Скачать взлом бабломет 2 рубль против биткоина

Трубопровод

  1. 1. Сначала мы собираем подсети известных хакеров. Созданных профессиональными исследователями.
    • Из-за чувствительности этих данных и относительной редкости событий взлома результатом этого процесса стал небольшой набор анонимизированных кураторских подсетей. Которые отслеживают украденные средства от источника взлома до всех конечных точек интереса.
    • Именно в этот момент мы вводим новый инструмент для анализа этих подсетей для получения дополнительной информации. Которую мы в конечном итоге можем вернуть следователям и сотрудникам по соблюдению на биржах.

  2. 2.

    Мы пересекаем эти подсети от начальных кластеров через границу подсети.

    • В этом анализе возникает элемент сложности. Требующий дополнительного внимания, а именно. Что терминальные узлы требуют более строгого определения. Чем любой кластер. Расположенный на окраине подсети. Поскольку многие из этих терминальных узлов действуют как приемники. Но все же медленно утекают средства. Несмотря на сохранение контроля над большей частью их взломанного баланса. Это определение будет конкретизировано в подразделе “определение терминальных узлов.”

      Кроме того. Как видно из таблицы 1, простые статические характеристики сети демонстрируют. Что данные являются древовидными. С низкими средними степенями (in — и out-степени эквивалентны в среднем) и низкими коэффициентами кластеризации. Однако сложность. Обусловленная временной природой подсетей. А также природой этих терминальных узлов. Требует определения дополнительных функций. Прежде чем информация может быть осмысленно извлечена из данных. Поскольку не всегда листья этих древовидных подсетей играют важную роль либо во временном плане-в том. Что они прибывают последними. — либо топологически — они находятся дальше всего в графе транзакций.

      Таблица 1 сводная статистика по каждому взлому
  3. 3.

    Далее, чтобы лучше визуализировать временную активность в взломах. Мы создаем два временных ряда. Которые отображают активность взломанных фондов.

    • Во-первых, мы измеряем. Насколько активны хакеры с течением времени. Вычисляя количество переводов. Которые хакеры делают каждый день. Как показано на рис.

      3.

      Рис. 3
      рис. 3

      Транзакции с течением времени

    • Во-вторых, мы измеряем отслеживаемые средства по мере их перемещения в терминальные узлы. Как показано на рис. 2. По мере того как средства перемещаются через терминальные узлы. Доля средств. Все еще удерживаемых хакерами. Уменьшается. Полностью отслеживаемая подсеть взлома будет визуализироваться средствами. Уменьшающимися со 100% до 0% средств. Все еще удерживаемых хакером. В течение количества дней. Которое требуется для полного выхода средств через терминальные узлы.

  4. 4.

    Затем мы генерируем дистрибутивы для следующих функций для каждой подсети hack:

    • Логарифм баланса всех узлов, см. 4.

      Рис. 4
      рис. 4

      Распределение логарифмического баланса

    • Взвешенные в градусах все узлы, см. 5.

      Рис. 5
      рис. 5

      Распределение по степени

    • Взвешенная степень всех узлов, см. 6.

      Рис. 6
      рис. 6

      Распределение степени выхода

    • Среднее количество транзакций в терминальные узлы в день по всем значениям ρ. Полученным из данных. Приведенных на рис. 3.

    • Терминальные узлы как функция ρ, см. 7.

      Рис. 7
      рис. 7

      Число терминальных узлов как функция ρ, TvR

    • Логарифмическая разница среднего процента средств. Все еще находящихся в игре. По всем значениям ρ. Полученная из данных. Показанных на рис. 2.

    • Вторая разность средних процентов средств. Все еще находящихся в игре. По всем значениям ρ. Полученная из данных. Приведенных на рис. 2.

    • Логарифмическая разность стандартного отклонения процента средств. Все еще находящихся в игре. По всем значениям ρ. Полученным из данных. Приведенных на рис. 8.

