Par l’équipe d’enquêtes spéciales de Coinbase
Dans notre dernier article, nous avons parcouru les bases de l’analyse et de l’attribution de la blockchain. Dans cet article de suivi, nous démontrerons à quel point l’analyse de la blockchain est puissante et à quel point elle peut devenir délicate à grande échelle. Nous commencerons par examiner certaines des méthodes courantes de mise à l’échelle de l’analyse de la blockchain utilisées pour renforcer les programmes de conformité ainsi que pour renforcer les contrôles des sanctions.
1. Dépenses communes
Le logiciel d’analyse de la blockchain repose sur la détection de modèles de certaines activités d’adresse, appelées heuristiques. La principale heuristique appliquée à toutes les blockchains UTXO (Unspent Transaction Output, comme Bitcoin, Litecoin et leurs forks) est la dépense commune heuristique.
Cela fonctionne comme suit : prenez l’adresse suivante 1P354Tw8VaSteYph84ext3f4fAYnSJQGuZ, comme on le voit dans cette vidéo Youtube impliquant un dépôt à LocalBitcoins. Donc, nous savons que cette adresse appartient à LocalBitcoins et est l’adresse de dépôt d’un individu.
Dans cette transaction, nous voyons que notre adresse LocalBitcoins apparaît comme l’une des entrées :
Puisque nous savons que 1P354Tw8VaSteYph84ext3f4fAYnSJQGuZ appartient à LocalBitcoins et parce que nous savons que pour que cette adresse et d’autres dépensent des fonds ensemble dans le même hachage de transaction (c’est-à-dire des entrées), l’expéditeur doit avoir toutes les clés privées pour chaque adresse d’entrée. Nous pouvons donc déduire que toutes les adresses d’entrée de cette transaction appartiennent à LocalBitcoins. Ainsi, toutes les adresses d’entrée appartenant aux Bitcoins locaux peuvent être regroupées.
Certains explorateurs de blocs appliquent automatiquement l’heuristique des dépenses courantes à leur analyse. Par exemple, si vous regardez notre adresse d’origine dans CryptoID ou WalletExplorer, vous verrez qu’elle appartient à un cluster de plus de 990k adresses.
Cette heuristique reste la pierre angulaire de l’analyse de la blockchain. En fait, les outils d’analyse de blockchain les plus populaires appliquent déjà l’heuristique des dépenses courantes à toutes les adresses Bitcoin avant même de savoir quelles sont les attributions pour les adresses.
Mais les heuristiques, même aussi simples que les dépenses courantes, ne sont pas toujours fiables.
2. Les dépenses courantes ne sont pas toujours courantes
Alors, quand l’heuristique des dépenses courantes ne s’applique-t-elle pas ? Considérez cette transaction :
La transaction ci-dessus a plusieurs entrées et également plusieurs sorties. Il s’agit d’un type de transaction plus complexe, appelé coinjoin. Plusieurs utilisateurs qui ne se connaissent pas nécessairement peuvent décider de participer ensemble à une transaction de coinjoin, mettant en commun tous leurs fonds. Cela se fait souvent par le biais de logiciels de confidentialité dédiés tels que les portefeuilles Samourai ou Wasabi.
Coinjoin ci-dessus conduit à l’obscurcissement des fonds via des adresses de sortie apparemment aléatoires. Cela rend également inefficace toute analyse basée sur les dépenses communes, même si chaque partie qui a participé au coinjoin reçoit toujours la même quantité de Bitcoin qu’elle a initialement mise (moins les frais payés au service). Démixer de telles transactions est difficile (mais pas toujours impossible), et ce n’est qu’un exemple de la lutte contre les dépenses courantes.
3. Tout rassembler
Maintenant que nous avons appris la vérité sur le terrain, la qualité des preuves, les déconflictions, les erreurs d’attribution et ce qu’est la dépense courante, voyons comment cela se combine pour identifier les adresses appartenant à des entités illicites, comme ces 25 000 dont nous avons parlé dans notre article de blog précédent.
L’Office of Foreign Assets Control (OFAC) – une agence de régulation aux États-Unis chargée de l’application des sanctions – a publié un avis désignant une centaine d’adresses, ainsi que les entités auxquelles elles appartiennent. Alors, comment sommes-nous passés de moins d’une centaine à plus de 25 000 adresses ?
3E7YbpXuhh3CWFks1jmvWoV8y5DvsfzE6 était l’une des adresses désignées par l’OFAC comme appartenant à Chatex — le bot Telegram russe qui permet aux utilisateurs d’échanger des cryptos :
Un site Web officiel du gouvernement est une source d’informations assez fiable, ce qui nous donne confiance dans la qualité des preuves. Maintenant, nous devons évaluer chaque adresse pour déterminer si elle fait partie d’un plus grand groupe d’adresses (par exemple un cluster) contrôlé par une entité. En utilisant l’heuristique de la dépense commune, nous pouvons associer 3E7YbpX…vsfzE6 adresse avec un groupe de plus de 25k adresses. Vous pouvez également vérifier cela en utilisant un explorateur de blocs public, tel que CryptoID :
Après quelques vérifications supplémentaires, nous avons confirmé que toutes ces adresses appartiennent à Chatex. Et puisque l’entité a été sanctionnée par l’OFAC, nous sommes tenus de bloquer les transactions respectives. Il convient de noter que notre liste d’adresses bloquées est beaucoup plus longue. Il comprend d’autres entités sanctionnées ainsi que des personnes désignées. Nous nous engageons également dans un travail proactif pour identifier les activités sanctionnées provenant de diverses juridictions, y compris la Russie. Mais c’est un sujet pour un autre blogspot…