Мы продолжаем разговор про сбор донатов в криптовалютах, все более актуальном способе сбора средств для независимых редакций и общественных организаций.
Несмотря на то, что после октябрьского 19-го пакета санкций с криптодонатами стало совсем непросто, криптовалюта все еще остается быстрым и относительно приватным способом для независимых проектов получать поддержку.
О том, что понесли за собой санкции для криптодонатов, читайте в нашем материале «5 способов собирать донаты через криптовалюту».
А сегодня мы сосредоточимся на другом:
- что можно вычислить по адресу крипто-кошелька,
- какие риски это создает для гражданских проектов и тех, кто их поддерживает,
- и как минимизировать информационные следы.
Риски для криптодонатов
① Есть серьезный риск, связанный с криптодонатами, который мало кто обсуждает.
Дело в том, что Bitcoin и другие криптовалюты — это НЕ анонимные деньги.
Представьте, что каждая ваша банковская транзакция публикуется в открытом доступе, но вместо вашего имени стоит номер счета. Если кто-то узнает, что этот номер принадлежит вам — вся история платежей становится видна. Именно так работает Bitcoin и большинство других криптовалют.
«Bitcoin — не анонимная, а псевдонимная система», — комментирует этот нюанс эксперт по блокчейну и безопасности Андреас Антонопулос. «Анонимность здесь удается сохранять лишь ограниченное время, и это не равняется приватности по умолчанию».
Это применимо ко всем публичным неприватным блокчейнам: Bitcoin, Ethereum и другим.
② Второй важный момент: существуют специальные сервисы для анализа адресов криптокошельков:
- Etherscan,
- Chainalysis,
- Elliptic и др.
С помощью этих общедоступных сервисов любой человек со стороны может определить, откуда и когда вам приходят деньги, на какие биржи вы их выводите, и с каких IP-адресов проверяете баланс.
Что это значит на практике?
Современные аналитические инструменты (Chainalysis, TRM Labs, Elliptic, CipherTrace) позволяют связывать адреса с реальными людьми. Они используют кластеризацию, анализ поведения (время, суммы, выбор токенов), сопоставление с KYC-биржами (биржи с проверкой личности) и IP-данные с публичных блокчейн-эксплореров (сайты для просмотра транзакций и балансов).
Для организаций и доноров это означает: одна ошибка в управлении адресами и транзакциями — переиспользование адреса, многовходовые транзакции, проверка без Tor или вывод через KYC-биржу — может раскрыть всю сеть финансирования и личность участников.
Если НКО неправильно работает с криптой, со стороны можно узнать суммы пожертвований и настоящие имена жертвующих. Одна ошибка — и анонимность (вернее, «псевдонимность») потеряна.
Какие это ошибки?
Вы используете один и тот же криптоадрес много раз — и вся ваша история платежей видна в одном месте в сервисе-анализаторе типа Etherscan.
Если объединяете деньги с разных кошельков — все они связываются между собой. Вывод на KYC-криптобиржи (KYC = Know Your Customer) «мэтчит» адрес кошелька с паспортом человека.
Если человек регулярно отправляет криптодонат в одно и то же время на одинаковую сумму (рекуррентные платежи) — его легче вычислить.
Как снизить эти риски?
Если вы принимаете криптодонаты:
— Разделяйте адреса по назначению. Личные средства сотрудников, донаты и критически важные операции организации должны идти на разные кошельки. Это помогает, если что-то пойдёт не так: ошибка с одним адресом (например, вывод через KYC-биржу или просмотр транзакции без Tor) не раскрывает всю сеть ваших кошельков и не объединяет разные финансовые потоки.
— Используйте приватные методы переводов — Zcash и CoinJoin. Zcash — криптовалюта, у которой в shielded-режиме (z-адреса) данные о платеже не публикуются в блокчейне (отправитель, получатель, сумма скрыты). Метод CoinJoin объединяет транзакции нескольких пользователей, скрывая соответствие входов и выходов. CoinJoin можно реализовать через сервисы Whirlpool и Wasabi.
Почему мы не рекомендуем Monero (XMR)?
Monero технически самая приватная криптовалюта: транзакции по умолчанию скрывают отправителя, получателя и сумму. Но из-за делистинга на крупных биржах (Binance, Kraken, другие) вашим донатерам будет сложно купить XMR, а вам — конвертировать его в доллары или евро. Для большинства НКО, работающих в юрисдикциях с жестким регулированием и зависимых от крупных бирж, Monero сейчас может создавать больше операционных сложностей, чем решать. Подробнее — здесь.
— Обновляйте адреса. Если вы публикуете просьбу о донатах — в соцсетях или рассылке — создавайте новый адрес под каждую кампанию. Публикация одного и того же адреса снова и снова объединяет все транзакции в один граф, который аналитические сервисы могут сопоставить с донорами. Чем меньше переиспользования — тем меньше связи между донорами и вашими внутренними операциями.
— Используйте Tor, VPN и собственные ноды. Tor/VPN скрывает ваш IP при работе с кошельками и блокчейн-эксплорерами. Собственные ноды (full node) — это полные копии блокчейна, позволяющие проверять транзакции без отправки данных на публичные серверы.
— Проверяйте свежесть крипто-адреса. Свежий адрес — это адрес, который еще не использовался в других транзакциях и не связан с KYC-биржами. Использование свежего адреса минимизирует возможность сопоставления новых пожертвований с предыдущими транзакциями. Как проверять: через блокчейн‑эксплореры только с Tor/VPN, чтобы не светить IP; убедиться, что у адреса нет истории транзакций, создавать новый адрес специально для приема пожертвований.
Если вы отправляете криптодонаты:
— Избегайте KYC-бирж при отправке пожертвований. Биржи, где требуется проверка личности, связывают ваш паспорт и кошелек.
— Используйте P2P-подходы — например, OTC (over-the-counter — прямые сделки между людьми); Bisq (P2P-платформа); DEX (децентрализованные биржи — торговля через смарт-контракты без KYC). Все эти методы уменьшают объем персональных данных, собираемых централизованными провайдерами, хотя сами транзакции по‑прежнему видны в блокчейне.
— Следите за повторным использованием адреса. Каждый адрес — только для одной цели. Многократное использование одного адреса облегчает кластеризацию и построение графов активности.
— Варьируйте время и сумму переводов. Регулярные одинаковые действия создают поведенческие паттерны, которые помогают аналитикам связывать адреса между собой.
— Проверяйте, что адрес организации подготовлен для приватного приема. Адрес должен быть новым, не иметь предыдущих транзакций и использовать приватные методы CoinJoin или Zcash-shielded.
Надеемся, этот материал был вам полезен — сохраняйте, делитесь с коллегами и используйте в работе с криптодонатами.