Как отследить грязную транзакцию за 3 минуты: пошаговый разбор для трейдера

Проверка адреса контрагента показала зелёную оценку риска (risk score). Сделка на 15 000 USDT прошла. Через три дня Bybit заморозил вывод. Причина: средства, поступившие на адрес контрагента, двумя переводами ранее прошли через миксер. Адрес чистый, а транзакция нет.

Это разные проверки, и вторую большинство трейдеров не делают. В этом разборе расскажу о том, как за 3 минуты проследить цепочку любой транзакции до источника и прочитать то, что видит биржа, но не видите вы.

Ситуация стандартная для внебиржевых (OTC) трейдеров: контрагент проверен, адрес получил низкую оценку риска, сделка проведена. Потом биржа блокирует вывод.

Чтобы не попадать в такие ситуации, важно проверять не только адрес, но и саму транзакцию. Для этого можете использовать AMLBot, чтобы быстро проверить конкретный перевод по хешу перед сделкой, и Crystal Secure, чтобы глубже проанализировать цепочку движения средств и увидеть скрытые риски на уровне хопов. Проверка до отправки — это базовая гигиена, а не опция.

Дело в том, как работает скоринг противодействия отмыванию денег (AML) на стороне биржи. Binance, OKX, Bybit используют Chainalysis и Elliptic с корпоративным (enterprise) доступом. Эти системы проверяют не только адрес, с которого пришли средства, а разворачивают всю цепочку входящих транзакций на 5, 10, иногда 15 хопов назад.

Проверка адреса контрагента, которую делает трейдер перед сделкой, показывает общую оценку риска кошелька. Были ли взаимодействия с подсанкционными (sanctioned) адресами, миксерами, площадками даркнета. Если контрагент сам чист, оценка зелёная, и трейдер спокоен.

А дальше происходит вот что: контрагент получил 15 000 USDT от адреса, который получил их от другого адреса, а тот получил из миксера. Два хопа между контрагентом и грязным источником. Адрес контрагента при этом чистый, он не взаимодействовал с миксером напрямую. Но деньги, которые вы получили, имеют «грязную» историю. Биржа это видит через корпоративную аналитику. А вы, без проверки транзакции, нет.

AML-проверка работает на трех уровнях. Трейдер обычно ограничивается первым.

Уровень 1: адрес. Общая оценка риска кошелька. Показывает, с кем адрес взаимодействовал за всю историю. Если адрес новый или использовался только для легитимных переводов, оценка будет низкой. Проверка адреса контрагента в чистом виде: быстрая, но поверхностная.

Уровень 2: транзакция. Конкретный перевод и его путь. Здесь анализируется не кошелек, а откуда пришли средства в конкретном переводе. Один и тот же адрес может получить 10 USDT от друга и 10 000 USDT через цепочку от миксера. Адресная оценка будет средней. Транзакционная оценка второго перевода - красная.

Уровень 3: источник средств. Полная трассировка: откуда деньги пришли на адрес отправителя, откуда они пришли на предыдущий адрес. AML проверка транзакций на уровне биржи работает именно так. Корпоративные решения Chainalysis разворачивают граф на десятки хопов и видят всю историю средств.

Биржа проверяет все три уровня автоматически при каждом депозите. Трейдер, который проверяет только адрес, закрывает значительную часть рисков, но далеко не все. Остальное скрыто в цепочке транзакций.

Почему недостаточно? Потому что во внебиржевой среде контрагенты часто сами не знают историю средств, которые им поступили. Контрагент может быть полностью легитимным и при этом принять перевод от человека, который получил крипту из миксера тремя хопами ранее. Проверка средств контрагента на уровне адреса этого не покажет.

Конкретный пример. Контрагент ведёт внебиржевой деск, принимает по 20 переводов в день от разных клиентов. Один из этих клиентов получил средства через цепочку, которая включает миксер. Контрагент об этом не знает, его адрес чистый, клиент тоже выглядит легитимно. Вы получаете перевод от контрагента. Биржа разворачивает цепочку на 3 хопа и видит миксер. Заморозка. При этом ни вы, ни контрагент не сделали ничего незаконного.

Именно поэтому aml проверка источника средств на уровне транзакции, а не адреса, становится стандартной процедурой для профессиональных участников рынка.

15 000 USDT заморожены на бирже. Отдел соответствия (compliance) запрашивает подтверждение происхождения средств, начинается переписка.

