3 errores de análisis de blockchain que bloquean las investigaciones forenses

Las cadenas de bloques actúan como un libro mayor, permanente y de búsqueda pública de casi todas las transacciones de criptomonedas, lo que permite a los investigadores rastrear el movimiento de fondos entre direcciones de criptomonedas, lo que simplemente no es posible con el dinero fiduciario.

Sin embargo, las direcciones de criptomonedas son seudónimos, por lo que los investigadores necesitan datos confiables que atribuyan estas direcciones a departamentos y organizaciones para obtener inteligencia procesable de los registros de transacciones de blockchain. Las asignaciones de direcciones incorrectas o faltantes y los malentendidos sobre cómo las empresas de criptomonedas administran los fondos pueden llevar a conclusiones erróneas. Por lo tanto, es importante que los investigadores utilicen las mejores herramientas de análisis de blockchain para limitar estos errores y realizar sus análisis. Aquí hay tres de los errores más comunes en las encuestas de criptomonedas.

Perderse en los mezcladores de criptomonedas

Los mezcladores son servicios que desdibujan el camino de los fondos al agrupar criptomonedas de múltiples usuarios y redistribuir a cada uno una cantidad igual a la que invirtieron inicialmente, menos una comisión de servicio. Todos terminan con una "combinación" de fondos que todos los demás han agrupado, lo que dificulta vincular las transacciones entrantes y salientes. Los delincuentes suelen utilizar mezcladores para tratar de encubrir los orígenes ilícitos de sus criptomonedas. Los mezcladores no son necesariamente un callejón sin salida en el análisis de blockchain: los investigadores a menudo pueden continuar rastreando fondos a pesar de que han pasado por estos servicios oscuros. Aún así, los investigadores deben ser conscientes de que se trata de un mezclador, lo cual solo es posible si utilizan una herramienta de análisis de cadena de bloques que haya marcado las direcciones en cuestión como pertenecientes a un mezclador.

Tomemos, por ejemplo, las transacciones recientes realizadas por un administrador de DarkSide, la cepa de ransomware detrás del ataque a Colonial Pipeline en mayo pasado. Se observa que poco después del ataque, el administrador transfirió fondos a una billetera intermedia, donde permanecieron hasta el 21 de octubre de 2021. En esta fecha, los fondos fueron trasladados a una segunda billetera intermedia y, aproximadamente una hora después, a una licuadora. . Es posible que veamos esta actividad porque previamente identificamos la dirección de recepción en la transacción final como perteneciente al mezclador en cuestión. Sin embargo, si los usuarios intentaran analizar esta transacción a través de un explorador de bloques o una herramienta de análisis de cadena de bloques que no catalogara la dirección de recepción como parte de un mezclador, no podrían entender lo que está pasando. En cambio, verían los fondos moviéndose a varias direcciones diferentes en rápida sucesión, en un patrón que se asemeja a una "cadena de pelado".

Una "cadena de pelado" es un modelo de transacción comúnmente observado en el análisis de blockchain, en el que los fondos parecen pasar a través de varias direcciones intermedias. En realidad, estas direcciones son parte de una billetera única y se crean automáticamente para recibir los fondos restantes de ciertas transacciones. En el caso de un mezclador no identificado, las direcciones intermedias son parte del mismo mezclador, no una billetera, que distribuye los fondos a nuevas direcciones también alojadas por el mezclador. Es probable que este modelo comercial haya ayudado a que la gente crea que las cadenas de pelado en sí mismas son una técnica de ofuscación para los delincuentes que buscan lavar criptomonedas. De hecho, aunque los ciberdelincuentes a menudo se aprovechan de la confusión que pueden causar a los investigadores, las cadenas de pelado son un patrón completamente normal de cómo se diseñan las billeteras de criptomonedas para recolectar el dinero de las transacciones. .

Si los investigadores utilizaron una herramienta de análisis de cadena de bloques que no catalogó las direcciones del mezclador utilizado por los administradores de DarkSide, es posible que hayan deducido que el movimiento de fondos del ransomware era simplemente parte de una "cadena Peel". Estos investigadores probablemente llegaron a la conclusión errónea de que los fondos de DarkSide se recolectaron en una o más billeteras autohospedadas, cuando en realidad se mezclaron y se enviaron al administrador de DarkSide en una nueva dirección. Estos investigadores también parecen haber seguido rastreando los fondos, fondos que ya no estaban bajo el control de los administradores de DarkSide, cuando salían del mezclador para terminar en servicios como los intercambios de criptomonedas. Esto podría haber resultado en citaciones erróneas, desperdiciando el tiempo y los recursos de los investigadores y académicos.

