Допустим, вы проверяете кошелек контрагента перед сделкой. AMLBot показывает 12% риска. Вы расслабляетесь, принимаете перевод, отправляете на Binance. Binance замораживает вывод. Через неделю вы от скуки проверяете тот же адрес в другом сервисе и видите 67%. Это один и тот же кошелек. Что произошло?

Короткий ответ: разные сервисы видят разные вещи. Не потому что кто-то врет, а потому что под капотом у них совершенно разные машины.

Кластеризация, или почему Bitcoin сложнее, чем кажется
 

Биткоин работает на модели UTXO. Если вы не знаете, что это, объясню коротко: у вас нет «баланса» в привычном смысле. Есть набор неизрасходованных выходов транзакций, которые вы можете потратить. Когда вы платите кому-то, вы часто тратите несколько таких выходов одновременно, а сдача идет на новый адрес.

Вот тут начинается магия кластеризации. Базовый принцип, который используют все аналитические компании, называется common-input-ownership heuristic. Звучит сложно, работает просто: если в транзакции несколько входов, скорее всего все входные адреса принадлежат одному владельцу. Потому что для траты нужен приватный ключ от каждого входа, а значит один человек (или один кошелек) контролирует их все.

В теории точность этого метода близка к 100%. В теории.

На практике есть CoinJoin, PayJoin, CoinSwap. Это протоколы, которые специально создают транзакции с входами от разных людей. Аналитический инструмент видит такую транзакцию и думает, что все входы принадлежат одному кошельку. Получается «суперкластер», куда попали адреса совершенно разных людей. Один из них торгует на Binance, другой покупал что-то на Hydra три года назад. В кластере они теперь соседи. И скор одного тянет за собой скор другого.

Исследование BACH (2024) показало точность кластеризации 87-89% на тестовых данных. Звучит хорошо, пока не задумаешься, что каждый десятый кластер ошибочный. А каждый ошибочный кластер может связать чистый кошелек с грязным.

 Ghost Clusters: что на самом деле видят аналитики

В 2025 году на USENIX Security вышла работа под названием Ghost Clusters. Исследователи взяли данные Chainalysis и сравнили их с реальными данными трех закрытых нелегальных сервисов: BestMixer, Hansa Market, Wall Street Market. Данные были настоящие, полученные при закрытии этих сервисов правоохранителями.

Результаты оказались неожиданными. Точность Chainalysis сильно зависела от типа сервиса. Для даркнет-маркетплейса (Hansa, Wall Street Market) точность доходила до 94.85%. Для миксера (BestMixer) падала до 24.54%.

При этом ложных срабатываний было мало, меньше 0.5%. То есть если Chainalysis говорит «этот адрес принадлежит Hydra», он почти наверняка прав. Проблема в другом: Chainalysis пропускает огромное количество адресов, которые тоже принадлежат сервису, но не попали в кластер.

И вот здесь начинается расхождение между сервисами. У Chainalysis одна карта кластеров. У Crystal (тоже от Bitfury) другая. У AMLBot третья, причем они сами частично берут данные у Crystal. Каждый кластер содержит разное количество адресов. Адрес, который попал в кластер миксера у одного провайдера, может вообще не быть ни в каком кластере у другого. Скор, соответственно, будет разный.

Direct exposure, indirect exposure, и сколько хопов считать

Следующий источник расхождений: как далеко копать.

Chainalysis делит экспозицию на прямую и косвенную. Прямая: ваш адрес напрямую отправлял или получал средства от известного сервиса (биржи, миксера, даркнет-маркета). Косвенная: между вашим адресом и сервисом есть промежуточные адреса, которые не принадлежат никакому известному сервису.

В одном из примеров Chainalysis показывал семь промежуточных адресов между целевым кошельком и Hydra. Но после анализа выяснилось, что все семь адресов принадлежат одному кошельку (peel chain). То есть косвенная экспозиция на самом деле была прямой.

А теперь представьте, что другой сервис не умеет распознавать peel chains. Или не трассирует дальше трех хопов. Или трассирует, но у него нет адреса Hydra в базе. Три разных инструмента покажут три разных скора для одного адреса. Все три будут «правильными» в рамках своей методологии. И все три будут бесполезны для вас, если вы не понимаете, что именно они измеряли.

