В основі біткоїна — відкритий реєстр, тому за належної навички будь-який переказ можна простежити від адреси до адреси. З цього виросла ціла індустрія: трейдери відстежують китів і притоки на біржі, експерти з блокчейн-форензики допомагають повернути викрадене, комплаєнс відсіює «брудні» монети.

У цьому гайді покроково розберемо, як аналізувати транзакції вручну, як поставити роботу на потік за допомогою інструментів та автоматики, а також чому навіть найбільш просунутий трейсинг дає ймовірність, а не стовідсоткову відповідь.

Базові визначення та ринкові метрики залишимо за дужками — для них є окремий матеріал у форматі карток.

Частина 1. Аналізуємо транзакції вручну

Крок 1. Знаходимо транзакцію за TXID

У кожного переказу в блокчейні є унікальний ідентифікатор — TXID, хеш транзакції. Це довгий рядок, зазвичай із 64 символів, який мережа отримує, проганяючи всі дані переказу — входи, виходи, суми й підписи — через алгоритм SHA-256.

Підробити такий хеш практично неможливо: найменша правка даних дає зовсім інший рядок, тому двох однакових TXID не буває. По суті це «номер чека», за яким операцію знайде й перевірить будь-який вузол мережі.

Спосіб отримати хеш залежить від того, що вже є на руках:

• якщо переказ уже здійснено — його можна відкрити в історії гаманця або біржі. Поруч з операцією зазвичай є посилання на кшталт «Подивитися в оглядачі»: воно веде на сторінку транзакції, де ідентифікатор зазначений повністю;
• якщо ж на руках лише адреса відправника або отримувача — її вставляють у рядок пошуку будь-якого блокчейн-оглядача (експлорера). Відкриється історія адреси з усіма переказами; потрібну транзакцію можна впізнати за сумою та датою, а її хеш — знайти на сторінці самої транзакції.

Крок 2. Розбираємо будову транзакції: входи, виходи та решта

На відміну від банківського рахунку, біткоїн не зберігає баланс єдиним числом. Мережа працює за моделлю UTXO (unspent transaction output, невитрачений вихід транзакції): кошти існують як окремі «купюри» різного номіналу, а гаманець зберігає лише ключі до них. Доступний баланс — сума всіх таких виходів, які контролює власник.

Витратити «купюру» частково не можна. Під час оплати такий вихід іде в транзакцію цілком, а натомість мережа створює два нові: один — отримувачу, другий — решту назад відправнику на свіжу адресу.

Візьмемо приклад. В Аліси є вихід на 5 BTC, і вона переказує Бобу 0,01 BTC. У блокчейні з'являються вхід на 5 BTC, платіж 0,01 BTC і решта ~4,99 BTC (за вирахуванням комісії).

Будь-який спостерігач може побачити всю операцію через експлорер — «круглий» платіж легко відрізнити від «дробової» решти. На цій ознаці побудовано визначення адреси решти в блокчейн-форензиці.

Крок 3. Перевіряємо підтвердження та мемпул

Надіслана транзакція потрапляє в блокчейн не миттєво. Спершу переказ опиняється в мемпулі — спільній черзі операцій, що очікують на включення в блок. На цьому етапі можливі затримки: майнери зазвичай віддають пріоритет операціям з вищою комісією, тому за надто низької переказ може надовго залишитися в черзі.

Щойно операція потрапляє в блок, у неї з'являється перше підтвердження. Після включення запису в блок вона отримує перше підтвердження. З кожним наступним рівень надійності зростає, а ймовірність скасування стає дедалі нижчою. Для невеликих сум зазвичай достатньо одного-двох підтверджень, тоді як для великих платежів прийнято чекати шість.

За хешем за цим зручно стежити в реальному часі: експлорер покаже, чи висить переказ у черзі, в який блок потрапив, скільки набрав підтверджень і яку комісію заплатив відправник. Якщо операція надовго застрягла, та сама сторінка підкаже причину — найчастіше це занижена комісія.

Крок 4. Простежуємо шлях монети

Кожен вхід нової операції посилається на конкретний вихід однієї з попередніх — за її хешем, причому входів і виходів у неї може бути одразу кілька. Тому перекази складаються не в один ланцюжок, а в розгалужену мережу: монети в ній сходяться й розходяться між адресами.

Цією мережею рух коштів можна простежити в обидва боки — уперед до нових адрес і назад, аж до coinbase-транзакції, у якій вони вперше з'явилися як винагорода за здобутий блок.

На практиці аналітик іде за адресами виходу й дивиться, куди кошти пішли далі. Потім повторює те саме з новими адресами — крок за кроком, доки не складеться повний ланцюжок.

Так на блокчейні проступають характерні маршрути: переказ на біржу, дроблення великої суми на частини або виведення викраденого через кілька проміжних гаманців.

Приклад: у 2025 році адреса раннього інвестора вперше проявила активність після 13 років бездіяльності, переказавши 909 BTC (близько $85 млн) на новий гаманець. Ці монети були отримані ще у 2012–2013 роках, коли ціна біткоїна не перевищувала кількох доларів.

Такий переказ видно в будь-якому експлорері: достатньо відкрити адресу, пройти ланцюжками виходів і побачити, куди далі рушили кошти.

Частина 2. Ставимо аналіз на потік

Ручний розбір добрий, коли транзакцій одна-дві. Але реєстр поповнюється щосекунди, і тисячі переказів очима не охопити.

Тут на зміну приходить автоматика: програми самі запитують дані з мережі, рахують показники й надсилають сповіщення в потрібний момент. Розберемо три її рівні — доступ до даних, аналітику та моніторинг.

