1.43 миллиона intelligence flags — что показывает внутренняя книга Sanctuary за 2026

**Entity labels по цепочкам** (10.58M всего): - Bitcoin: 10,112,582 (95.5 процента — историческое доминирование скраперов класса WalletExplorer, охватывающих BTC-attribution 2010-х) - Ethereum: 236,075 - BSC: 44,540 - Polygon: 32,576 - Base: 26,403 - Arbitrum: 25,489 - Optimism: 25,036 - Avalanche: 23,849 - TRON: 19,227 - Celo: 10,456 - Gnosis: 10,304 - Solana: 10,251 - TON: 4,050

**Типы entity** (топ-10 по количеству): - exchange: 4,633,134 - exchange_high_risk: 2,516,650 - fraudulent_exchange: 1,649,599 - sanctioned_entity: 510,338 - grey_exchanger: 434,761 - custodial_wallet: 336,621 - p2p_exchange: 200,005 - defi_protocol: 84,845 - ransomware: 82,347 - mining_pool: 38,734 - dprk_theft: 17,915 - mixer: 3,499

**Топ-источники entity_labels** (выборка): - scraper_walletexplorer: 9,633,535 (исторический BTC-скрапинг) - graphsense_tagpacks: 378,743 - cross_chain_replication: 155,693 - lockbit_leak: 59,975 (данные из утечки LockBit) - etherscan_labels: 36,465 - coingecko_tokens: 19,294 - tayvano_lazarus: 18,168 (курируемый список Lazarus от Tayvano) - opensanctions: 12,657 - ransomwhere: 11,186 - ofac_sdn_advanced: 1,139 - a7a5_token_scan: 271 (наш собственный скан кластера A7A5)

Состав асимметричен. Bitcoin доминирует в entity labels потому, что историческая scraping-инфраструктура работала дольше. Ethereum и EVM L2 имеют меньший абсолютный счёт, но более высокую экономическую плотность на адрес. TRON показывает наименьший счёт среди крупных цепочек — и, как будет показано ниже, наивысшую концентрацию санкций и заморозок относительно своего размера.

**Intelligence flags по risk_type** (выборка): - scam: 799,024 - ransomware: 136,494 - criminal: 135,471 - suspicious: 125,258 - phishing: 49,137 - entity: 40,850 - external_dataset: 34,547 - sanctions: 23,523 - proximity_exposure_unknown: 19,184 - frozen_stablecoin: 12,037 - fraud: 11,853 - graph_neighbor: 10,441 - mixer: 7,778 - money_laundering: 2,529 - associated_with_flagged: 2,135 - exploit: 2,073 - darknet: 1,717 - terrorist_financing: 1,524

**Intelligence flags по источникам** (выборка): - stableaml: 492,571 (собственный AML-скрапер Sanctuary по стейблкоинам) - real_cats: 219,002 - github: 170,039 (публичные адресные корпуса на GitHub) - graphsense_tagpacks: 120,084 - lockbit_leak: 59,975 - ransomwhere: 55,076 - tayvano_lazarus: 18,168 - opensanctions: 12,657 - tornado_cash_depositor: 7,708 (каждый кошелёк, взаимодействовавший с Tornado Cash как вкладчик) - forta_malicious: 7,259 - tether_blacklist: 2,920 - usdt_blacklist: 2,644

Разбивка операционно информативна. Категория scam — 799K флагов — почти в шесть раз превышает следующую по размеру категорию (ransomware, 136K). Это отражает доминирующий вектор потерь розничных пользователей в 2026 году: pig butchering и approval-phishing скамы, а не взломы государственными акторами или ransomware.

12,037 флагов frozen_stablecoin соответствуют событиям внесения в блэклист Tether и Circle, которые движок отслеживает посредством опроса каждые пятнадцать минут. 7,258 флагов tornado_cash_depositor — это каждый кошелёк, взаимодействовавший с Tornado Cash в качестве вкладчика; это источник propagation для поведенческого детектора `tornado_cash_recipient`, который срабатывает на нижестоящих кошельках.