      Рис. 8
      рис. 8

      Стандартное отклонение суммы в игре с течением времени

  5. 5.

    Затем мы создаем матрицы подобия. Соответствующие каждому распределению. Элементами которых являются попарные подобия распределений. Соответствующих каждой из подсетей hack. Через 1-мерное расстояние Вассерштейна. То есть расстояние землеройной машины (Villani 2003;).

  6. 6.

    Мы запускаем два алгоритма обнаружения сообществ — модульную оптимизацию (

    Clauset and et al. 2004) и Walktrap (Pons and et al. 2013Мы сравниваем результаты общего подхода по матрицам подобия для всех распределений с нашей основной истинностной атрибуцией двух лежащих в основе хакерских групп и демонстрируем потенциал такого метода. Правильно распределяя хакерские сети по их соответствующим группам. И этот шаг, и предыдущий мотивированы идеей. Что реляционные данные лучше всего анализировать с помощью инструментов сетевой науки и сходство распределений между рассматриваемыми хаками попадает в реляционные данные. Более широкий спектр подходов. Использующих сложные сети для более общей кластеризации данных. См. (de Arruda and et al. 2012). Почему мы используем чисто топологическое расстояние здесь. А не выразителем связанные расстояние. Как полагают в де Арруда и соавт. (2012), происходит из-за заложено допущение. Что поведение базового хакерских групп сходные до степени малых возмущений в базовых распределений активности, которые. Как мы считаем легкогрузовые расстояние особенно хорошо подходит для обнаружения.

  7. 7.

    Наконец, мы рассмотрим выходные сообщества и проверим нашу гипотезу о том. Что признаки. Относящиеся к динамике взлома. Более информативны при классификации хакерских групп. Чем статические сетевые признаки.

Идентификация услуг

Типичная служба может управлять тысячами адресов. В то время как более крупные службы могут даже управлять миллионами. Мы идентифицируем услуги. Используя функции. Уникальные для блокчейна Биткойна. Существует много различных подходов. Которые блокчейны используют для криптографической проверки транзакций. Но блокчейн биткойна полагается на неизрасходованные выходные данные транзакций (UTXO) для записи всех транзакций. UTXO-это неизрасходованный вывод предыдущей транзакции. Который пользователь имеет право перевести на другой биткоин-адрес. Каждый кошелек. Который имеет положительный баланс Биткоина. Имеет хотя бы один UTXO. Когда несколько UTXO удерживаются одним пользователем и тратятся вместе в транзакции. Становится возможным окончательно приписать общее владение всем UTXO. Которые были потрачены вместе. Это понятие коспенда это основа кластеризации деятельности. Используемой блокчейн-аналитическими фирмами. Такими как Chainalysis. Для идентификации кластеров адресов. Контролируемых одним субъектом. Затем сеть становится состоящей из коспенд-кластеров. То есть узлов. Состоящих из нескольких адресов. А не длинных цепочек одноразовых адресов (Meiklejohn and et al. 2013; Akcora and et al. 2019).

После того как адреса были сопоставлены узлу с помощью операции коспендинга. Узел может быть сопоставлен с именованной сущностью. Взаимодействуя непосредственно с ней. На примере биржи этот процесс может происходить путем посещения веб-сайта биржи. Внесения средств на биржу и отслеживания этой транзакции с помощью блочного проводника (BLOCKCHAIN LUXEMBOURG S. A 2011). Таким образом можно идентифицировать только сервисы с общедоступной адресной информацией.

Когда украденные средства поступают на известный сервис. Такой как биржа. Мы можем предположить. Что хакеры попытались обналичить свои средства. Профессиональные следователи отслеживают средства через эти узлы. Чтобы создать хакерские подсети. Которые захватывают как можно больше значимого движения украденных средств.

