W ramach rozszerzenia projektu pn.: „Przetwarzanie i analiza danych masowych w odniesieniu do przestępstw gospodarczych” są realizowane moduły środowiska FinLink wspierające m.in. analizę kryptowalut, która coraz częściej pojawia się jako istotny element całego procesu analitycznego. Autorzy mają nadzieję, że niniejszy artykuł zainspiruje Czytelników do dalszego pogłębiania swojej wiedzy, i zapraszają do kontaktu.
Projekt jest realizowany przez konsorcjum naukowe FinLink, w którym liderem jest Akademia Górniczo-Hutnicza im. Stanisława Staszica w Krakowie, a projekt finansowany przez Narodowe Centrum Badań i Rozwoju. Policję reprezentuje Biuro Wywiadu i Informacji Kryminalnych Komendy Głównej Policji, które uczestniczy w projekcie w charakterze gestora.
Rys historyczny
Technologia łańcucha bloków (blockchain), na której opierają się kryptowaluty, całkowicie zmieniła nasze postrzeganie gromadzenia, przesyłania i przetwarzania informacji o transakcjach finansowych w internecie. Jej korzenie sięgają roku 1991, kiedy Stuart Haber i Scott Stornetta zaproponowali metody oznaczania dokumentów znacznikami czasowymi1. Technologia ta wykorzystywała zabezpieczone kryptograficznie ciągi bloków, które uniemożliwiały manipulację dokumentami przez ich zmiany lub fałszowanie daty. Mimo tych zalet, nigdy nie znalazła zastosowania, a jej patent wygasł ostatecznie w 2004 r.2 W tym samym roku Hal Finney stworzył system „wielokrotnego dowodu pracy” (RPoW – reusable proof of work), który polegał na uzyskiwaniu cyfrowych tokenów podpisanych kluczami RSA w wyniku skomplikowanych obliczeń. Użytkownicy mogli przekazywać te tokeny między sobą, a technologia uniemożliwiała ich podwójne wydatkowanie dzięki ogólnodostępnemu rejestrowi własności, który umożliwiał weryfikację i integralność danych w czasie rzeczywistym. RPoW jest uważany za protoplastę późniejszego „dowodu pracy” i stanowi ważny etap w historii kryptowalut. W 2008 r. wspomniane technologie stanowiły istotny element w opracowaniu teoretycznych podstaw kryptowaluty bitcoin, która opiera się na łańcuchu bloków. Blockchain to zdecentralizowana i rozproszona baza danych w sieci Internet, o architekturze peer-to-peer (P2P), bez centralnego miejsca przechowywania danych. Służy do księgowania poszczególnych transakcji, płatności lub zapisów księgowych, a wszystko to jest zakodowane za pomocą algorytmów kryptograficznych.
Podstawowe pojęcia
Kryptowaluta to rozproszony system księgowy bazujący na kryptografii i technologii blockchain. Przechowuje informacje o stanie posiadania umownych wirtualnych jednostek. Stan posiadania jest związany z równie wirtualnymi portfelami, tak aby kontrolę nad danym portfelem miał wyłącznie posiadacz odpowiadającego mu klucza prywatnego, co uniemożliwia dwukrotne wydanie tej samej jednostki. W 2008 r. Satoshi Nakamoto, twórca pierwszej na świecie kryptowaluty o nazwie bitcoin, zdefiniował to pojęcie. Do dziś prawdziwa tożsamość twórcy kryptowaluty bitcoin nie została potwierdzona – nie wiadomo nawet, czy Satoshi Nakamoto to jedna osoba, czy też grupa osób, która opracowała kompletną dokumentację opublikowaną jako „white paper”3. Obrót kryptowalutami (kupno, sprzedaż) odbywa się głównie na giełdach i w kantorach kryptowalutowych, które działają na podobnych zasadach co podmioty uczestniczące w obrocie akcjami i walutami.
Aby w pełni zrozumieć obrót kryptowalutami (zwanymi również bitmonetami), warto poznać specyficzne pojęcia z tego obszaru, takie jak portfele, adresy i transakcje, oraz wskazać reguły, na których opiera się ten proces. Kiedy mówimy o portfelach kryptowalut, ważne jest zrozumienie, że żadne jednostki kryptowaluty nie są fizycznie przesyłane między portfelami ani na nich przechowywane. Do kryptowalut są przypisane klucze prywatne, które pozwalają na dostęp do tych aktywów i umożliwiają przenoszenie ich na inne adresy w sieci. Oznacza to, że każdy, kto zna dany klucz prywatny, może korzystać z przypisanych do niego środków. Portfel kryptowalut służy przede wszystkim do przechowywania kluczy prywatnych, a nie samej waluty cyfrowej4. Pary kluczy są generowane automatycznie przy zakładaniu portfela kryptowalutowego. Dodatkowo, aby była możliwość odzyskania dostępu do środków (na przykład w przypadku zapomnienia hasła, utraty portfela sprzętowego lub zniszczenia papierowego), można wygenerować tzw. ziarno (seed) portfela. Ziarno to zazwyczaj 12 słów lub 24 słowa ułożone w ściśle określonej kolejności, nazywane czasem frazą mnemoniczną. Dzięki nim oprogramowanie jest w stanie odtworzyć nasz klucz prywatny, dlatego ważne jest, aby chronić ziarno tak samo jak klucz. Warto zaznaczyć, że portfele kryptowalut można zakładać anonimowo, bez konieczności podawania jakichkolwiek danych osobowych.
