Effectief crypto-onderzoek begint met blockchain-tools

Een overzicht van openbaar beschikbare blockchain-tools voor rechercheurs en analisten

Wat zijn blockchain-tools?
Blockchain-tools zijn software waarmee je gegevens uit een blockchain kunt opvragen, analyseren en visualiseren. Denk aan het opzoeken van een wallet-adres, het volgen van transacties of het inzichtelijk maken van geldstromen.

Er zijn veel verschillende soorten tools. Sommige werken als een eenvoudige zoekinterface en tonen basisinformatie per adres of transactie. Andere tools gaan verder en helpen bij het herkennen van patronen en het leggen van verbanden tussen adressen.

Voor onderzoeksdoeleinden kun je grofweg twee typen onderscheiden:
• Openbaar beschikbare tools, zonder abonnement toegankelijk, geen of beperkte registratie vereist. Geschikt voor een eerste verkenning.
• Betaalde tools, zoals Chainalysis of TRM Labs. Deze koppelen adressen aan entiteiten, herkennen patronen over grote datasets en maken het mogelijk verbanden te visualiseren.

Dit artikel richt zich op de openbaar beschikbare tools, hierna open tools genoemd.

Wat doen open tools?
Open tools zijn openbaar toegankelijk. De onderliggende blockchain-data is voor iedereen beschikbaar, waardoor bevindingen gecontroleerd en onderbouwd kunnen worden, wat belangrijk is bij juridische vastlegging. Er zijn verschillende soorten open tools. In dit artikel bespreken we er twee: block explorers en enrichment tools.

Block explorers zijn zoekinterfaces waarmee je blockchain-data kunt opzoeken per adres of transactie. Bekende voorbeelden zijn mempool.space en Etherscan.

Met een block explorer zie je bijvoorbeeld:
• hoeveel crypto is verstuurd;
• wanneer een transactie heeft plaatsgevonden;
• welke adressen betrokken zijn.

Block explorers tonen vooral ruwe data. Ze laten zien wat er is gebeurd, maar niet wie erachter zit. Ook leggen ze geen verbanden tussen verschillende adressen en herkennen ze geen patronen over grotere datasets.

Enrichment tools voegen extra informatie toe aan adressen en transacties. Dit doen ze door blockchain-data te combineren met externe bronnen. Voorbeelden zijn Chainabuse en Arkham.

• Chainabuse laat zien of een adres eerder als verdacht is gemeld.
• Arkham koppelt adressen aan bijvoorbeeld exchanges, bedrijven of andere bekende partijen.

Soms bieden deze tools extra functionaliteiten via een betaald abonnement.

In de praktijk beginnen de meeste onderzoekers met open tools. Ze zijn snel te gebruiken en geschikt voor een eerste verkenning. Je krijgt een snel beeld van de geldstromen en betrokken adressen.

Wordt het onderzoek complexer, met meer adressen, meerdere blockchains of ingewikkelde verbanden, dan zijn vaak geavanceerdere tools of een specialistische analyse nodig.

Let op: resultaten uit open tools moet je altijd kritisch beoordelen. Zie ze als een eerste aanwijzing, niet als definitief bewijs.

Hieronder volgen enkele voorbeelden van open tools:

1) mempool.space
Mempool.space is een block explorer voor het Bitcoin-netwerk. Met deze tool kun je blockchain-data bekijken, zoals transacties, adressen en blokken.
De tool haalt data rechtstreeks op via eigen Bitcoin-nodes. De broncode van mempool.space is open source en beschikbaar via GitHub.

Wat kan je ermee doen?
• Transacties opzoeken via een transactie-ID.
• Wallet-adressen doorzoeken: saldo en transactie geschiedenis.
• Actuele netwerkdrukte: hoeveel transacties wachten op bevestiging en wat zijn de huidige fees.

Wanneer gebruik je mempool.space?
Mempool.space is vooral geschikt voor een eerste analyse. Je krijgt snel inzicht in wat er met een adres of transactie is gebeurd.

Per adres kun je zien:
• wanneer het voor het eerst op de blockchain is gebruikt;
• welke bedragen zijn ontvangen en verstuurd;
• met welke adressen transacties verband houden.

Een belangrijk concept dat je hiermee kunt analyseren is het wisselgeldadres (change address). Bij een Bitcoin-transactie worden één of meerdere inputs gebruikt. Vaak is de totale waarde van deze inputs hoger dan het bedrag dat wordt verstuurd. Het resterende deel wordt dan teruggestuurd naar een adres dat door de verzender wordt gecontroleerd. Dit noemen we het wisselgeldadres.

