Metodika

Metodika a postupy

Přes 40 zcela transparentně zdokumentovaných heuristik a metod UI, které Coinator používá pro bitcoinovou forenziku.

Transparentnost

Proč transparentnost?

Na rozdíl od mnoha jiných nástrojů pro sledování transakcí Coinator rozhodně sází na transparentnost místo tajemnosti. Z našich algoritmů, heuristik a analytických postupů neděláme žádné tajemství — naopak: všechny použité metody jsou otevřeně zdokumentované a kdykoli k nahlédnutí.
Více než 40 jasně sledovatelných postupů — mimo jiné multi-input heuristiky, analýza návratových adres, detektory CoinJoin a PayJoin a četné filtry — zajišťuje maximální sledovatelnost, vysokou spolehlivost a soudně přípustné výsledky na evropské úrovni ochrany osobních údajů.

Klasické postupy

Postupy v přehledu

Naše klasické postupy jsou rozděleny do deseti kategorií. Každá obsahuje několik specifických heuristik, které v kombinaci přispívají k shlukové a transakční analýze — všechny otevřeně zdokumentované a sledovatelné.

Multi-input heuristics

Addresses that appear together as inputs in a transaction very likely belong to the same entity. The base heuristic of blockchain forensics.

Common-Input-Ownership (sharedspending)
Co-spending analysis across multiple transactions
Sub-sharedspending on partial expenditures
Can be undermined by CoinJoins and mixers

Change detection

Detecting the return-change output in Bitcoin transactions. Change addresses belong to the sender and extend the cluster.

Round-number heuristic (round payment amounts vs. odd change)
Optimal-change heuristic (non-optimal output = change)
Fresh-address detection (new, unused address = change)
Peel-chain detection (repeated breaking of large amounts)

CoinJoin & PayJoin detection

Detecting collaborative transactions to avoid clustering CoinJoin participants incorrectly. Used in combination with multi-input heuristics.

Equal-output CoinJoin (Wasabi, Samourai Whirlpool)
JoinMarket detector (maker-taker pattern)
Wasabi-Wallet signature (ZeroLink coordination)
PayJoin / BIP-78 detector (sender-receiver cooperation)

Mixer & tumbler recognition

Identifying classical mixing services by their typical input and output patterns.

ChipMixer pattern (2^x chip sizes)
Sinbad / Blender pattern
Chipping pattern (splitting into standard sizes)
Tornado-Cash bridge (return flows from EVM mixers)
Vortex / Helix pattern (timing-based)

Cross-chain swap detection (X-chain)

Cross-chain swaps allow direct exchange of coins between different blockchains — without a centralised exchange and therefore without KYC. Originally built for arbitrage, they are increasingly used to obscure the origin of funds. Our Coinator recognises the typical on-chain patterns of several established protocols.

THORChain (BTC ↔ ETH, BNB, AVAX, ATOM, DOGE, LTC, BCH)
Chainflip (BTC ↔ ETH, SOL, Arbitrum, Polkadot)
Bridgers aggregator (BTC ↔ various EVM and non-EVM chains)

Behaviour & time patterns

Recurring temporal patterns reveal wallet characteristics — private vs. service, region, usage type.

Wallet activity time windows (time-of-day or day-of-week clusters)
Regular inflows (salary pattern)
Dust-attack detection (forensic tracking attempts)
Bursty spending behaviour

Network & topology analysis

Analysing graph structure: who flows where, via how many intermediate hops?

Fan-out analysis (layering shells)
Fan-in analysis (aggregation nodes)
Peel-chain traversal (long chains of small outflows)
Temporal transaction sequencing (time-coupled chains)

Provider identification

Identifying the entity types behind addresses: exchanges, mining pools, payment gateways, custodians.

Exchange fingerprinting (typical hot-wallet patterns)
Mining-pool coinbase detection (payout patterns, coinbase messages)
Payment-provider pattern (BitPay, NowPayments, Strike …)
ETF-custodian pattern (Coinbase Custody, Gemini Custody, etc.)

Taint analyses

Tracking "contaminated" coins through the blockchain — a core concept for source-of-funds checks and AML.

Poison taint (every link colours fully)
Haircut taint (proportional by fraction)
FIFO (first-in-first-out by inflow time)
LIFO (last-in-first-out by inflow time)

Further procedures

Additional heuristics that address individual aspects.

Address-reuse detection (multi-use as a wallet-age indicator)
Wallet-software fingerprinting (e.g. Electrum, Trezor, Ledger, ...)
AI-based methods for even more accurate change-address detection
Machine-learning methods for precise outlier detection

Umělá inteligence

Shluková analýza podporovaná UI

Klasické heuristiky doplňujeme moderními metodami Machine Learning — pro vyšší přesnost a méně chybných přiřazení.

Pokročilé metody shlukování:

Coinator kombinuje klasické heuristické postupy s metodami Machine Learning (ML) a Data Mining (DM), aby přesněji analyzoval bitcoinové adresy a transakce. Cílem je odhalovat vztahy, které jasně překračují konvenční pravidla.

Neuronové sítě pro analýzu adres:

Používáme neuronové sítě (zejména GNN) ke zlepšení rozpoznávání vztahů mezi adresami, které unikají klasickým heuristikám, jako je multi-input nebo analýza návratových adres. GNN se trénují na pečlivě připravených datových sadách, aby v produkci poskytovaly spolehlivé síťové analýzy v reálném čase.

Shlukování transakcí na základě chování:

Někdy „klíč" k poznání není v topologii sítě, ale skrývá se v chování uživatele. Coinator této myšlenky využívá k seskupování transakcí podporovanému UI, založenému na časových sekvencích, kolísání částek a opakujících se (někdy atypických) vzorcích používání.

Deep Learning (DL) pro rozpoznání struktur shluků:

«Rozděl a panuj!» Tento inovativní přístup uplatňuje ML analýzu (pod)grafů transakcí k identifikaci (pod)sítí skrytých vztahů s cílem automatické detekce a pojmenování entit.

Hybridní modely pro snížení chyb:

V pátém a posledním pilíři kombinujeme již zavedené klasické heuristiky se zmíněnými algoritmy UI a ML, aby se zlepšila detekce entit a snížila chybná přiřazení (míra falešně pozitivních).

Otázky k metodice?

Rádi vám vysvětlíme, které postupy se nejlépe hodí pro daný případ.

Kontaktovat →