Trainingssnippets

Bewijzen vs. afleiden in blockchainonderzoek

Elk blockchainonderzoeksrapport mengt geverifieerde feiten met heuristische aannames. Als je die twee niet helder scheidt, doet iemand anders het voor je — en dat pakt niet in je voordeel uit.

TrainingssnippetsMaart 2026 · 4 min lezen

De meeste rapporten die ik beoordeel vermengen verifieerbare transactiedata met heuristische gevolgtrekkingen zonder die twee duidelijk te scheiden. Dat is een probleem. Iedereen die je werk beoordeelt hoeft alleen maar aan te tonen dat je een interpretatie als feit hebt gepresenteerd om het hele rapport te ondermijnen.

Wat telt als bewijs

Een transactie geïdentificeerd aan de hand van zijn hash is een verifieerbaar feit. Iedereen kan bevestigen dat Wallet A 10 ETH naar Wallet B stuurde op een specifiek bloknummer. Dat is bewijs.

De meeste onderzoeksconclusies gaan verder. Ze leiden af wie een wallet beheert, koppelen een mixer deposit aan een withdrawal, of schrijven een cluster van adressen toe aan één entiteit. Deze stappen gebruiken heuristische analyse — patroongebaseerde redenering die waarschijnlijke associaties oplevert, geen zekerheden. De kernvraag bij elke claim is simpel: "Is dat een feit, of jouw interpretatie?"

De heuristische toolkit

Direct bewijs van eigendom of intentie is zelden beschikbaar. We overbruggen die kloof met heuristieken:

  • Timingcorrelaties: Een deposit gaat een mixer in om 14:02 en een overeenkomende withdrawal volgt om 14:07. Suggestief — maar een drukke mixer kan tientallen transacties in dat venster verwerken.
  • Amount matching: Wallet A stort 5,23 ETH, Wallet B neemt kort daarna 5,20 ETH op. Dichtbij, maar fees en afronding kunnen toevalstreffers opleveren.
  • Behavioral clustering: Meerdere wallets transacteren op vergelijkbare tijdstippen, gebruiken dezelfde contracten en tonen parallelle patronen. Suggereert gemeenschappelijk beheer — maar gecoördineerde groepen leveren dezelfde signatuur op.
  • Gas funding patterns: Meerdere wallets ontvangen hun initiële gas van hetzelfde adres. Een van de sterkere heuristieken, maar op zichzelf niet afdoende.

Elk levert een hypothese op, geen oordeel. Het rapport moet dat zeggen.

Je bevindingen classificeren

Een raamwerk dat ik voor elke claim gebruik:

  • Hoog vertrouwen — geverifieerd feit: Direct waarneembare on-chain data bevestigd door transaction hash.
  • Gemiddeld vertrouwen — onderbouwde gevolgtrekking: Meerdere heuristische indicatoren convergeren, maar alternatieve verklaringen zijn niet volledig geëlimineerd.
  • Laag vertrouwen — speculatieve aanwijzing: Eén heuristische indicator of beperkte data. Nuttig om verder onderzoek te richten, niet om als bevinding te rapporteren.

Elke claim taggen met zijn categorie dwingt precisie af. Het geeft de lezer ook de informatie die nodig is om de bevinding juist te wegen.

Waar rapporten falen

De meest voorkomende fouten: een alinea begint met een geverifieerde transactie en eindigt met een heuristische conclusie, zonder markering waar het ene in het andere overgaat. Schrijven "Wallet A wordt beheerd door verdachte X" terwijl het bewijs ondersteunt "waarschijnlijk beheerd door, op basis van gas funding en timing." Alternatieve verklaringen missen die iemand anders wél zal aandragen. Een conclusie vermelden zonder uit te leggen welke heuristiek deze heeft opgeleverd.

De meest schadelijke rapporten zijn niet per se fout in hun conclusies. Ze zijn onduidelijk in hoe die conclusies worden gepresenteerd.