Определение терминальных узлов

В этой статье рассматриваются два типа терминальных узлов. 1) известный сервисный терминальный узел. Который является подтвержденным сервисом посредством упомянутого выше процесса сопряжения знаний о наземной истине с деятельностью коспендинга. Эти услуги могут быть биржами, микшерами. Игорными сайтами. Торговыми сервисными платформами или любым выходным пандусом. Через который преступник может выгрузить украденный биткоин институциональному игроку в криптовалюту. 2) неизвестный узел обслуживания. Где у следователя есть основания полагать. Что узел ведет себя как служба и поэтому прекратит расследование в этот момент.

Одна проблема может возникнуть. Когда следователь просто решает прекратить преследование зацепки. В этой точке граница их исследуемой подсети может напоминать терминальный узел. Это ограничение должно быть дополнительно исследовано в будущей работе. В случае подсетей. Выбранных для этого исследования. Исследователи следовали всем выводам. Которые ограничивали терминальные узлы описанными выше.

По умолчанию терминальные узлы являются ребрами подсети графа. В идеале подсеть взлома будет отслеживать 100% средств с точки взлома через все выходные пандусы. Это позволило бы нам установить ρ=0.00, так как конечными узлами будут просто все естественные ребра графа. В этом случае следователь будет отслеживать средства на сервис. Будь то биржа. Сайт смешивания. Сайт азартных игр и т. д. ρ=0.00 указывает на то. Что узел когда-либо получал средства только в пределах подсети.

Мы фокусируемся на соотношении. А не на разнице между отправленными и полученными средствами. Потому что хотим максимизировать количество значимых зацепок для следователей. А не сырую сумму из-за взломанных средств. Возвращая этот нормализованный список терминальных узлов и результирующие диаграммы. Мы находим все частичные приемники. “представляющие интерес” в подсети. Которые могут облегчить выдачу повесток или других лидов. А также кошельки для наблюдения. Поскольку они все еще содержат средства. Большие или маленькие. В качестве вторичного фильтра мы можем сортировать по балансу из-за взлома. Но эта функция актуальна только на оперативном этапе для исследователей. А не при проведении нашего анализа.

Мы определяем ρ как:

то есть отношение для данного узла общего количества отправленных им средств к общему количеству полученных им средств.

Другие предложили использовать соотношения степеней входа/выхода при изучении графика транзакций Биткойна. Но в разных контекстах. А не как функцию уровня узла (Bovet and et al. 2018). Мы вводим это соотношение как средство классификации отдельных узлов на основе особенностей. Характерных для сетей финансовых транзакций. Это особенно важно при попытке уловить основное поведение узлов с течением времени. Поскольку потоки значений во временной сети. Которую они коллективно составляют.

Подсети. Которые изменяются с течением времени. Такие как расследования взломов. Генерируют терминальные узлы на протяжении всей активности сети. Терминальные узлы с высокими значениями ρ должны представлять собой оптимальный список возможных версий для расследования. Поскольку они представляют собой стоки ценности в графе транзакций и поэтому правдоподобно управляются истинным исполнителем взлома или другим субъектом. Представляющим интерес.

На рис. 9 показан спектр значений ρ и их последующая интерпретация.

Рис. 9
рис. 9

Спектр значений rho и их значение

Визуализация временного поведения в подсетях взлома

Временные визуализации показаны на рис. 3 и 2. На рисунке 3 показано количество передач с течением времени в подсети взлома. Чтобы исследователь мог получить представление о том. Насколько активны хакеры с течением времени. Они могут ответить на такие вопросы. Как: постоянно ли хакерская группа совершает транзакции с течением времени или они склонны перемещать средства в соответствии с временной моделью. Паттерн может указывать на алгоритм перемещения средств. В отличие от реальных лиц. Одобряющих сделки.

На рис. 2 показано. Как средства выходят с течением времени через терминальные узлы. Это позволяет исследователю вовремя увидеть стратегию выхода хакерской группы. Например, выходят ли хакеры из фондов в течение одного периода времени или последовательно в течение более длительного периода времени? Каждая из этих стратегий имеет последствия для того. Как следователь описывает хакерскую группу в целом. Например, хакерская группа. Которая выводит все средства через одну биржу за один день. Может быть менее организованной и менее хорошо финансируемой. Чем хакерская группа. Которая постепенно. Через тысячи стратегических транзакций. Выводит средства в течение длительного периода времени.

