AI-система детекции подозрительных транзакций на блокчейне (AML on-chain)

AI-система детекции подозрительных транзакций на блокчейне AML on-chain

On-chain AML — обязательный элемент compliance для криптовалютных бирж (FATF Travel Rule, MiCA, российские требования ЦБ). AI-система заменяет ручную проверку и rule-based подходы, давая масштабируемую детекцию на тысячах транзакций в секунду.

Паттерны отмывания в блокчейне

Layering через multiple hops

Классическое отмывание: деньги проходят через цепочку адресов для разрыва трассировки. Алгоритм backward tracing с ML-приоритизацией: какие адреса в цепочке наиболее подозрительны.

Mixer / Tumbler usage

Централизованные и децентрализованные миксеры (Tornado Cash, Chipmixer) смешивают транзакции для анонимизации. Признаки: транзакции round amounts, timing patterns характерные для mixing pools, known mixer addresses.

Детекция: entity labeling известных миксеров + поведенческий классификатор для неизвестных (round amount clustering, pool-like behavior).

Peel chain

Длинная цепочка транзакций, каждая из которых перенаправляет большую часть суммы на следующий адрес. Характерно для вывода средств из взломанных проектов.

Exchange hopping

Быстрая конвертация через несколько бирж для запутывания следов. Cross-exchange transaction graph.

Structuring (smurfing)

Разбивка крупных сумм на множество мелких транзакций для обхода reporting thresholds. Детекция: temporal clustering транзакций от/к одному адресу в короткое окно.

GNN-модель для детекции

Граф транзакций — естественная среда для GNN. Узлы: адреса. Рёбра: транзакции (с атрибутами: сумма, время, тип). Задача: классификация узлов (адресов) как suspicious/legitimate.

GraphSAGE/GAT архитектура:

• Node features: объём транзакций, количество входящих/исходящих, средние суммы, временные паттерны, age
• Edge features: суммы, частота, временные окна
• Aggregation: multi-hop neighborhood information
• Classification head: binary (подозрительный / нет) + category (mixer, exchange, scam, etc.)

Датасет для обучения: labeled данные от compliance-команд бирж + публично известные мошеннические адреса + negative sampling из verified legitimate addresses.

Результаты на реальных данных Ethereum: precision 0.89, recall 0.82 для high-risk категорий. False positive rate: 3.1% на volume-weighted basis.

Real-time скоринг

Требование к latency: решение до подтверждения транзакции (для биржевых депозитов — при поступлении в mempool).

Архитектура:

Mempool monitoring → Feature extraction → GNN inference → Risk decision

Latency breakdown:
  - Mempool to queue: <1s
  - Feature extraction: 50-200ms (graph neighborhood lookup)
  - GNN inference: 20-50ms (ONNX Runtime на GPU)
  - Risk decision + alert: <10ms
Total P99: <500ms

Для confirmed transactions (historical): batch processing 10,000+ tx/second.

Интеграция с регуляторными требованиями

FATF Travel Rule (Правило путешествий)

Для переводов >$1000/$3000 биржи обязаны передавать информацию об отправителе/получателе. AI-система автоматически:

• Идентифицирует VASP-адреса (Bitfinex, Kraken, etc.) как counterparty
• Инициирует Travel Rule message exchange через TRISA/VerifyVASP протоколы
• Флагирует переводы к non-compliant адресам

Suspicious Activity Reports (SAR)

При обнаружении suspicious patterns: автоматическая подготовка черновика SAR с:

• Timeline событий
• Суммами и адресами
• Описанием suspicious pattern
• Связями с known bad actors

Итоговое решение о подаче SAR — всегда за compliance officer.

Screening lists

OFAC SDN, EU Sanctions, UN списки — автоматическая проверка при каждом депозите/выводе. Прямые и indirect matches через граф-анализ.

Операционные метрики

• Coverage: 15+ блокчейнов параллельно
• Processing: 50,000+ транзакций/минута
• Alert volume: 0.3–1.2% транзакций флагируются
• True positive rate среди флагированных: 68–74% (после ML-фильтрации rule-based результатов)
• SAR auto-draft accuracy: 91% (минимальная правка compliance officer)