Средний срок разблокировки при AML-флаге на крупных биржах (по данным кейсов и отраслевых отчётов, включая Chainalysis) составляет 7–30 дней, а в сложных случаях — до 60–90 дней. У Binance обычно 10–25 дней, у Bybit — 7–20 дней, у OKX — 14–30 дней; успешная разблокировка происходит примерно в 55–75% случаев при наличии подтверждения источника средств. Это не быстрый процесс, а полноценная комплаенс-проверка через тикеты с запросом документов и анализом транзакций.

Арифметика для внебиржевого трейдера с оборотом от 500 000 USDT в месяц. Одна заморозка на 2 недели: 250 000 USDT вне оборота. Плюс упущенные сделки. Плюс контрагенты, которые уйдут к другому. Потеря не только денег, но и доверия.

Для P2P-обменника расклад еще жестче. Каждая вторая сделка, с новым контрагентом. История адреса говорит мало: адрес мог быть создан вчера. Единственный способ оценить риск, проверить конкретную входящую транзакцию перед тем, как отправить свою часть сделки. Если контрагент отказывается предоставить хеш (hash) входящей транзакции для проверки, это само по себе красный флаг. Легитимному контрагенту нечего скрывать, хеш транзакции это публичная информация в блокчейне.

Есть ещё один сценарий, о котором не говорят. Заморозка на бирже иногда приводит к запросу документов идентификации клиента (KYC) не только по текущей транзакции, а по всей истории аккаунта. Отдел соответствия может запросить источники всех крупных депозитов за последние 6 месяцев. Если у вас нет скриншотов проверок и документации по прошлым сделкам, процесс затягивается на месяцы.

Стоимость одной проверки транзакции $1–3. Стоимость одной заморозки - недели простоя, сотни тысяч замороженных средств, репутационные потери. Проверка за $2 или заморозка за $250 000. Выбор, который не требует обсуждения.

Граф транзакций – это визуальная карта движения средств. Каждый узел - адрес. Каждая стрелка - перевод. Чем больше хопов видите, тем глубже трассировка.

Хоп. Один шаг в цепочке. Деньги прошли путь: миксер → адрес A → адрес B → адрес контрагента → ваш адрес. Четыре хопа от миксера до вас. Биржа это увидит. Вопрос в том, увидите ли вы?

Кластер. Группа адресов, которые AML-сервис определил как принадлежащие одной сущности. Биржа, обменник, миксер, даркнет-маркет, у каждого свой кластер. Когда на графе виден кластер с меткой «mixing service» в 2–3 хопах от вашей транзакции, это сигнал остановиться.

Красные метки на графе. Что должно насторожить при проверке транзакций USDT или любых других токенов:

Чтобы проверить транзакцию USDT TRC20 или ERC20, нужно увидеть этот граф и прочитать его. Не нужно быть аналитиком Chainalysis. Достаточно понимать три вещи: откуда пришли деньги, через сколько хопов, есть ли в цепочке красные метки.

Несколько практических правил чтения графа. Если все узлы в цепочке принадлежат известным кластерам (биржи, крупные обменники), это хороший знак. Если в цепочке есть «неидентифицированные» узлы между биржей и вами, это не обязательно плохо, но стоит проверить их входящие. Если видите узел с меткой «high risk» без конкретной категории, смотрите на его долю в вашей транзакции. Бывает, что AML-сервис присваивает жёлтую оценку из-за 0.5% средств из подозрительного источника, а 99.5% пришли из легитимных. Контекст решает.

Шаг 1. Получить хеш транзакции. Хеш, он же идентификатор транзакции (TXID), это уникальный код перевода в блокчейне. Для сети TRC20: открываете Tronscan, находите транзакцию, копируете идентификатор. Для ERC20: Etherscan. Для BEP20: BscScan. Хеш выглядит как длинная строка из букв и цифр, от 64 символов. Копировать нужно полностью, без пробелов. Частая ошибка: копировать не хеш транзакции, а адрес контрагента. Это разные строки.

Шаг 2. Вставить хеш в AML-сервис. Открываете Crystal Secure или AMLBot. В поле проверки выбираете «проверка транзакции» (Transaction check), а не «проверка адреса» (Address check). Это принципиально, так как проверка адреса покажет оценку риска кошелька, а вам нужна оценка конкретного перевода. Вставляете хеш и запускаете.