Тенденции становятся видимыми благодаря реструктуризации подсетей взлома во временные ряды. На рисунке 3 показано. Насколько активны хакеры. Используя количество транзакций. Которые они выполняют в качестве прокси.

Рисунок 3 позволяет нам увидеть. Как хакеры используют терминальные узлы. Хакерская группа alpha (A1) действует гораздо активнее. Медленно перемещая средства через терминальные узлы за более короткий период. Хакерская группа beta (B1) в целом использует меньше транзакций. Но имеет тенденцию отправлять все свои переводы на терминальные узлы за короткий промежуток времени. В случае диаграммы В1 на рис. 3, хакеры сидели на своих фондах в течение длительного периода времени. Прежде чем резко выйти из более чем 70% средств через несколько пандусов выхода в течение одной недели.

Чтобы проверить гипотезу о том. Что хакеры лучше всего классифицируются по временным признакам. Таким как скорость обналичивания средств в терминальных узлах. Мы варьируем ρ в следующем разделе анализа чувствительности. Чтобы наблюдать. Как украденный биткойн выходит через терминальные узлы при различных условиях.

Анализ чувствительности ρ

Мы позволили ρ варьироваться от 0,02 до 0,98, чтобы проверить последствия постепенного изменения параметра ρ. Кластер с очень низким значением ρ, например ρ=0.1, должен был бы удерживать более 90% полученных средств. Чтобы считаться терминальным узлом. С другой стороны, очень высокое значение ρ, например ρ=0,9, позволяет кластеру удерживать только 10% средств. Полученных от взлома. Чтобы он мог считаться терминальным узлом. Более высокий ρ захватит гораздо больше терминальных узлов. Так как это более легкое условие для удовлетворения узлов.

Более низкое значение ρ означает. Что в графе выбирается меньше терминальных узлов. А критерии “интереса” к исследователю чрезвычайно высоки. Очень низкий ρ указывает. Что кошельки заинтересованных лиц-это те. Которые могут содержать только небольшие суммы от общего объема средств. Которые они получили. Узел, содержащий более 90% средств. Может быть холдинговым кошельком. Постепенно утекающим из него. Это может быть консолидационный кошелек для преступного сообщества, кошелек. Связанный с другими видами преступной деятельности. Или даже точка конверсии в другую криптовалюту. Если, например. Кошелек является кошельком исхода. Который позволяет осуществлять конвертацию криптовалют на уровне кошелька.

Выбор правильного значения для ρ позволяет нам оптимально вырастить подсеть hack таким образом. Чтобы она включала в себя интересующие пути. Не становясь слишком большой для осмысленного анализа. Мы обнаружили. Что установка слишком высокого коэффициента приводит к менее значимой. Но более крупной подсети взлома. Где терминальные узлы не адекватно фиксируют интересующую динамику. А установка слишком низкого коэффициента не включает кластеры. Которые, вероятно. Должны были быть включены.

Применение диапазона Р от Р=0,02 до р=0,98 с шагом 0,02 имело очень большие последствия для объема средств. Которые считались отслеживаемыми. В то время как изменение ρ обычно показывает. Сколько средств следователь отслеживал. В то же время изменение значения ρ не влияет на общую тенденцию обналичивания. Наблюдаемую следователем.

Эти результаты показывают. Что варьирование ρ может быть не полезно для понимания поведения хакера. Но является полезным инструментом для выявления интересующих узлов. Которые могут быть возможными выводами для исследователя. Действительно. Дисперсия параметра ρ оказалась одним из наиболее полезных инструментов для запуска обнаружения сообщества.