Intento de rastrear fondos a través de un servicio

Por lo tanto, los delincuentes a menudo mueven criptomonedas a través de billeteras intermediarias en un intento de poner a los investigadores en el camino equivocado. Estas transacciones son relativamente fáciles de rastrear con la mayoría de las herramientas de análisis, ya que los investigadores pueden confiar en la cadena de bloques para mostrarles qué nueva dirección recibió los fondos después de cada transacción. Sin embargo, las investigaciones se vuelven más delicadas cuando los fondos se transfieren a servicios como un intercambio porque es imposible rastrear dónde se envían los fondos después de llegar a una dirección de depósito alojada por un servicio. Blockchain solo, sin datos de atribución, ya no es una fuente confiable.

Esto se debe a la forma en que los servicios manejan las criptomonedas de los usuarios. Cuando alguien envía criptomonedas a su dirección de depósito a través de un servicio, no se queda ahí. Más bien, el servicio los mueve internamente, los agrega y los mezcla con fondos de otros usuarios según sea necesario. Por ejemplo, muchos intercambios de criptomonedas mantienen parte de los fondos depositados en monederos fríos desconectados de Internet por razones de seguridad. Esto también es válido en el mundo del dinero fiduciario: si depositas un billete de 20 euros en un cajero automático y retiras 20 euros una semana después, no recibirás el mismo billete depositado.

Las cadenas de bloques ya no rastrean los fondos una vez que se envían a un servicio, porque el propietario de la dirección de depósito generalmente no es quien los mueve. Solo el intercambio conoce los depósitos y retiros asociados con clientes específicos, y esta información se mantiene en registros de pedidos, invisible en cadenas de bloques o en plataformas de análisis de cadenas de bloques. Los investigadores novatos que usan exploradores de bloques o herramientas de análisis de cadenas de bloques sin este conocimiento a veces terminan enviando asignaciones erróneas solicitando información sobre bolsas de valores internas, lo que resulta en una pérdida de tiempo y recursos.

No se pueden identificar direcciones adjuntas a servicios anidados o proveedores de servicios comerciales

Los servicios anidados son servicios de criptomonedas que operan utilizando direcciones alojadas en intercambios más grandes para aprovechar la liquidez y las transacciones de esos intercambios. Los mercados extrabursátiles (OTC) son un ejemplo común, aunque muchos de ellos funcionan como servicios independientes. Los clientes de los proveedores de servicios comerciales operan de manera similar. Estos permiten a las empresas tradicionales aceptar criptomonedas como medio de pago de sus productos y servicios, al igual que las empresas de pago en el mundo del dinero fiduciario. Las empresas que utilizan proveedores de servicios son como los servicios anidados descritos anteriormente, ya que reciben criptomonedas utilizando direcciones alojadas por otra empresa. Esto significa que los investigadores pueden sacar conclusiones erróneas en las investigaciones de criptomonedas si rastrean una dirección que no está correctamente identificada como perteneciente a un servicio anidado o proveedor de servicios.

Vimos un ejemplo de esto en junio de 2021, cuando se reveló que las direcciones asociadas con la variedad de ransomware Ever101 habían enviado fondos a una dirección propiedad de RubRatings, un sitio para adultos que acepta pagos con criptomonedas. Esta información era falsa. De hecho, Ever101 había enviado fondos a una dirección de depósito alojada por un proveedor de servicios comerciales del cual RubRatings también era cliente. Los investigadores se equivocaron porque usaron una herramienta de análisis de blockchain que cometió el error de catalogar todas las direcciones en las billeteras del proveedor de servicios como pertenecientes a RubRatings, sin darse cuenta de que RubRatings estaba allí. 'uno de los muchos clientes que reciben fondos en direcciones alojadas por el proveedor de servicios. Este error podría haber llevado a las fuerzas del orden público a citar a RubRatings en lugar del proveedor de servicios, quien a su vez podría haber proporcionado más información sobre la cuenta usando la dirección en cuestión.

Los mapas necesitan subtítulos precisos

Debemos considerar la cadena de bloques como un mapa que muestra los movimientos de las criptomonedas. Esto es útil, pero por defecto, la cadena de bloques es un mapa donde no se etiqueta ningún país, lo que limita sus posibilidades de acción. Las plataformas de datos de cadena de bloques complementan este mapa al proporcionar los subtítulos necesarios para que los investigadores comprendan quién controla los fondos cuando se transfieren a una dirección específica. Si los subtítulos son inexactos, los investigadores pierden tiempo y recursos siguiendo pistas inexactas.

Los errores descritos anteriormente se reducen principalmente a una identificación incorrecta o faltante, y muestran por qué es tan importante que los investigadores evalúen el historial de los proveedores de análisis de blockchain en la asignación de direcciones de criptomonedas a buenos servicios. En última instancia, las herramientas de análisis de blockchain son tan efectivas como sus datos asociados.