Базы данных: кто знает больше

Каждый аналитический провайдер гордится своей базой данных. Chainalysis заявляет о миллиарде атрибутированных адресов и десятках тысяч сущностей. Crystal говорит про 330+ блокчейнов. AMLBot ссылается на «собственные исследования и партнерские данные».

Откуда берутся эти данные? Из нескольких источников:

1. Публичная информация: форумы, социальные сети, пресс-релизы бирж
2. Правоохранительные органы: данные от полиции и регуляторов при закрытии сервисов
3. Honeypot-операции: когда сам провайдер создает аккаунт на подозрительном сервисе и получает депозитный адрес
4. Пользовательские жалобы: кто-то пишет «меня обманули, вот адрес»
5. Кластеризация: автоматическое расширение от известных адресов к неизвестным

Проблема в том, что ни один провайдер не делится своей базой с конкурентами. Chainalysis знает одно, Crystal знает другое. Адрес, помеченный как «миксер» у одного, может быть неизвестен другому. И наоборот.

CoinCodex провел эксперимент: проверил один и тот же адрес в нескольких сервисах. Результаты расходились. Но самое интересное: даже один и тот же AML-бот выдавал разные результаты при обращении с разных аккаунтов. Разработчики объяснили это задержками в обновлении базы. Объяснение так себе.

 Кросс-чейн: слепая зона

Допустим, кто-то получил украденные ETH, обменял их через DEX на USDC, перекинул через мост на Arbitrum, там обменял на USDT, вывел через другой мост на TRON, и уже оттуда отправил вам.

Сколько из этих шагов видит аналитический инструмент? Зависит от того, какие чейны он поддерживает и умеет ли он связывать адреса через мосты.

По данным AMLBot, через кросс-чейн методы было отмыто больше $7 млрд. Это деньги, которые прошли через мосты и DEX-агрегаторы именно для того, чтобы разорвать цепочку. И у большинства аналитических инструментов это работает. Не потому что инструменты плохие, а потому что кросс-чейн анализ это одна из самых сложных задач в блокчейн-аналитике. Связать адрес на Ethereum с адресом на TRON через мост, который обрабатывает тысячи транзакций в минуту, можно только если у вас есть данные обеих сторон моста и вы умеете сопоставлять суммы и время.

У Chainalysis есть Storyline, который пытается это делать. У Elliptic есть Holistic Screening. У большинства дешевых сервисов нет ничего. Они анализируют каждый чейн отдельно. Адрес на TRON чистый? Да, потому что на TRON он действительно чистый. Что было до TRON, инструмент не знает.

Что с этим делать

Первое: перестать относиться к Risk Score как к температуре тела. Это не объективное измерение. Это оценка, которая зависит от базы данных, метода кластеризации, глубины трассировки и набора поддерживаемых чейнов у конкретного провайдера.

Второе: смотреть не на цифру, а на разбивку. Хороший AML-сервис показывает не просто «42 из 100», а конкретно: какие источники сработали, какие категории риска обнаружены, прямая это экспозиция или косвенная. Без разбивки скор бесполезен.

Третье: для критически важных решений проверять в двух разных сервисах. Не потому что один врет, а потому что у каждого свои слепые зоны. Если оба показывают низкий риск, вероятность ошибки падает. Если один показывает 12%, а другой 67%, это повод разобраться, а не выбрать тот результат, который больше нравится.

Четвертое: помнить, что скор меняется со временем. Адрес, который был чистым вчера, может стать грязным сегодня, если один из его контрагентов попал в санкционный список. Регулярный мониторинг это не маркетинговая уловка, а реальная необходимость.

Сервисы, которые публикуют свою методологию, заслуживают больше доверия, чем те, которые говорят «у нас есть база и алгоритм, поверьте на слово». Не потому что опубликованная методология обязательно лучше. А потому что вы можете понять, за что именно выставлен скор, и решить, согласны ли вы с логикой.

В конечном счете, разный скор в разных сервисах это не баг. Это фича рынка, у которого нет единого стандарта. FATF выпускает рекомендации, MiCA устанавливает правила, но ни один регулятор не говорит, как именно считать Risk Score. Каждый провайдер решает сам. И каждый решает по-своему.