Do portfela może być przypisane wiele adresów, które pozwalają na wysyłanie i otrzymywanie kryptowalut. Adres kryptowaluty to unikalny ciąg alfanumeryczny charakterystyczny dla danej waluty cyfrowej, a jej długość zależy od konkretnej kryptowaluty. Może on również przyjmować postać kodu QR ułatwiającego skanowanie i udostępnianie. Poniżej zaprezentowano przykładowe adresy w różnych sieciach kryptowalutowych (podkreślono stałe elementy adresu, na podstawie których można szybko identyfikować przynależność do sieci):
• bitcoin (27–35 znaków): 1Q2TWHE3GMdB6BZKafqwxXtWAWgFt5Jvm3
• etherum (42 znaki): 0x71C7656EC7ab88b098defB751B7401b5f6d8976f
• tron (42 znaki): TRjE1H8dxypKM1NZRdysbs9-wo7huR4bdNz
Wszystkie transakcje w sieciach kryptowalutowych są z zasady jawne, co oznacza, że każdy może je przejrzeć od początku istnienia danej kryptowaluty. Transakcja kryptowalutowa polega na przekazaniu określonej kwoty z jednego lub więcej adresów na inny adres lub adresy. W celu dokonania takiej transakcji konieczne jest posiadanie klucza prywatnego przypisanego do danego adresu oraz znajomość adresu odbiorcy. W świecie kryptowalut istnieje kilka różnych metod przeprowadzania transakcji, a szczególnie wyróżnia się sieć Bitcoin, która opiera się na schemacie tzw. niewydanego wyjścia transakcji (unspent transaction output, UTXO). Szczegółowe wyjaśnienie wykracza poza ramy tego artykułu, ważne jest, że jeśli w jednej transakcji występują dwa portfele lub więcej po stronie wejściowej (lewej), oznacza to, że są one podpisane tym samym kluczem prywatnym, a ich dysponentem jest jedna osoba (podmiot), Taka sytuacja jest określana jako wspólny klaster adresów. Większość innych kryptowalut korzysta z prostszego schematu opartego na aktualnym saldzie konta.
Popularne kryptowaluty
Poza siecią Bitcoin obecnie najbardziej popularną kryptowalutą jest ethereum, stworzona w 2015 r. przez Vitalika Buterina. Ethereum, oparta oczywiście na technologii blockchain, zdecydowanie upraszcza wykonywanie transakcji oraz wprowadza nowe możliwości wykorzystania technologii. Transakcje odbywają się z wykorzystaniem aktualnego salda, podobnie jak to dzieje się w przypadku zwykłych kont bankowych. Wykorzystując sieć Ethereum, można tworzyć własne nowe kryptowaluty, emitować cyfrowe tokeny (rodzaj cyfrowego aktywu opartego na łańcuchu bloków innej kryptowaluty) oraz tworzyć tzw. inteligentne kontrakty (smart contract). Ethereum, w przeciwieństwie do bitcoina, nie posiada ograniczeń emisji ilości kryptowaluty na rynku. Najpopularniejsze serwisy blockchain to Etherscan (www.etherscan.io) i Beaconchain (www.beaconcha.in).
Coraz większą popularność zdobywa kryptowaluta tron, stworzona w 2017 r., której celem jest zbudowanie darmowej i globalnej platformy rozrywki cyfrowej, oferującej korzyści płynące z technologii rozproszonego przechowywania danych, zapewniającej jednocześnie swoim użytkownikom łatwe i efektywne dzielenie się treściami cyfrowymi.
Istnieje wiele kryptowalut, które w dużym stopniu zapewniają użytkownikom anonimowość. Jedną z nich, powstałą w 2014 r., jest monero. Cechami charakterystycznymi tej kryptowaluty są anonimowe strony transakcji (nie można zobaczyć adresów portfeli uczestniczących w transakcjach), możliwość ukrycia kwoty transakcji, a sam blockchain ujawnia tylko numer transakcji, datę i opłatę transakcyjną. Dlatego też nie ma możliwości śledzenia transakcji monero, a świat przestępczy coraz częściej wykorzystuje tę kryptowalutę.