Door dit adres te herkennen, kun je inschatten welke adressen waarschijnlijk bij dezelfde gebruiker horen. Dit helpt om stap voor stap meerdere adressen aan elkaar te koppelen en een eerste beeld van het netwerk op te bouwen.

Daarnaast kun je eenvoudig eerdere en latere transacties volgen. Ook is het mogelijk om blok voor blok door de blockchain te navigeren en alle transacties binnen een specifiek blok te bekijken.

Beperkingen
Mempool.space heeft ook beperkingen:
• het ondersteunt alleen het Bitcoin-netwerk
• adressen worden niet gelabeld (bijvoorbeeld als exchange of bedrijf)
• verbanden tussen adressen moet je zelf leggen
• data is niet eenvoudig in bulk te exporteren

Voor uitgebreidere analyse is aanvullende tooling nodig.

2) Etherscan
Etherscan is een block explorer voor het Ethereum-netwerk. Met deze tool kun je transacties, adressen en smart contracts bekijken.

Ethereum wordt niet alleen gebruikt voor betalingen. Het netwerk vormt ook de basis voor tokens zoals USDT en USDC, NFT’s en DeFi-protocollen. Daardoor zijn transacties vaak complexer dan op het Bitcoin-netwerk.

Etherscan is in 2015 opgericht door Matthew Tan en is een van de eerste explorers binnen het Ethereum-ecosysteem. Het bedrijf is gevestigd in Kuala Lumpur, Maleisië.

Wat kun je ermee doen? Met Etherscan kun je onder andere:
• Transacties opzoeken via transactie-ID.
• Wallet-adressen doorzoeken: saldo en transactiegeschiedenis.
• Token-transacties analyseren: niet alleen Ethereum, maar ook tokens als USDT en USDC.
• Interacties met smart contracts zoals NFT-platforms en DeFi-applicaties.
• Labels bij bekende adressen, bijvoorbeeld "Binance: Hot Wallet" of "Uniswap: Router".

Hoe lees je een transactie?
Bij het openen van een transactie toont Etherscan bovenaan een overzicht: van welk adres, naar welk adres en welk bedrag. Dit is een vereenvoudigde weergave van de onderliggende data.

De volledige details staan in de transactiegegevens en event logs. Hier zie je wat er technisch is gebeurd binnen de smart contracts.

Eén transactie kan meerdere onderliggende acties bevatten. Bijvoorbeeld bij een swap via een DeFi-protocol, waarbij tokens worden omgewisseld. In dat geval zie je meerdere token-transfers binnen één transactie.

Daarom is het belangrijk om niet alleen naar het overzicht te kijken, maar ook naar de onderliggende details.

ENS (Ethereum Name Service)
Etherscan ondersteunt de Ethereum Name Service (ENS). Dit is een systeem waarbij een leesbare naam wordt gekoppeld aan een adres, zoals vitalik.eth.

Als je zo’n naam hebt gevonden tijdens je onderzoek, kun je deze direct gebruiken in de zoekbalk.

Beperkingen
Etherscan heeft ook beperkingen:
• het is een commercieel platform en de broncode is niet openbaar;
• inkomsten komen onder andere uit advertenties en betaalde functies;
• de interface kan complex zijn bij transacties met veel interacties;
• labels bij adressen zijn niet altijd volledig of actueel;
• Etherscan ondersteunt alleen het Ethereum-netwerk (andere netwerken hebben eigen explorers).

Het analyseren van Ethereum-transacties vraagt extra aandacht. Door het gebruik van smart contracts en tokens kunnen transacties uit meerdere stappen bestaan, die niet altijd direct zichtbaar zijn in het overzicht.

3) Arkham (intel.arkm.com)
Arkham Intelligence is een enrichment tool die blockchain-adressen koppelt aan entiteiten en geldstromen visueel weergeeft. Het platform is in 2020 opgericht door Miguel Morel.

Arkham combineert blockchain-data (on-chain) met externe informatie (off-chain), zoals openbare bronnen en gebruikersbijdragen. Op basis daarvan worden adressen gegroepeerd en — waar mogelijk — gekoppeld aan partijen zoals exchanges, bedrijven of andere organisaties.

Wat kun je ermee doen?
Met Arkham kun je onder andere:
• adressen bekijken met automatisch toegekende labels;
• zien welke adressen waarschijnlijk bij dezelfde entiteit horen;
• geldstromen tussen adressen visueel volgen in een grafiek;
• entiteiten en hun bijbehorende adressen verkennen;
• alerts instellen op specifieke adressen (beperkt in de openbare versie).