Крок 5. Підключаємося до даних через API

Перший рівень — програмний доступ до блокчейну через API нод та експлорерів. Це інтерфейс, за допомогою якого скрипт запитує ті самі відомості, які ми раніше могли бачити на сторінці переказу (але без участі людини й у будь-якому обсязі).

У сервісу mempool.space є два варіанти на вибір. REST API відповідає на разові запити: статус транзакції, баланс адреси, стан мемпулу. WebSocket API тримає постійне з'єднання й сам надсилає оновлення — можна підписатися на адресу й отримувати сигнал щоразу, коли по ній проходить новий переказ.

Для масових перевірок підійдуть Blockchair і Bitquery: вони віддають дані одразу по багатьох адресах і підтримують вебхуки.

Крок 6. Автоматизуємо аналітику

Другий рівень — платформи, які дозволяють написати запит один раз і отримувати готовий дашборд замість разового результату.

На Dune дані блокчейну запитують мовою SQL і виводять на графіки; звіт за біржовими потоками, активністю китів або топ-холдерами оновлюється сам, без повторного запиту.

Схожим чином улаштований Flipside — у нього є й безкоштовний Python-SDK, через який дані можна тягнути прямо в користувацькі скрипти.

Ключова відмінність від ручного методу проста: запит пишеться один раз, а працює постійно. Раніше аналітик щодня переглядав графік — тепер є дашборди, які оновлюються самі.

Крок 7. Налаштовуємо моніторинг та алерти

Третій рівень — сповіщення замість ручного оновлення сторінки. Зв'язка «API плюс бот» стежить за потрібними адресами й надсилає сповіщення, щойно кошти приходять або йдуть. Так працюють і публічні оповіщення про великі угоди китів, і приватні алерти, наприклад про виведення монет із конкретного гаманця.

Базовий набір можна налаштувати й без програмування: платформи на кшталт Arkham пропонують готові оповіщення про перекази та активність китів, які приходять на пошту або в застосунок. Тим, кому потрібна власна логіка обробки події, підійдуть вебхуки — вони автоматично надсилають сповіщення на сервер у разі настання заданої події.

Частина 3. Трейсинг та його межі

Крок 8. Як працює блокчейн-форензика

Вершина автоматизації — трейсинг викрадених монет і розслідування транзакцій. Форензик-рушії повторюють логіку ручного аналізу, але застосовують її в масштабі всієї мережі.

В основі цієї технології лежить кластеризація адрес за евристиками, тобто правилами-припущеннями; дві з них особливо важливі:

• спільний вхід: якщо в одній транзакції витрачаються кілька UTXO, їх з високою ймовірністю контролює один власник;
• визначення адреси решти: за ознакою з Кроку 2 — круглий платіж проти дробової решти — рушій обчислює, який із виходів повернувся відправнику.

Поверх кластеризації додають розпізнавання типових схем відмивання. Це, наприклад, дроблення сум або «пілінг» — коли від великого гаманця раз за разом відщипують невеликі порції.

Далі йде оцінка ризику й атрибуція: прив'язка кластерів до реальних бірж, сервісів або осіб. Цим займаються й комерційні платформи (Chainalysis, TRM, Elliptic), і відкриті рушії (GraphSense, BlockSci).

Крок 9. Чи можна довіряти автоматиці

У автоматичного аналізу є принципове обмеження. Кластеризація дає ймовірність, а не факт. Евристики помиляються: наприклад, технологія CoinJoin спеціально об'єднує в одній транзакції UTXO різних користувачів, через що правило спільного входу дає осічку.

Знизити ризик витоку даних можна й вручну. Функція Coin control у гаманцях (наприклад, Sparrow або Trezor Suite) дозволяє самому обрати, який UTXO витратити: підібрати вихід під суму платежу й не змішувати в одній транзакції монети з різних джерел. Так зменшується решта й не спрацьовує евристика спільного входу — ті самі зачіпки, на яких будується кластеризація.

Біткоїн забезпечує не анонімність, а псевдонімність — слабшу властивість, яку наполегливий аналіз часто «пробиває», але не завжди: результат залишається оцінкою, хай і добре обґрунтованою. Як підкреслюють у Chainalysis, евристики атрибуції дають імовірнісний результат, а не визначеність, тому оцінка ризику — це лише основа для рішення аналітика, а не вердикт.

Звідси практичний висновок. Варто розрізняти автоматичне групування адрес і перевірену людиною атрибуцію: перша — гіпотеза, друга — висновок. Результат оцінки ризику — привід придивитися до адреси, а не вирок її власнику.

***

Відкритий реєстр робить кожен біткоїн-переказ простежуваним — на цьому будується весь ончейн-аналіз. Для ручної роботи достатньо бази: знати, що таке TXID, розуміти модель UTXO і механіку решти, читати входи, виходи й підтвердження в експлорері. Цього вистачає, щоб пройти ланцюжками транзакцій і побачити, куди рушили кошти.

Автоматика у вигляді API, SQL-дашбордів і ботів не прибирає потреби в цій базі — вона просто масштабує роботу: те, що аналітик робить руками з однією транзакцією, інструменти повторюють для всієї мережі.

На вершині стоїть форензика з кластеризацією та оцінкою ризику. Однак вона спирається на ймовірнісні евристики, а тому дає гіпотези, а не докази.

Освоювати тему логічно знизу вгору: спершу експлорер, потім API та дашборди, і лише потім — спеціалізовані інструменти ончейн-аналітики. При цьому що глибший трейсинг, то важливіше відрізняти ймовірне від доведеного.

Джерело: ForkLog