Metodología y procedimientos

Las direcciones que aparecen juntas como inputs en una transacción pertenecen con alta probabilidad a la misma entidad. Heurística de base de la forensia blockchain.

• Common-Input-Ownership (sharedspending)
• Análisis de co-spending a través de varias transacciones
• Sub-sharedspending en gastos parciales
• Puede ser neutralizada por CoinJoins y mixers

Detección de la salida de vuelta en las transacciones Bitcoin. Las direcciones de cambio pertenecen al remitente y amplían el cluster.

• Heurística de números redondos (importes pagados redondos vs. cambio no redondo)
• Heurística del cambio óptimo (output no óptimo = cambio)
• Fresh-Address-Detection (dirección nueva, sin usar = cambio)
• Detección de peel-chain (fraccionamiento repetido de importes grandes)

Detección de transacciones colaborativas, para no agrupar por error los CoinJoins. Se utiliza en combinación con las heurísticas multi-input.

• Equal-Output-CoinJoin (Wasabi, Samourai Whirlpool)
• Detector JoinMarket (patrón maker-taker)
• Firma de Wasabi-Wallet (coordinación ZeroLink)
• Detector PayJoin / BIP-78 (cooperación emisor-destinatario)

Identificación de los servicios de mixing clásicos a partir de sus patrones típicos de entrada y salida.

• Patrón ChipMixer (tamaños de chip en 2^x)
• Patrón Sinbad / Blender
• Patrón de chipping (división en tamaños estándar)
• Puente Tornado-Cash (retornos desde mixers EVM)
• Patrón Vortex / Helix (basado en timing)

Los swaps cross-chain permiten el intercambio directo de coins entre distintas blockchains — sin plataforma centralizada y, por tanto, sin KYC. Originalmente pensados para arbitraje, se utilizan cada vez más para ocultar el origen de los fondos. Nuestro Coinator reconoce los patrones on-chain típicos de varios protocolos consolidados.

• THORChain (BTC ↔ ETH, BNB, AVAX, ATOM, DOGE, LTC, BCH)
• Chainflip (BTC ↔ ETH, SOL, Arbitrum, Polkadot)
• Agregador Bridgers (BTC ↔ diversas cadenas EVM y no EVM)

Los patrones temporales recurrentes revelan las características del wallet — privado vs. servicio, región, tipo de uso.

• Ventanas de actividad del wallet (clusters por hora del día o día de la semana)
• Ingresos regulares (patrón de nómina)
• Detección de dust-attack (intentos de tracking forense)
• Comportamiento de gasto en ráfaga (burst-spending)

Análisis de la estructura del grafo: ¿quién fluye hacia dónde, a través de cuántas etapas intermedias?

• Análisis fan-out (capas de layering)
• Análisis fan-in (nodos de agregación)
• Recorrido de peel-chain (cadenas largas de pequeñas salidas)
• Temporal-Transaction-Sequencing (cadenas acopladas en el tiempo)

Reconocimiento de los tipos de entidad detrás de las direcciones: plataforma de intercambio, pool de minería, pasarela de pago, custodio.

• Exchange-Fingerprinting (patrones típicos de hot-wallet)
• Detección de coinbase de pools de minería (patrones de payout, mensajes coinbase)
• Patrones de proveedores de pago (BitPay, NowPayments, Strike …)
• Patrones de custodios de ETF (Coinbase Custody, Gemini Custody, etc.)

Seguimiento de coins «contaminados» a través de la blockchain — concepto central para las comprobaciones del origen de los fondos y para AML.

• Poison-Taint (cada vínculo colorea por completo)
• Haircut-Taint (proporcional según la fracción)
• FIFO (First-In-First-Out según el momento de entrada)
• LIFO (Last-In-First-Out según el momento de entrada)

Heurísticas complementarias que iluminan aspectos concretos.

• Detección de reutilización de direcciones (multi-uso como indicador de antigüedad del wallet)
• Fingerprinting de software de wallet (p. ej. Electrum, Trezor, Ledger, ...)
• Procedimientos basados en IA para una detección aún más precisa de direcciones de cambio
• Procedimientos de Machine Learning para una detección precisa de outliers