1,524 флага terrorist_financing — самый низкий абсолютный счёт среди основных категорий — представляют обозначения наивысшего доверия, поскольку, как правило, поступают от OFAC, израильского NBCTF, британского FCDO и аналогичных государственных санкционных списков. Качество против количества инвертируется в этой категории.

Поведенческий детектор Sanctuary — движок сопоставления паттернов, формирующий флаги на основе on-chain активности без необходимости внешнего обозначения, — зафиксировал следующие счётчики по состоянию на середину мая 2026 года:

- dust_flood: 338 - fan_out_pattern: 166 - dormancy_spike: 141 - counterparty_funnel: 116 - mass_spam: 112 - mule_chain: 100 - rapid_relay_mule: 83 - high_freq_processing: 63 - same_amount_batch: 56 - cluster_risk_propagation: 54

Каждая строка — отдельная on-chain поведенческая сигнатура. dust_flood 338 — это количество кошельков, которые движок определил как цели атак с отравлением адреса (структурная сигнатура: переводы малой стоимости от множества источников, призванные заполнить историю недавних контрагентов кошелька адресами-двойниками под контролем атакующего).

dormancy_spike 141 структурно наиболее значим. Категория захватывает кошельки, бездействовавшие в течение длительного периода, а затем внезапно активировавшиеся с действием высокой стоимости — тот же поведенческий паттерн, который характеризовал кошелёк атакующего `HkGz4KmoZ7Zmk7HN6ndJ31UJ1qZ2qgwQxgVqQwovpZES` в эксплойте Drift Protocol 1 апреля 2026 года. Кошелёк атакующего на Drift был создан за восемь дней до эксплойта и оставался неактивным вплоть до 12-минутного окна слива. Эта сигнатура — одна из 141, обнаруженных движком. Оставшиеся 140 могут или не могут привести к эксплойтам уровня протокола; они разделяют структурный сигнал.

rapid_relay_mule 83 фиксирует кошельки в цепочках отмывания, где средства входят и выходят в течение минут без поведенческих признаков легитимного использования. mule_chain 100 фиксирует кошельки, участвующие в роли промежуточных хопов в более длинных цепочках отмывания. В совокупности с counterparty_funnel и same_amount_batch поведенческие категории создают операционную структуру для обнаружения отмывочных операций, подобных цепочке DSJ Exchange (Tokenlon → Bridgers → Butter Network → USDT0 → USDD), CCTP-маршрутизации атакующего Drift и сплитам KelpDAO через Umbra Cash.

Ежемесячный ingestion intelligence_flags начиная с декабря 2025:

- декабрь 2025: в нашем быстром запросе отдельно не выделен - февраль 2026: 287,298 - март 2026: 49,502 - апрель 2026: **1,077,465** — всплеск - май 2026 (до 15 мая): 16,912

В апреле 2026 было принято примерно в 22 раза больше флагов, чем в марте 2026. Состав апрельского всплеска:

- scam: 560,391 - criminal: 135,471 - suspicious: 125,257 - ransomware: 102,911 - entity: 40,773 - phishing: 39,682 - sanctions: 7,257 (один месяц санкционных обозначений — наивысший месячный темп в наших записях) - frozen_stablecoin: 11,797 (один месяц заморозок стейблкоинов) - terrorist_financing: 844 - address_poisoning: 288 (один месяц обнаружений отравления адресов)

Апрельский всплеск соответствует нескольким реальным событиям:

- Эксплойт KelpDAO 18 апреля ($292M, атрибутирован Lazarus) дал прямые записи уровня флагов для кластера атакующего и нижестоящих адресов вывода средств. - Эксплойт Drift Protocol 1 апреля ($285M) дал аналогичную нижестоящую propagation. - Принятие 20-го санкционного пакета ЕС 23 апреля и обновления OFAC по Ирану 23–27 апреля дали флаги категории sanctions. - Заморозка $344 миллиона в адресах, связанных с Ираном, Tether 23 апреля дала записи frozen_stablecoin. - Обвинительное заключение Министерства юстиции против Shunda Park 23 апреля и изъятие 503 фейковых доменов дали флаги категории scam на уровне первоисточника (сами домены) и нижестоящую propagation (кошельки, на которые домены направляли жертв).