Na rynku istnieją tysiące kryptowalut, ciągle powstają nowe, a zdecydowana większość z nich to aktywa niszowe, o bardzo niskiej kapitalizacji. Na stronie BitInfoCharts możemy znaleźć informacje o aktualnych kursach wielu kryptowalut, ich kapitalizacji rynkowej, liczby transakcji w ciągu ostatnich 24 godzin, wykresy oraz wiele innych informacji.
Analiza przepływów kryptowalut
Ze względu na swoją specyfikę, zwłaszcza w zakresie ochrony prywatności właścicieli portfeli, dostępności dla każdego, a także szybkości transferów, braku ograniczeń geograficznych i niskich kosztów transakcyjnych, kryptowaluty stały się bardzo popularne w środowiskach przestępczych. To zjawisko obserwuje się na całym świecie, a ograny ścigania stoją przed kolejnym wyzwaniem związanym z zaawansowanymi technologiami, które przestępcy wykorzystują do swoich nielegalnych celów. Aby jeszcze bardziej utrudnić analizę przepływów finansowych w kryptowalutach, przestępcy korzystają z tzw. mikserów. Są to usługi oferowane przez specjalne serwisy internetowe, których celem jest zwiększenie anonimowości właścicieli portfeli przez zmieszanie środków pochodzących od wielu użytkowników. Dzięki temu zostaje przerwany ciąg transakcji, który mógłby prowadzić do identyfikacji konkretnych osób. Użytkownik przesyła bitmonety na adres (adresy) miksera, gdzie są one mieszane z innymi środkami, a często dodatkowo przesyłane między wieloma portfelami należącymi do tego samego miksera. Po zakończeniu procesu i odliczeniu prowizji środki mogą być zwrócone nadawcy lub przesłane – zgodnie z dyspozycją – do nowego właściciela5.
Jak wspomniano, wszystkie transakcje w sieci Bitcoin są jawne od początku jej istnienia i dostępne do przeglądania. Najbardziej popularne serwisy pozwalające na przeglądanie historii transakcji to Blockchain.com oraz BTC.com. Serwis umożliwiający identyfikację innych portfeli w klastrze to WalletExplorer.com. Jeśli chodzi o narzędzia online do prostego śledzenia przepływów kryptowalut i przedstawiania ich na grafach, warto wspomnieć o Bitquery (https://explorer.bitquery.io/) oraz Blockpath (www.blockpath.com).
Większość postępowań przygotowawczych, w których występuje potrzeba śledzenia transferów kryptowalutowych, rozpoczyna się od identyfikacji adresu należącego do sprawcy. Metoda „follow the money” (podążaj za pieniędzmi) od lat stanowi jedną z najskuteczniejszych metod rozpoznawania grup przestępczych i oszacowywania rozmiaru ich działalności. Analizując transfery kryptowalutowe, należy dążyć do zidentyfikowania podmiotu, do którego trafiają środki, celem ich wymiany na waluty fiducjarne. Ustalenie takiego podmiotu umożliwia uprawnionym organom (prokuraturze i Policji) zwrócenie się do niego o dane użytkownika portfela. Dane te mogą obejmować informacje osobowe (jeśli podmiot ich żąda), adresy e-mail, dane dotyczące wypłat (numer rachunku bankowego, numer telefonu w przypadku wypłat z bankomatu) oraz dane logowania do portfela. Istnieje również możliwość wystąpienia do tego podmiotu o zablokowanie środków na portfelu oraz ich zabezpieczenia na poczet przyszłych kar i środków kompensacyjnych lub przepadku. Dopiero personalizacja właścicieli portfeli wykorzystywanych w przestępczych procederach, zebranie dowodów winy pozwalające na ich zatrzymanie i przedstawienie zarzutów, a także konfiskata środków gwarantują pełny sukces organów ścigania.
1 S. Haber, W. Scott Stornetta, How to time-stamp a digital document, „Journal of Cryptology”, 1991, https://link.springer.com/article/10.1007%2FBF00196791 [dostęp: 6.12.2021 r.].
2 https://academy.binance.com/en/articles/history-of-blockchain [dostęp: 6.12.2021 r.].
3 S. Nakamoto, Bitcoin: A Peer-to-Peer Electronic Cash System, https://bitcoin.org/bitcoin.pdf [dostęp: 1.12.2021 r.].
4 https://www.najlepszekonto.pl/portfel-kryptowalut-jak-dziala-i-ktory-wybrac [dostęp: 2.12.2021 r.].
5 P. Opitek, K. Góral, Analiza kryminalna transferów kryptowalutowych w pracy prokuratora, cz. II, „Prokuratura i Prawo” 2020, nr 6.
Jan Klima
Wydział Informatyki Akademii Górniczo-Hutniczej im. Stanisława Staszica w Krakowie
dr inż. Jacek Dajda
Wydział Informatyki Akademii Górniczo-Hutniczej im. Stanisława Staszica w Krakowie
podkom. Łukasz Zakrzewski
Wydział Analizy Kryminalnej Biura Wywiadu i Informacji Kryminalnych KGP
zdj. freepik