Wanneer gebruik je Arkham?
Arkham is vooral bruikbaar wanneer je wilt begrijpen wie er mogelijk achter een adres zit of wanneer je geldstromen tussen meerdere adressen inzichtelijk wilt maken.

De openbare versie is toegankelijk na registratie en biedt al bruikbare inzichten voor een eerste analyse.

Verdienmodel
Het verdienmodel van Arkham wijkt af van veel andere tools. De basisfunctionaliteit is openbaar beschikbaar. De betaalde functies richten zich vooral op API-toegang en geautomatiseerde dataverwerking.

Belangrijke aandachtspunten
Het is belangrijk om kritisch te blijven op de labeling. De toeschrijvingen in Arkham zijn gebaseerd op eigen analyses en op informatie van gebruikers. Deze labels zijn niet altijd volledig of onafhankelijk geverifieerd. Zie ze daarom als aanwijzingen, niet als definitief bewijs.

4) Chainabuse (chainabuse.com)
Chainabuse is een meldingsplatform voor verdachte crypto-adressen. Het platform is ontwikkeld door TRM Labs en stelt gebruikers in staat om adressen te rapporteren in een openbaar doorzoekbare database.

De meldingen zijn afkomstig van slachtoffers, onderzoekers en partnerorganisaties wereldwijd.

Wat kun je ermee doen?
Met Chainabuse kun je onder andere:
• zien of een adres eerder is gemeld;
• het type oplichting en de datum van meldingen bekijken;
• gerapporteerde schadebedragen inzien;
• zelf adressen rapporteren namens slachtoffers.

Wanneer gebruik je Chainabuse?
Chainabuse is vaak een goede eerste check bij een nieuw adres in een onderzoek.
Als een adres al eerder is gemeld, krijg je direct extra context. Bijvoorbeeld over het type fraude of de werkwijze. Dit kan helpen om patronen te herkennen en mogelijk verbanden te leggen tussen meerdere meldingen of adressen.

Belangrijke aandachtspunten
De meldingen op Chainabuse zijn niet geverifieerd. Ze zijn gebaseerd op gebruikersinput en kunnen onvolledig of onjuist zijn.

Gebruik deze informatie daarom als aanwijzing en context, niet als zelfstandig bewijs.
Hetzelfde geldt voor schadebedragen: deze zijn gerapporteerd door gebruikers en kunnen afwijken van de werkelijke situatie.

Open tools blijven relevant, ook wanneer betaalde tooling beschikbaar is:
• Verificatie: bevindingen uit betaalde tools zijn te controleren aan de hand van openbare brondata, wat relevant is bij juridische vastlegging.
• Transparantie: openbare data is raadpleegbaar door alle partijen, ook door een rechtbank of verdediging. Dat maakt de onderzoeksmethode toetsbaar.
• Toegankelijkheid: geen licentie, geen goedkeuringsproces, direct bruikbaar bij een eerste verkenning of tijdgevoelig onderzoek.
• Kosten: niet elke organisatie heeft toegang tot betaalde tooling. Open tools maken een basisanalyse mogelijk zonder budget.

Wanneer zijn open tools niet toereikend?
Open tools bereiken hun grenzen zodra een onderzoek complexer wordt. Bijvoorbeeld bij:
• grotere aantallen adressen;
• meerdere blockchains tegelijk;
• de behoefte aan attributie (wie mogelijk achter een adres zit).

Ook bij het gebruik van mixers of privacy-coins zoals Monero bieden open tools vaak weinig houvast.

Een label in bijvoorbeeld Arkham of een melding op Chainabuse kan richting geven, maar vormt geen bewijs. Voor conclusies die juridisch standhouden is aanvullende analyse noodzakelijk.

Drie inzichten
• Block explorers zijn een startpunt, geen eindpunt. Ze tonen ruwe feiten zoals bedragen, tijdstippen en adressen.
• Elke blockchain heeft zijn eigen explorer. Bepaal eerst op welk netwerk een adres actief is, en ga dan pas zoeken.
• Resultaten vereisen altijd beoordeling. De interpretatie van wat er op de blockchain staat blijft mensenwerk.

Verder verdiepen
De tools in dit overzicht zijn toegankelijk voor elke onderzoeker. Het verschil tussen een adres bekijken en het begrijpen zit in het interpreteren van patronen. Gerichte training in crypto-onderzoek helpt om het interpretatievermogen te ontwikkelen en biedt structuur en verdieping.

Neem contact op

Wil je meer informatie over onze oplossingen, trainingen of services? Of wil je contact met één van onze medewerkers? Vul dan onderstaand formulier in, dan nemen wij zo spoedig mogelijk contact op. Wij verwijzen je naar onze privacy policy en naar onze privacyverklaring.