Skip to content
Metodologia

Metodologia i procedury

Ponad 40 udokumentowanych z pełną przejrzystością heurystyk i metod SI, które Coinator stosuje w forensyce Bitcoin.

Przejrzystość

Dlaczego przejrzystość?

W przeciwieństwie do wielu innych narzędzi do śledzenia transakcji, Coinator zdecydowanie stawia na przejrzystość zamiast tajemnicy. Nie robimy tajemnicy z naszych algorytmów, heurystyk i procedur analitycznych — wręcz przeciwnie: wszystkie stosowane metody są otwarcie udokumentowane i dostępne w każdej chwili.
Ponad 40 jasno udokumentowanych procedur — w tym heurystyki multi-input, analiza adresów reszty, detektory CoinJoin i PayJoin oraz liczne filtry — gwarantują maksymalną wykrywalność, wysoką wiarygodność i wyniki dopuszczalne przed sądem, zgodne z europejskim poziomem ochrony danych.

Procedury klasyczne

Procedury w skrócie

Nasze klasyczne procedury są pogrupowane w dziesięć kategorii. Każda zawiera kilka specjalistycznych heurystyk, które w połączeniu przyczyniają się do analizy klastrów i transakcji — wszystkie udokumentowane otwarcie i możliwe do prześledzenia.

01

Multi-input heuristics

Addresses that appear together as inputs in a transaction very likely belong to the same entity. The base heuristic of blockchain forensics.

  • Common-Input-Ownership (sharedspending)
  • Co-spending analysis across multiple transactions
  • Sub-sharedspending on partial expenditures
  • Can be undermined by CoinJoins and mixers
02

Change detection

Detecting the return-change output in Bitcoin transactions. Change addresses belong to the sender and extend the cluster.

  • Round-number heuristic (round payment amounts vs. odd change)
  • Optimal-change heuristic (non-optimal output = change)
  • Fresh-address detection (new, unused address = change)
  • Peel-chain detection (repeated breaking of large amounts)
03

CoinJoin & PayJoin detection

Detecting collaborative transactions to avoid clustering CoinJoin participants incorrectly. Used in combination with multi-input heuristics.

  • Equal-output CoinJoin (Wasabi, Samourai Whirlpool)
  • JoinMarket detector (maker-taker pattern)
  • Wasabi-Wallet signature (ZeroLink coordination)
  • PayJoin / BIP-78 detector (sender-receiver cooperation)
04

Mixer & tumbler recognition

Identifying classical mixing services by their typical input and output patterns.

  • ChipMixer pattern (2^x chip sizes)
  • Sinbad / Blender pattern
  • Chipping pattern (splitting into standard sizes)
  • Tornado-Cash bridge (return flows from EVM mixers)
  • Vortex / Helix pattern (timing-based)
05

Cross-chain swap detection (X-chain)

Cross-chain swaps allow direct exchange of coins between different blockchains — without a centralised exchange and therefore without KYC. Originally built for arbitrage, they are increasingly used to obscure the origin of funds. Our Coinator recognises the typical on-chain patterns of several established protocols.

  • THORChain (BTC ↔ ETH, BNB, AVAX, ATOM, DOGE, LTC, BCH)
  • Chainflip (BTC ↔ ETH, SOL, Arbitrum, Polkadot)
  • Bridgers aggregator (BTC ↔ various EVM and non-EVM chains)
06

Behaviour & time patterns

Recurring temporal patterns reveal wallet characteristics — private vs. service, region, usage type.

  • Wallet activity time windows (time-of-day or day-of-week clusters)
  • Regular inflows (salary pattern)
  • Dust-attack detection (forensic tracking attempts)
  • Bursty spending behaviour
07

Network & topology analysis

Analysing graph structure: who flows where, via how many intermediate hops?

  • Fan-out analysis (layering shells)
  • Fan-in analysis (aggregation nodes)
  • Peel-chain traversal (long chains of small outflows)
  • Temporal transaction sequencing (time-coupled chains)
08

Provider identification

Identifying the entity types behind addresses: exchanges, mining pools, payment gateways, custodians.

  • Exchange fingerprinting (typical hot-wallet patterns)
  • Mining-pool coinbase detection (payout patterns, coinbase messages)
  • Payment-provider pattern (BitPay, NowPayments, Strike …)
  • ETF-custodian pattern (Coinbase Custody, Gemini Custody, etc.)
09

Taint analyses

Tracking "contaminated" coins through the blockchain — a core concept for source-of-funds checks and AML.

  • Poison taint (every link colours fully)
  • Haircut taint (proportional by fraction)
  • FIFO (first-in-first-out by inflow time)
  • LIFO (last-in-first-out by inflow time)
10

Further procedures

Additional heuristics that address individual aspects.

  • Address-reuse detection (multi-use as a wallet-age indicator)
  • Wallet-software fingerprinting (e.g. Electrum, Trezor, Ledger, ...)
  • AI-based methods for even more accurate change-address detection
  • Machine-learning methods for precise outlier detection
Sztuczna inteligencja

Analiza klastrów wspomagana SI

Klasyczne heurystyki są uzupełniane nowoczesnymi metodami Machine Learning — w celu większej dokładności i mniejszej liczby błędnych przypisań.

01

Zaawansowane metody klastrowania:

Coinator łączy klasyczne metody heurystyczne z technikami Machine Learning (ML) i Data Mining (DM), aby precyzyjniej analizować adresy i transakcje Bitcoin. Celem jest wykrywanie powiązań wykraczających poza konwencjonalne reguły.

02

Sieci neuronowe do analizy adresów:

Wykorzystujemy sieci neuronowe (zwłaszcza GNN) w celu poprawy rozpoznawania powiązań między adresami, które wymykają się klasycznym heurystykom, takim jak multi-input czy analiza adresów reszty. Sieci GNN są trenowane na starannie przygotowanych zbiorach danych, aby następnie w produkcji dostarczać wiarygodnych analiz sieciowych w czasie rzeczywistym.

03

Klastrowanie transakcji oparte na zachowaniu:

Czasami „klucz" wiedzy nie znajduje się w samej topologii sieci, lecz jest ukryty w zachowaniu użytkownika. Coinator wykorzystuje tę ideę do grupowania transakcji wspomaganego SI, opartego na sekwencjach czasowych, zmiennościach kwot i powtarzających się (czasem nietypowych) wzorcach użycia.

04

Deep Learning (DL) do rozpoznawania struktur klastrów:

«Dziel i zwyciężaj!» To innowacyjne podejście stosuje analizę ML (pod)grafów transakcji w celu identyfikacji (pod)sieci ukrytych powiązań, z myślą o automatycznym rozpoznawaniu i nazywaniu jednostek.

05

Modele hybrydowe redukujące błędy:

W piątym i ostatnim filarze łączymy ugruntowane klasyczne heurystyki z wymienionymi algorytmami SI i ML, aby poprawić rozpoznawanie jednostek i ograniczyć błędne przypisania (wskaźnik fałszywie pozytywnych).

Pytania dotyczące metodologii?

Chętnie wyjaśnimy, które procedury najlepiej pasują do danego przypadku.

Skontaktuj się →