Шаг 3. Прочитать оценку риска транзакции. Сервис покажет оценку конкретного перевода. Зелёный - чисто. Жёлтый - есть вопросы, нужен граф. Красный - связь с высокорисковыми источниками. На этом этапе уже понятно, стоит ли копать глубже. Обратите внимание, что оценка может различаться у разных сервисов для одной и той же транзакции. Каждый сервис использует свою базу кластеров и алгоритмы оценки. Поэтому при крупных сделках имеет смысл проверить в двух сервисах.

Шаг 4. Открыть граф, проверить 2–3 хопа назад. При жёлтой или красной оценке открываете визуализацию графа. Смотрите, откуда пришли средства на адрес отправителя. Есть ли красные метки в 2–3 хопах. Если видите метки «mixer», «sanctioned», «darknet», сделку лучше не проводить. Или провести, но понимать, что биржа при выводе задаст вопросы.

Шаг 5. Принять решение до подтверждения сделки. Если проверяете входящую транзакцию от контрагента, делайте это до того, как отправите свою часть. Проверка хеш USDT занимает три минуты, а экономит недели ожидания.

Здесь не все однозначно. Жёлтая оценка не всегда означает отмену сделки. Если на графе виден один подозрительный узел в 4–5 хопах с долей менее 5% от суммы, многие трейдеры проводят сделку. Но фиксируют скриншот проверки и не отправляют средства сразу на биржу. Красная оценка с миксером в 1–2 хопах – это однозначный стоп. Между этими крайностями зона, где решение зависит от вашего аппетита к риску и суммы сделки.

Проверка транзакций USDT по хешу занимает меньше времени, чем чтение этого абзаца. Барьер не в сложности. Барьер в привычке проверять только адрес. Проверка хеша транзакции USDT экономит недели простоя при заморозке.

Два основных сервиса для трассировки транзакций, доступных частным пользователям: Crystal Secure и AMLBot. Сравниваем конкретно по функции трассировки.

Crystal Secure. Граф транзакций - развёрнутая визуализация. На бесплатном тарифе показывает 1–2 хопа. На платном: до 5–7 хопов с полным графом связей. Поддерживает Bitcoin, Ethereum, TRON и основные стейблкоины. Тарифы по запросу, продукт ориентирован на корпоративных клиентов. Сильная сторона: глубина графа и качество кластеризации. Интерфейс графа интерактивный, можно кликнуть на любой узел и увидеть его входящие и исходящие транзакции. Для тех, кто хочет видеть полную картину.

AMLBot. Проверка транзакции по хешу с оценкой риска и визуализацией графа. Бесплатно до 5 проверок в день, 1–2 хопа. Платные тарифы: до 200 проверок в месяц, глубина 3–5 хопов. Цена от $30/мес (точные тарифы на сайте сервиса). Сильная сторона - скорость, результат за 10–30 секунд. Для тех, кому нужна быстрая фильтрация.

Для внебиржевого трейдера с 10+ сделками в неделю платный тариф одного из сервисов – это рабочая необходимость. $2 за проверку транзакции контрагента при стоимости заморозки в сотни тысяч USDT. Арифметика, которая не требует калькулятора.

Оба сервиса дают доступ через программный интерфейс (API) на старших тарифах. Если проверяете 50+ транзакций в неделю, автоматизация через программный интерфейс экономит время и снижает вероятность пропустить проверку по забывчивости. Некоторые внебиржевые десклеры интегрируют проверку прямо в свой рабочий процесс: контрагент отправляет хеш, система автоматически проверяет и показывает результат. Ручной работы ноль.

Проверить адрес перед переводом - первый шаг, но не единственный. Ниже компактный чеклист, забирайте и используйте.

1. Проверка адреса контрагента (общая оценка риска кошелька)

2. Запрос хеша последних 3 входящих транзакций контрагента. Проверить каждую на 2–3 хопа

3. Если контрагент новый, проверить возраст адреса и количество транзакций. Свежий адрес с одной входящей от неизвестного источника - повод для дополнительной проверки

4. AML-аудит источника средств (есть ли на графе миксеры, тамблеры, подсанкционные адреса в 3 хопах)

5. Получив хеш входящего перевода от контрагента, проверить транзакцию до подтверждения своей части

6. Зафиксировать оценку риска и скриншот графа. Это ваше доказательство комплексной проверки (due diligence)

