Chainhunters Logo
C

Chainhunters

8 min
Blockchain
crypto
aangifte
onderzoek
Transaction & Address Feature Analysis: Hoe worden transacties en adressen geanalyseerd?
In deze blog post gaan we dieper in op hoe transaction & address feature analysis werkt, welke technieken je kunt gebruiken, en welke tools en methodologieën het meest effectief zijn.

1. Input & Output Structuur

Elke blockchain-transactie heeft inputs (waar het geld vandaan komt) en outputs (waar het geld naartoe gaat). Door patronen te herkennen in hoe deze worden gebruikt, kunnen transacties gelinkt worden aan specifieke wallets of entiteiten. Lees meer over hoe het UTXO-model precies werkt in onze blog Wat is het UTXO-model in Bitcoin onderzoek?.

Wat te analyseren?

  • Aantal inputs en outputs:
    • Veel inputs → Kan duiden op een aggregatie-transactie (bijv. een exchange die meerdere kleine bedragen combineert, om de funds op te slaan in de hot wallet van de exchange).
    • Veel outputs → Mogelijk een uitbetalingsbatch (bijv. een miningpool of een service die uitbetalingen verwerkt). Dit zou kunnen betekenen dat de ontvanger dus geld ontvangt van een service die geld uitbetaald.
  • Exacte bedragen:
    • Soms worden exacte bedragen herhaald in meerdere transacties. Dit kan wijzen op geautomatiseerde scripts of betalingen met vaste bedragen.
  • Wisselgeld-output (change address):
    • Vaak wordt een deel van de transactie teruggestuurd naar de afzender via een change address.
    • Door het gedrag van change addresses te analyseren, kan men wallets groeperen.

batch payment

2. Tijdelijke patronen & Transaction Timing Analysis

De timing van transacties kan waardevolle inzichten geven in gebruikersgedrag en automatisering.

Wat te analyseren?

  • Zijn er terugkerende transacties op vaste tijdstippen?
    • Dit kan wijzen op bots, geautomatiseerde trading of salarisbetalingen. Het zou ook kunnen betekenen dat de eigenaar van de wallet in een bepaald gebied werkt in de wereld.
  • Ongebruikelijke activiteit in daluren of rondom hacks?
    • Vaak worden grote hacktransacties uitgevoerd op momenten met lage netwerkactiviteit om minder op te vallen.
  • Zijn er 'linked transactions' binnen seconden van elkaar?
    • Kan wijzen op wallet clustering – mogelijk wordt een enkele entiteit blootgelegd.

Praktisch voorbeeld:
Na een grote exchange-hack worden gestolen fondsen snel verplaatst, vaak naar mixers of privacy-georiënteerde wallets. Door de timing van deze transacties te vergelijken met eerdere hackpatronen, kan een verband worden gelegd tussen verschillende diefstallen.

3. Fee-structuren en transactiekosten

Sommige wallets en gebruikers hebben kenmerkende fee-structuren die hen kunnen verraden.

Wat te analyseren?

  • Gebruik van standaardfees of custom fees?
    • Exchanges en grote platforms gebruiken vaak standaard fee-instellingen.
    • Individuele gebruikers stellen soms handmatig fees in.
  • Plotselinge spikes in fee-niveaus?
    • Hacks en grootschalige witwasoperaties hebben vaak zeer hoge fees om transacties snel te bevestigen.

Praktisch voorbeeld:
Een ransomware-groep gebruikt altijd ongebruikelijk hoge fees om hun BTC snel te laten verwerken. Door dit patroon te volgen, kunnen onderzoekers verdachte transacties snel filteren.

Address Feature Analysis: Wallets en Adressen Identificeren

Blockchain-adressen op zichzelf zijn pseudoniem, maar door gedragsanalyse kunnen ze worden gelinkt aan specifieke gebruikers of diensten.

1. Wallet Clustering & Heuristieken

Een van de krachtigste methodes in blockchain-analyse is wallet clustering, waarbij meerdere adressen aan dezelfde eigenaar worden gekoppeld.

Heuristieken die vaak worden gebruikt:

  • "Common Input Ownership" (Multi-input heuristic):
    • Als meerdere adressen worden gebruikt als input voor dezelfde transactie, is de kans groot dat ze tot dezelfde wallet behoren.
  • "Change Address Identification":
    • Vaak ontvangt de afzender van een transactie 'wisselgeld' terug. Het herkennen van deze patronen helpt om wallets te groeperen.
  • "Peeling Chain Detection":
    • Bij witwassen wordt geld vaak beetje bij beetje verplaatst via een reeks kleine transacties. Dit heet een peeling chain.

Praktisch voorbeeld:
Een onderzoeker ontdekt dat een illegale marktplaats op het dark web haar winsten verplaatst via een peeling chain, waarbij BTC in duizenden micro-transacties wordt verspreid.

2. Adrestypen en Wallet Fingerprints

Sommige blockchains hebben verschillende soorten adressen, die kunnen helpen bij identificatie.

Bitcoin-adrestypen:

  • Legacy (1xxxx…) → Oudere wallets en sommige exchanges
  • SegWit (3xxxx…) → Exchange-wallets en moderne wallets
  • Native SegWit (bc1q…) → Meest gebruikte adressen op dit moment
  • Taproot (bc1p…) → nieuwe adressen die gebruikt kunnen worden door privacy-bewuste gebruikers

Ethereum-adressen:

  • EOA (Externally Owned Address) vs. Smart Contract Address
  • Exchanges gebruiken vaak EOA-wallets, terwijl smart contracts worden gebruikt voor DeFi-diensten.

Praktisch voorbeeld:
Een hacker verplaatst gestolen ETH naar een smart contract-based mixer. Doordat het ontvangstadres een contract is en niet een regulier wallet-adres, kunnen onderzoekers dit identificeren als een potentiële mixer-service.

Tools en Technieken voor Blockchain-analyse

Er zijn verschillende krachtige tools voor crypto-investigators een tip is om deze tools te combineren met elkaar en altijd eerst te beginnen met de eenvoudigste / handmatige tools en dan deze te combineren met de andere tools.

Transaction en address feature analysis vormen de ruggengraat van blockchain-forensics. Door te letten op patronen in inputs, outputs, fees, timing en walletgedrag, kunnen onderzoekers verdachte activiteiten blootleggen en criminelen traceren.