Большой Микшер в сети Эфириум

68% от объема всех транзакций Эфириум в стоимостном выражении управляется одной системой

Анализируя транзакции сети Эфириум, команда cyber•Fund столкнулась с находкой, поразившей нас настолько, что мы решили заняться этой темой подробнее. В данной статье мы хотели бы поделиться своими выводами с сообществом, и надеемся, что вместе мы сможем найти правильный ответ.

Что мы выяснили

Кластеризация всех адресов сети Эфириум за период с момента создания сети до 15 августа 2017 года позволила выявить класс адресов, которые в данной статье мы будем называть «временными». Это такие адреса, средства на которые начисляются и выводятся в течение короткого промежутка времени, как правило, не более 1 часа, после чего данные адреса больше не используются. Временные адреса составили 46% всех активных адресов и обработали 65% от общего объема всех транзакций в стоимостном выражении в течение рассматриваемого периода. Анализируя транзакции, в которых данные адреса участвовали, нам удалось воспроизвести более полную картину происходящего:

          Признаки управляемого Микшера?

В центре изображения выше видно ядро ​​механизма, который мы назвали Микшер (Mixer), о чем подробнее далее. Ядро более чем на 95% состоит из временных адресов со временем жизни один час. Ядро ​​взаимодействует с адресами “прокладки”, которая включает как постоянные, так и временные адреса. Адреса прокладки, в свою очередь, получают эфиры от входящих адресов (адреса, с которых средства идут на адреса прокладки) и затем после обработки ядром Микшера отправляют эфиры на исходящие адреса (адреса, на которые поступают средства с адресов прокладки). Мы посмотрели информацию по этим адресам в Etherscan. Только для некоторых из них было указано имя владельца. Другие имена, приведенные на изображении выше, - это имена, упомянутые в комментариях пользователей на Etherscan, поэтому мы можем только предполагать, что они являются настоящими владельцами данных адресов. В итоге выяснилось, что объем транзакций в стоимостном выражении, поступивших в ядро и покинувших его, в 4 раза выше, чем объем внешних транзакций ядра и оболочки вместе взятых. Все это напомнило нам механизм смешивания, поэтому мы дали ему рабочее название Микшер.

Адреса с входящими суммами ~500, ~1000, ~2000, ~3000, ~5000 и ~10 000 ETH составляют 68,5% (2,601,041,693.6 из 3,791,195,132,0 ETH) от общего объема всех транзакций в стоимостном выражении сети Эфириум и 10,7% (6 216 314 из 58 035 623) от общего числа транзакций сети за рассматриваемый период. Дальнейший анализ показал, что данные адреса связаны друг с другом и могут контролироваться одной и той же системой.

График, представленный ниже, демонстрирует изменение доли Микшера в общем объеме транзакций в стоимостном выражении:

По графику выше можно проследить, что данная система сначала была протестирована в 2016 году, и стала активно использоваться с февраля 2017 года. Это может быть связано с ростом капитализации и ликвидности Эфириум. Самое интересное, что общая картина роста объема транзакций в стоимостном выражении сети Эфириум резко меняется при исключении доли Микшера. Исключив из анализа транзакции Микшера, можно увидеть, что в основном именно они способствовали общему росту объема транзакций в стоимостном выражении сети Эфириум.

Проведенный анализ

Можно выделить следующие классы адресов в зависимости от того, какая сумма в эфирах поступает на адрес за все время:

Рассмотрев все 6 282 858 адресов, участвовавших во всех транзакциях сети Эфириум с момента ее создания до 15 сентября 2017 года, мы обратили внимание на следующие классы:

На эти адреса приходится 67,5% от общего объема всех транзакций в стоимостном выражении, и эти транзакции составляют 8,5% от общего числа транзакций, совершенных в сети Эфириум в течение рассматриваемого периода. Почему же мы полагаем, что данные адреса связаны?

На приведенном ниже графике можно увидеть, как классы адресов поочередно сменяют друг друга. Возьмем к примеру один класс адресов с суммой входящих транзакций в размере около 1000 ETH каждая. После некоторого периода активности этот класс перестает функционировать, и его сменяет следующий класс адресов, с суммой входящих транзакций - около 3000 ETH. Таким образом, адреса действуют последовательно, что заставляет нас предположить о существовании определенной системы, контролирующей данные действия. Эти адреса составляют ядро системы.

Выводы

В ходе дальнейшего анализа системы мы выявили временные и постоянные адреса, окружающие ядро и связанные с ним. Расчеты по адресам ядра вместе с адресами, составляющими окружение ядра, за период с момента запуска Эфириум до 15 сентября 2017 года дали следующие результаты:

Гипотезы

Ниже приводим возможные объяснения явлению, описанному в данной статье:

1. Механизм защиты клиентов, который используют криптовалютные биржи: все средства клиентов смешиваются так, того чтобы стало невозможным отследить источники происхождения средств. В результате, держатели “чистых” средств не могут быть необоснованно обвинены в какой-либо незаконной деятельности.
2. Механизм, используемый резидентами США, которые хотят избежать контроля со стороны регулирующих органов своей страны.
3. Механизм, используемый крупной частной биржей, направленный на сохранение конфиденциальности своих клиентов; такая биржа может работать с фиатными активами.
4. Механизм безопасного обмена крипто-активов между криптовалютными биржами.
5. Схема по отмыванию Эфира.

Утверждения выше являются лишь предположениями, которые мы хотели бы обсудить со всеми, кому интересна данная тема. Будем рады выслушать любые другие гипотезы и мнения. Более подробную информацию вы можете найти в Приложении.

Исследование, которое мы проделали, можно повторить самостоятельно: мы выложили Jupiter Notebook и инструкцию к нему на Github.

Контакты для обратной связи: datascience@cyber.fund, analytics@cyber.fund

Приложение

Если вы хотите самостоятельно просмотреть адреса на Etherscan, вы можете скопировать их из этой таблицы.