.png&w=384&q=75)
В блокчейн системах мониторинга и при расследовании инцидентов, связанных с мошенничеством и кражами криптовалют, ключевое значение имеет оперативность, позволяющая предотвратить дальнейшие потери. Для решения этой задачи существуют различные инструменты и подходы. Большинство из них основано на методах машинного обучения и графового анализа [1]. Есть и системы, работающие с помощью правил, однако не обладают должной гибкостью в настройке.
На практике важна интерпретируемость результатов, которая позволяет аналитику не только получить оценку риска, но и понять, на каких именно признаках она основана. Это особенно критично в центрах управления безопасностью (SOC), где решения о блокировке средств, уведомлении клиента или передаче материалов в правоохранительные органы требуют чёткого обоснования [2, с. 137-141].
В данной работе предлагается антифрод-методика, которая позволяет выявлять признаки нелегитимности транзакции и формировать прозрачную, объяснимую оценку риска. Методика основана на комбинации статистического отбора признаков (метод взаимной информации) и экспертного взвешивания параметров (метод анализа иерархий Саати).
Методика позволяет не только выявлять нелегитимные транзакции, но и объяснять, почему они были классифицированы как подозрительные, что соответствует требованиям FATF и 115-ФЗ к документированию подозрительных операций, а также выполняет задачи мониторинга событий безопасности, адаптированные под среду блокчейна требования ГОСТ Р 59547-2021 и ГОСТ Р 59712-2022 [3, 4, 5, 6].
В данной работе на первом этапе признаки были выявлены благодаря анализу синтетической базы данных транзакций «Crypto Scam Transaction Dataset» [7], содержащей 20 000 транзакций, 18 признаков и метку нелегитимности. Веса параметров были рассчитаны написанной для этого программой, считающей вклад каждого параметра методом взаимной информации. Таким образом, были выделены следующие лидирующие признаки нелегитимности, у которых вес был наибольшим: кросс-чейн переходы, возраст кошелька получателя, доля неуспешных транзакций.
Данные признаки были дополнены некоторыми параметрами, описывающими нелегитимную деятельность, взятыми из рекомендаций FATF [3]. В итоге была составлена матрица из следующих параметров: прямой контакт с мошенническими адресами, взаимодействие с инструментами анонимизации, кросс-чейн переходы, возраст адреса, скорость потока транзакций, доля неуспешных транзакций, сумма относительно баланса криптокошелька, нетипичное время транзакции, аномально высокая комиссия.
Так как были добавлены признаки, которых не было в изначальной базе данных, необходимо было заново определить их веса. Под весом подразумевается количественная оценка роли параметра в принятии решения он нелегитимности транзакции. Веса распределяются экспертным методом принятия решений или, как он еще называется, методом Саати.
Результатом анализа является матрица, представленная в таблице 1:
Таблица 1
Матрица верификации нелегитимности транзакции
Параметр | Описание аномалии | Вес | Обоснование веса |
Прямой контакт с мошенническими адресами. | Транзакция содержит адреса из санкционных списков. | 0,25 | Прямой признак наличия инфраструктуры нарушителя. Является фундаментом для признания угрозы актуальной. |
Взаимодействие с инструментами анонимизации. | Взаимодействие с миксерами и т. п. | 0,21 | Признак реализации тактики сокрытия следов и обхода мер защиты. |
Кросс-чейн переходы. | Использование инструментов для смены платформы. | 0,13 | Непрямой признак реализации тактики сокрытия следов и обхода мер защиты. |
Возраст адреса. | Активация менее чем за 2-3 дня до операции. | 0,12 | «Одноразовые» кошельки часто используются злоумышленниками. |
Скорость потока транзакций. | Высокая частота транзакций за короткий интервал. | 0,08 | Классический признак автоматизированных дрейнинг-скриптов. Индикатор использования автоматизированных сценариев. |
Доля неуспешных транзакций. | Аномальный рост доли неуспешных транзакций. | 0,06 | Неуспешные транзакции выступают «шумом» или побочным эффектом активности злоумышленников. |
Сумма относительно баланса криптокошелька. | Транзакция выводит> 90% баланса. | 0,08 | Типичный паттерн кражи – вывод большей части средств. |
Аномально высокая комиссия. | Комиссия в несколько раз выше рынка. | 0,04 | Попытка опередить систему защиты и быстрее вывести средства. |
Нетипичное время транзакции. | Активность в нетипичное время (согласно истории профиля). | 0,02 | Аномалия профиля. Используется для уточнения контекста и снижения вероятности ложноположительных срабатываний. |
Последним этапом разработки методики является определение порогов риска в соответствии с формулой расчета уровня риска (1). Это необходимо для введения методики в работу SOC.
, (1)
R – уровень риска угрозы (в интервале [0; 1]);
– вес i-го параметра, определяющий его вклад в общую оценку;
– бинарный индикатор обнаружения аномалии (1 – признак выявлен, 0 – признак отсутствует);
n – общее количество анализируемых параметров.
Низкий уровень риска (R < 0,21) включает комбинации второстепенных признаков, без участия ключевых факторов.
Средний уровень риска (0,21 ≤ R < 0,46) соответствует наличию одного из лидирующих признаков без второго, либо комбинации нескольких второстепенных признаков. Транзакции в этом диапазоне требуют ручной проверки для уточнения наличия признаков возможного инцидента.
Высокий уровень риска (R ≥ 0,46) формируется при наличии обоих топ-признаков или одного топ-признака в сочетании с второстепенными. Такой уровень указывает на явную нелегитимность транзакции и соответствует критическим показателям, при которых вероятность наличия инцидента высока.
Была проведена апробация методики, результаты которой приведены в таблице 2.
Таблица 2
Результаты апробации
Тип | Количество | Низкий риск | Средний риск | Высокий риск |
Мошеннические | 10 | 1 | 5 | 4 |
Легитимные | 10 | 10 | 0 | 0 |
Все легитимные транзакции получили низкий уровень риска, однако одна мошенническая транзакция, связанная с «пылевой» атакой, не была выявлена. Это связано с тем, что предложенные паттерны нелегитимности не могут зафиксировать транзакцию как мошенническую, если пользователь совершил её как полностью легитимную, но перепутал адрес кошелька.
Разработанная методика является эффективным и гибким инструментом для выявления мошеннических криптовалютных транзакций, который может быть внедрён в SOC финансовых организаций. Она сочетает точность статистического анализа с прозрачностью экспертных оценок, что позволяет аналитикам не только оперативно реагировать на угрозы, но и обосновывать принятые решения в соответствии с требованиями регуляторов.
.png&w=640&q=75)