7. Сохранить скриншот проверки в архив. Если биржа запросит подтверждение происхождения средств, у вас будет документация

8. Перед выводом на биржу проверить всю цепочку повторно. AML-политики бирж обновляются, и то, что было зелёным месяц назад, может получить жёлтую оценку сегодня

9. Вести журнал проверок: дата, хеш, оценка, скриншот. При обороте 500 000+/мес это не паранойя, а стандартная операционная процедура

Девять пунктов. Три минуты на каждую проверку. Для трейдера с регулярным объемом сделок это не бюрократия, а стоимость спокойной работы. Вложение времени, которое окупается первой же предотвращенной заморозкой.

Проверка адреса показывает общую оценку риска кошелька за всю его историю. Проверка транзакции анализирует конкретный перевод: какие средства в нём участвовали, через сколько хопов они прошли, есть ли в цепочке связь с миксерами или подсанкционными адресами. Адрес может быть чистым, а конкретная транзакция на этот адрес грязной.

Скопировать идентификатор транзакции из блокчейн-эксплорера Tronscan, вставить в AML-сервис (Crystal или AMLBot), выбрать режим проверки транзакции. Результат, оценка риска и граф цепочки, появится за 10–30 секунд. Проверка транзакции USDT TRC20 по хешу доступна и на бесплатных, и на платных тарифах.

Бесплатные тарифы показывают 1–2 хопа. Платные: до 5–10 хопов с полным графом связей. Биржи с корпоративным доступом к Chainalysis проверяют глубже. Для трейдера проверка на 3–5 хопов покрывает основные риски. На практике большинство «грязных» источников обнаруживаются в первых 3 хопах, потому что схемы дробления и миксеры создают характерные паттерны, которые видны сразу.

Нет. Проверка возможна только по хешу уже совершённой транзакции. Но до отправки своих средств можно проверить адрес отправителя и его последние входящие транзакции. Это даёт представление о «чистоте» источника до того, как вы примете решение о своей части сделки.

Хоп — один шаг в цепочке переводов. Пример: средства прошли миксер → адрес A → адрес B → ваш адрес. Ваша транзакция, три хопа от миксера. Чем больше хопов между вами и грязным источником, тем ниже формальная оценка риска. Биржи умеют смотреть глубоко, и дистанция в хопах не гарантирует безопасности.

Да. Binance, OKX и Bybit используют Chainalysis и Elliptic с корпоративными лицензиями. Глубина трассировки, количество отслеживаемых кластеров и точность кластеризации у них выше. Задача трейдера не повторить анализ биржи, а отсеять явные красные флаги до того, как средства попадут на биржевой кошелёк.

Бесплатные лимиты есть (1–5 проверок в день в зависимости от сервиса). Для трейдера с объемом от 10 сделок в неделю этого не хватит. Платные тарифы: $30–100/мес за 50–200 проверок. В пересчете на одну проверку $0.5–2. Цена заморозки на бирже - десятки тысяч USDT и недели простоя. Расчет однозначный.

Проверка адреса контрагента - это необходимый, но недостаточный уровень AML-проверки. Адрес показывает общую оценку риска кошелька, а не историю конкретного перевода.

AML проверка транзакций анализирует конкретный перевод, откуда пришли средства, через сколько хопов, есть ли в цепочке миксеры или подсанкционные адреса. Биржа делает это автоматически при каждом депозите.

Проверка средств контрагента на уровне транзакции занимает 3 минуты: скопировать хеш, вставить в AML-сервис, прочитать оценку риска и граф на 2–3 хопа назад. Стоимость $1–3 за проверку.

Средний срок заморозки при AML-флаге на бирже, по данным участников рынка от 14 до 45 дней. Для трейдера с оборотом от 500 000 USDT/мес одна заморозка означает сотни тысяч вне оборота и упущенные сделки.

Красные флаги на графе: миксеры, тамблеры, подсанкционные адреса, пилообразные паттерны дробления в 2–3 хопах от вашей транзакции. Если видите такое, решение нужно принимать до подтверждения сделки, не после.

Девять пунктов чеклиста «до / во время / после» превращают разовые проверки в систему. Проверка стоит $2, а заморозка стоит недели.

Возьмите хеш последней крупной входящей транзакции на ваш кошелек и проверьте прямо сейчас.

Когда вы в последний раз проверяли не адрес, а саму транзакцию?