Chainalysis – афера у галузі криміналістичного аналізу блокчейну?

Після того, як голові відділу розслідувань Chainalysis Елізабет Бісбі довелося визнати відсутність наукових доказів точності програмного забезпечення Reactor від Chainalysis, експерти фірми зі спостереження за блокчейном CipherTrace вказали на недоліки в аналізі, здійсненому Chainalysis.

Експертний звіт, поданий 8 серпня у справі США проти Стерлінгова, розкриває низку помилок в експертному звіті Бісбі, а також неточності в евристиках, застосованих програмним забезпеченням Reactor від Chainalysis.

Reactor – це інструмент спостереження за блокчейном, який використовується для відстеження коштів у блокчейні для правоохоронних цілей. Широке використання Reactor від Chainalysis може становити серйозну загрозу демократичному правосуддю, якщо висновки, отримані завдяки використанню цього програмного забезпечення, виявляться необґрунтованими.

Роман Стерлінгов – один із перших послідовників Біткоїна, звинувачений в управлінні кастодіальним Біткоїн-міксером Bitcoin Fog; з 2021 року очікує суду у в'язниці штату Вірджинія. Стерлінгова захищає Тор Екеланд, який нині заперечує висновки Chainalysis Reactor у суді. На думку Екеланда, Chainalysis – це Theranos у сфері блокчейн-криміналістики. Як показують численні експертні оцінки результатів Chainalysis у цій справі, він, схоже, не помиляється.

У експертному звіті, метою якого є визначити обґрунтованість звинувачень, висунутих проти Стерлінгова щодо відстеження коштів, Джонель Стілл, директор із розслідувань та розвідки CipherTrace, описує використання поведінкової евристики кластеризації Chainalysis як «безрозсудне».

Поведінкова евристика кластеризації Chainalysis спрямована на виявлення закономірностей у структурі чи термінах транзакцій для ідентифікації конкретного програмного забезпечення гаманця. Досліджуючи шаблони транзакцій гаманця, Chainalysis застосовує алгоритми кластеризації для зіставлення адрес, що належать сервісу.

У випадку з Bitcoin Fog розбіжність у точності за підрахунками CipherTrace становить приблизно 64% для поведінкової евристики кластеризації, яку Стіл описує як надмірно інклюзивну. Неточність евристики Chainalysis у цьому випадку посилюється послідовними запусками спільного витрачання та поведінковою евристикою, що призводить до ще більш ненадійних результатів.

«Примітно, – продовжує Стілл у своєму звіті, – що евристики з найвищим заявленим рівнем точності, FindNext і FindNext2, не змогли знайти зв'язок між транзакціями Mt Gox [Стерлінгова] та Bitcoin Fog». На відміну від поведінкової кластеризації, евристика FindNext здатна забезпечити рівень помилкового виявлення, всього 0,62% і 0,02% відповідно.

CipherTrace, до партнерів якої входять ізраїльська фірма цифрової криміналістики Cellebrite, а також південноафриканська розвідувальна фірма з відкритим вихідним кодом Maltego, утримується від використання поведінкової кластеризації, що застосовується Chainalysis, оскільки вона «не є неправдивим уявленням про потік коштів у ланцюжку», що робить її неточною та схильною до помилок.

Стілл також критикує використання кластеризації одного об'єкта, в якому коренева адреса призначається об'єкту, «яка може бути, а може і не бути правильною адресою, яка брала участь у здійсненні транзакції». Таке «згрупування» даних вважається таким, що не піддається перевірці та може призвести до безлічі помилок відстеження, у тому числі вищу ймовірність хибнопозитивних і негативних результатів.

Згідно зі звітом, «Правоохоронні органи та інші клієнти Chainalysis звернулися до CipherTrace з цього питання та висловили розчарування через помилки, які вони виявили при використанні Reactor від Chainalysis».

Крім того, Стілл додатково склав невичерпний список помилок в експертному звіті Бісбі, наприклад, використання бітів замість байтів, що призводить до неправильних математичних припущень, а також численні очевидно неправильні ідентифікації адрес для отримання решти. У звіті також згадується відсутність типів сценаріїв, таких як P2PK, P2MS, P2WSH або P2TR, а також неправильне твердження про те, що «адреса SegWit починається з 3», яке також ідентифікує адреси P2SH.

Посилаючись на відсутність цілісності даних, Стілл вважає, що існують «сотні мільйонів неперевірених даних», які «можуть вимагати повторного розгляду» інших справ.

Щоб захистити цілісність даних у ході кримінального судочинства, Стілл рекомендує наступне: «Дані атрибуції Chainalysis не повинні використовуватися в суді ні в цій, ні в будь-якій іншій справі: вони не були перевірені, модель не була підтверджена, а також не було встановлено шлях збору даних».

У звіті наголошується на важливості перевірки моделі, яку можна використовувати для перевірки точності даних та перевірки ефективності моделі. Постачальники повинні мати «добре документовані процеси атрибуції та кластеризації», а не «моделі чорної скриньки», які використовують «потенційно несанкціоновані дані клієнтів» та «неперевірені відгуки користувачів».

Стілл робить висновок, що «криміналістична експертиза блокчейну повинна використовуватися тільки для отримання слідчих версій. Сама собою вона недостатня як основне джерело доказів. Що вражає в цій справі, так це висновки, зроблені без будь-яких підтверджувальних доказів криміналістичної експертизи блокчейну».

Далі Стілл підкреслює, що «інструменти криміналістики та відстеження блокчейну, використані в цій справі, були використані неправильно і послужили для помилкового висновку про те, що пан Стерлінг був оператором Bitcoin Fog, хоча в ланцюжку таких доказів не існує».

Стіл називає невдачі в криміналістичній експертизі блокчейну в цьому випадку «структурними проблемами» у цій сфері та закликає провести незалежний аудит Chainalysis та їхніх методологій, щоб «запобігти неправомірним арештам, подібним цьому, і недотриманню вимог, як у випадку з FTX».

Це гостьовий пост L0la L33tz. Висловлені погляди є її власними і не обов’язково збігаються з точкою зору BTC Inc. або Bitcoin Magazine.