В совокупности: апрель 2026 стал наиболее интенсивным с точки зрения правоприменения отдельным месяцем 2026 года на текущую дату. Ingestion флагов отражает правоприменительную активность.

Санкционированные адреса по цепочкам (активные, подмножество source-of-truth): - bitcoin: 16,002 - ethereum: 4,493 - tron: 2,073 - arbitrum: 331 - polygon: 326 - litecoin: 171 - solana: 68 - monero: 16 - dash: 14 - zcash: 9

Коэффициент концентрации санкций (sanctioned / total entity_labels по цепочке): - Bitcoin: 16,002 / 10,112,582 = 0.16 процента - Ethereum: 4,493 / 236,075 = 1.9 процента - TRON: 2,073 / 19,227 = **10.8 процента**

Концентрация санкций TRON примерно в 68 раз выше, чем у Bitcoin, и в 5.7 раза выше, чем у Ethereum. Структурное прочтение: пользовательская база TRON в нашем датасете attribution непропорционально криминальна. Это согласуется с ролью TRON как доминирующего USDT TRC-20 рельса для pig butchering, уклонения от санкций (Иран, A7A5) и потоков камбоджийских компаундов.

Адреса с замороженными стейблкоинами по цепочкам: - TRON: 8,918 (75 процентов) - Ethereum: 3,110 (26 процентов) - Прочие цепочки: менее 10 в совокупности

Три четверти заморозок стейблкоинов происходят на TRON. Это структурное следствие того, где сосредоточены нелегитимные потоки, — инструментарий заморозки Tether действует на цепочке, где находятся помеченные адреса, а помеченные адреса сосредоточены на TRON.

Датасет Sanctuary — один из десятков криптоAML-датасетов, работающих в 2026 году. Он не является крупнейшим по абсолютному счёту attribution (Chainalysis превышает 50 миллиардов записей attribution по своим собственным заявлениям; TRM Labs работает в аналогичном масштабе). Что он производит операционно — это последовательная, поведенчески выведенная оценка риска, сочетающая propagation внешних обозначений (санкции, блэклисты, утечки ransomware) с on-chain поведенческим обнаружением (dust_flood, dormancy_spike, mule_chain).

Для CASP или OTC-деска, интегрирующего Sanctuary, screening API возвращает:

- Прямое совпадение entity-label адреса (если есть) - Propagated-риск от вышестоящих хопов (настраиваемая hop depth) - Флаги поведенческих сигнатур от on-chain детектора паттернов - Cross-chain edge attribution при наличии bridge exposure у адреса - Статус freeze-пайплайна (заморожен / не заморожен / кандидат на заморозку)

Итоговый скор — это выходные данные. 1.43 миллиона intelligence flags — исходные данные, с которыми работает итоговое вычисление.

10.58 миллиона entity labels. 1.43 миллиона intelligence flags. Апрельский всплеск правоприменения 2026 года дал 1.08 миллиона флагов за один месяц. Поведенческие сигнатуры зафиксировали те же on-chain паттерны, которые лежали в основе крупнейших эксплойтов года.

Для compliance-команд в 2026 году: датасет, проверяющий клиентские потоки, сам является операционным артефактом. Проверяйте, какие источники использует ваш вендор, как работает propagation, какие поведенческие детекторы срабатывают и какова охваченность freeze-пайплайна. Датасет — это screening. Screening — это решение.

Читайте книгу. Паттерны видны. Решения следуют.