В конце концов. Нам нужно было справиться с введением средств в то время. Которое было позже взлома либо тем же. Либо другим пользователем. Чтобы учесть это, мы либо добавляем эти новые потоки к фондам в начале и работаем с новой суммой как с нашей суммой взломанных фондов, либо включаем эти потоки в наше определение ρ, устанавливая дополнительное ограничение. Что если ρ>1, то это терминальный узел. И мы не следуем его потокам вперед во времени. В первом случае мы можем отслеживать все средства. Вовлеченные в явно незаконную деятельность. Независимо от источника. В то время как во втором случае мы активно ограничиваем подсеть средствами. Явно исходящими из источника взлома.

Определения функций

Цель при выборе распределений для анализа состояла в том. Чтобы точно зафиксировать поведение движения взломанных средств. Чтобы подтвердить гипотезу о том. Что две хакерские группы демонстрируют разные стратегии вывода средств. Мы решили рассмотреть эмпирические распределения 8 различных признаков. Как упоминалось на шаге 4 конвейера.

В следующих определениях ожидания определяются по узлам подсетей (и терминальным узлам в случае транзакций). Кроме того, единицы времени дискретизируются на дневном уровне. Наконец, начальная сумма взлома-это стоимость. Украденная с биржи хакерской группой. Которая была источником исследуемых подсетей.

Мы определяем несколько особенностей в нашем анализе следующим образом:

  1. 1.

    Сумма в игре.

  2. 2.

    Взломать баланс всех узлов.

    Bal= log(weightedindegreeweightedoutdegree)

  3. 3.

    Логарифмическая первая разность средних, LDA, процентов сумм. Все еще находящихся в игре, AIP, по всем значениям ρ.

  4. 4.

    Вторая разность AIP по всем значениям ρ.

  5. 5.

    Логарифмическая разность стандартного отклонения ldstAIPпо всем значениям ρ.

  6. 6.

    Среднее количество транзакций в терминальные узлы, ТТН в день. По всем значениям ρ.

    Transactions=E[TTN]

Матрицы подобия

Как только все нормализованные гистограммы были сгенерированы. Мы измеряем парное сходство между ними по каждой переменной с помощью 1-мерного расстояния Вассерштейна. Известного как расстояние землеройной машины или норма L1. Как правило, норма L p определяется как:

где F и G-эмпирические функции распределения с обобщенными обратными, F-1 и G-1 (Villani 2003;).

Обнаружение сообщества

После того. Как матрицы подобия вычислены для интересующих распределений. Цель становится дифференцирующей между двумя группами хакеров. Мы предлагаем метод представления матриц подобия в виде сетей и поиска двух различных сообществ как с помощью модульной оптимизации. Так и с помощью Walktrap и сравнения результатов.

Оптимизация модульности (Clauset and et al. 2004) состоит в нахождении близкого к максимальному значения модульности Q, возвращаемого из сообществ . Примененных к некоторой нулевой модели формирования сети. Обычно случайной сети.

где m-число ребер в сети, vw-1, когда узлы v и w соединены и 0 в противном случае , kv-сумма vw над w, а δ(i,j) — 1, Когда i и j равны и 0 в противном случае. Walktrap (Pons and et al. 2013) работает аналогично. Также пытаясь оптимизировать ту же модульность. Но с акцентом на короткие случайные блуждания. Выходящие из сообществ. Как явная мотивация и подход.

Оба алгоритма построены для анализа больших сетей. И их истинные функции оптимизации модульности являются явно не Q, написанными выше. А производной формой.

Мы использовали оба метода в качестве независимого подтверждения. А не каких-либо преимуществ от их относительной оптимизации. Поскольку результирующие сети малы. С одним узлом. Соответствующим каждому взлому. Анализируются восемь распределений и два приложения обнаружения сообщества. Любые выводы. Сделанные из нашего метода. Являются лишь предварительными. Поскольку никакие окончательные результаты не могут быть получены из таких небольших объемов данных. Тем не менее. Мы предлагаем полный метод как технически обоснованный и новый инструмент для анализа подсетей взлома в блокчейне биткойна.