рискам, которые сложно точно оценить или предсказать из-за отсутствия достаточной информации. Лицензированные сервисы принимают активы, входящие с адресов с неопределенным риском, при этом могут запросить подтверждение владения средствами.
Рис. 3 Уровни Risk Score и связанные с ними сущности (отправители/получатели)
Telegram-бот КоинКит
Telegram-бот представляет из себя помощника для мониторинга и принятия моментального решения о безопасности сделки, связанной с криптовалютами. Обозреватель Telegram-бота позволяет ввести в поисковую строку адрес или TXID. Бот дает результаты проверки кошелька или транзакции на основе данных, полученных с веб версии платформы (CoinKYT Web).
Для примера рассмотрим один из адресов и один TXID.
ETH Адрес (USDT)
Мы сделали запрос по юсдт кошельку 0xb0c134a377b9e8b952a40baa3982bb6f68cb4836:
Рис. 4 Результат проверки кошелька в Телеграм-боте
В результатах проверки отображаются сведения:
1. Общий риск (RS) — это общий показатель риска в процентах, который представляет из себя совокупность всех рисков по сущностям (отправителям/получателям средств). Общий риск формируется на основе индиректов.
2. Владелец — показатель, который отражает принадлежность адреса к известному участнику блокчейна, например, владельцем адреса может выступать Binance.
3. Тип — показатель, который при наличии информации о владельце адреса отображает информацию о роде деятельности владельца, например, для владельца Binance, типом будет лицензированный обменник.
4. Индиректы — распределение активов по долям, которые размечены разными типами сущностей в пределах неограниченного количества шагов.
Индиректы включают в себя уровни Risk Score, такие как:
1. Высокий риск;
2. Средний риск;
3. Низкий риск;
4. Неопределенный риск.
В Telegram-боте процент по каждому уровню Risk Score — это средневзвешенное значение входящих и исходящих индиректов. Например, Неопределенный риск, сущность Неопределенные составляет 30.94% в боте, соответственно при запросе по тому же адресу в веб-версии сущность Неопределенные будет 61,14%.
Рис. 5 Результат проверки ETH адреса (USDT) в веб версии платформы (индиректы)
Веб версия платформы (CoinKYT Web) позволяет рассмотреть не только индиректы адреса, но и директы. В данном случае, для юсдт кошелька 0xb0c134a377b9e8b952a40baa3982bb6f68cb4836, директы будут выглядеть следующим образом:
Рис. 6 Результат проверки кошелька в веб версии платформы (директы)
В результатах проверки адреса в Telegram-боте можно посмотреть только индиректы. При этом, если вы располагаете веб версией, то директы смогут показать вам есть ли подозрительные паттерны на адресе. Одного шага (директов) достаточно для того, чтобы понять взаимодействовал ли адрес с высокорисковыми сущностями (санкциями/миксерами/даркнетом, и т.п.), в случаях, когда эти сущности установлены. Можно сказать, что индиректы показывают “здоровье кошелька” в целом, а директы, есть ли конкретный опасный паттерн, на данный момент.
BTC транзакция
Мы сделали запрос по TXID транзакции в сети BTC 7e041083fbd80f41b510ea1b585ae134ca71512c13fd54c0e01977d826f91e8c:
Рис. 7 Результат проверки транзакции в Telegram-боте
В результатах проверки отображаются сведения:
1. Общий риск (RS) — это общий показатель риска в процентах, который представляет из себя совокупность всех рисков по сущностям (отправителям/получателям средств). Общий риск формируется на основе индиректов.
2. Отправитель и его Тип — владелец кошелька, с которого были отправлены средства, и его тип. Например, для владельца Binance, типом будет лицензированный обменник. Есть случаи, когда отправитель и его тип неизвестны.
3. Получатель и его Тип — владелец кошелька, который получил средства, и его тип. Например, для владельца Kraken, типом будет лицензированный обменник. Есть случаи, когда получатель и его тип неизвестны.
4. Количество неизвестных отправителей/получателей — общее число неизвестных отправителей/получателей средств.
5. Номер блока — номер блока, в котором находится транзакция.
6. Дата — дата и время совершения транзакции.
7. Индиректы — распределение активов по долям, которые размечены разными типами сущностей в пределах неограниченного количества шагов.
Индиректы включают в себя уровни Risk Score, такие как:
1. Высокий риск;
2. Средний риск;
3. Низкий риск;
4. Неопределенный риск.
В Telegram-боте при проверке транзакции процент по каждому уровню Risk Score — это средневзвешенное значение входящих и исходящих индиректов по всем связанных адресам. Например, Низкий риск, сущность Майнер составляет 0.07% в боте, соответственно в веб-версии есть адрес (адреса), у которых сущность Майнер будет 0.13% (или давать в совокупности близкое к этому значение).
Веб версия платформы позволяет узнать кошелек отправителя и следующих получателей средств, связанных с транзакцией. В данном случае при проверке транзакции, мы сможем перейти к каждому, связанному адресу, узнать Risk Score, рассмотреть распределение активов по индиректам и директам, и построить визуализацию движения средств.
Мы сделали запрос в веб версии по TXID транзакции в сети BTC 7e041083fbd80f41b510ea1b585ae134ca71512c13fd54c0e01977d826f91e8c:
Рис. 8 Результат проверки транзакции в веб версии платформы
Рассмотрим визуализацию транзакции в веб версии платформы:
Рис. 9 Визуализация движения средств на кошельках, связанных с транзакцией
В данном случае, мы видим, что вся масса средств была отправлена с адреса (3Eq2imQHj8oPJ4EHyudbrE2EukKkWJCjfo) нелицензированного обменного сервиса WW-Pay, и далее распределялась по кошелькам, принадлежащим другим владельцам. Например, можно установить, что часть средств была отправлена на адрес bc1qnf23tdf79e385qp88r55x7pl5l4st6q249c92y, откуда далее они передвигались на кошельки WhiteBIT, потом на кошельки Hydra, и после нескольких шагов, средства переместили на кошелек CoinsPaid.com.
Проверка и последующая визуализация транзакции может быть полезна для понимания откуда, как, куда и по каким кошелькам начали распределяться средства. Установление принадлежности средств, помогает в работе с любыми криптовалютными сервисами, так как это показывает были ли связаны средства конкретной компании с отмыванием денег, финансированием терроризма или другой преступной деятельностью.
Заключение
Мониторинг с помощью методов AML-аналитики является самым действенным для установления факта связи адреса или транзакции с незаконной деятельностью. В зависимости от выбора инструментов можно получить различные по наполняемости результаты, подходящие для принятия решений при работе с криптовалютами.
Важно правильно оценивать пригодность адреса для работы, и не допускать попадания “грязных” средств на свой кошелек. “Чистота” адреса напрямую влияет на успешное взаимодействие с лицензированными сервисами, а также позволит избежать неприятных вопросов от правоохранительных органов.
