Anti-Fraud System

Multi-layered fraud prevention architecture — device fingerprinting, risk scoring, double-spend prevention, chain integrity verification, and automated threat detection.

1. Overview

GhostPay Mesh implements a defense-in-depth anti-fraud architecture that operates across both offline and online environments. The system combines cryptographic guarantees (inherent to the PLC protocol) with behavioral analysis, device intelligence, and real-time risk scoring.

The anti-fraud system is designed around three core principles:

Prevention First — block fraudulent transactions before they execute, not after
Graceful Degradation — fraud checks work offline with local heuristics and reconcile server-side when connectivity returns
Minimal False Positives — the risk engine is calibrated to avoid blocking legitimate users while catching real threats

graph TB
    TX[Incoming Transaction] --> DF[Device Fingerprint Check]
    DF --> RS[Risk Score Engine]
    RS --> RL[Rate Limiter]
    RL --> DS[Double-Spend Check]
    DS --> CI[Chain Integrity Verify]
    CI -->|Pass| APPROVE[Transaction Approved]
    CI -->|Fail| BLOCK[Transaction Blocked]
    DF -->|Device Blocked| BLOCK
    RS -->|High Risk| REVIEW[Manual Review Queue]
    RL -->|Limit Exceeded| BLOCK
    DS -->|Double Spend| BLOCK

2. Device Fingerprinting

Every device in the GhostPay Mesh network generates a unique, hardware-derived fingerprint that serves as a pseudonymous identifier. This fingerprint is used to track device behavior without collecting personal data.

Fingerprint Components

Component	Source	Stability	Purpose
Hardware ID	Secure Enclave / TEE	Permanent	Root device identity
Key Attestation	Ed25519 key pair	Permanent	Cryptographic binding
OS Fingerprint	OS version + build	Semi-stable	Environment validation
App Integrity	Code signature hash	Per-version	Tamper detection
Behavioral Hash	Usage patterns	Dynamic	Anomaly detection

Fingerprint Generation

Device Fingerprint Structure

{

  "device_fingerprint": {

    "hardware_id": "sha256:a1b2c3d4e5f6...",

    "key_attestation": "ed25519:9f8e7d6c5b4a...",

    "os_fingerprint": "sha256:1a2b3c4d...",

    "app_integrity": "sha256:f0e1d2c3...",

    "composite_hash": "sha256:final_composite...",

    "generated_at": "2025-01-15T10:30:00Z"

  }

}

Device Reputation System

Each device accumulates a reputation score based on its transaction history. New devices start at a neutral score and build reputation through legitimate activity:

Score 0–30 (Untrusted): New or flagged devices. Strict limits, enhanced monitoring.
Score 31–60 (Normal): Devices with some transaction history. Standard limits apply.
Score 61–85 (Trusted): Established devices with clean history. Relaxed velocity checks.
Score 86–100 (Verified): Long-standing devices with Tier 2 KYC. Highest limits available.

Privacy Note: Device fingerprints are stored as one-way hashes. The original hardware identifiers cannot be reconstructed from the fingerprint. No personal data is included.

3. Risk Flags

The risk scoring engine evaluates every transaction against a set of configurable risk flags. Each flag contributes a weighted score to the overall risk assessment:

Flag	Category	Weight	Trigger Condition
`VELOCITY_HIGH`	Behavioral	0.35	> 10 PLCs issued in 30 minutes
`AMOUNT_ANOMALY`	Financial	0.40	PLC amount > 3σ from device average
`DEVICE_BLOCKED`	Device	1.00	Device on global blocklist
`GEO_IMPOSSIBLE`	Location	0.60	Transaction from impossible location change
`CHAIN_DEPTH_HIGH`	Protocol	0.25	Transfer chain > 7 hops
`NEW_DEVICE`	Device	0.15	Device registered < 24 hours ago
`CLOCK_DRIFT`	Integrity	0.30	Device clock diverges > 15 min from network
`SIGNATURE_REUSE`	Cryptographic	0.90	Same nonce or signature seen before

Risk Score Calculation

The composite risk score is computed as a weighted sum of active flags, normalized to a 0–100 scale:

Risk Score Formula

// Risk score computation

risk_score = min(100, sum(flag.weight * 100 for flag in active_flags))

// Decision thresholds

APPROVE  = risk_score < 40

REVIEW   = 40 <= risk_score < 70

BLOCK    = risk_score >= 70

Offline Mode: When operating offline, devices use a simplified local risk engine with cached flag rules. Full risk scoring is performed upon reconnection.

4. Double-Spend Prevention

Double-spending is the primary fraud vector in any digital payment system. GhostPay Mesh prevents double-spending through a combination of cryptographic chain hashing and server-side deduplication.

Chain Hash Mechanism

Every transfer in the transfer_chain includes a hash of the previous transfer entry, creating an immutable linked list:

graph LR
    A["Transfer 0
hash: H0 = SHA256(issuer_sig)"] --> B["Transfer 1
hash: H1 = SHA256(H0 + sig1)"]
    B --> C["Transfer 2
hash: H2 = SHA256(H1 + sig2)"]
    C --> D["Transfer 3
hash: H3 = SHA256(H2 + sig3)"]

    style A fill:#1a1a2e,stroke:#A855F7,color:#e4e4e7
    style B fill:#1a1a2e,stroke:#A855F7,color:#e4e4e7
    style C fill:#1a1a2e,stroke:#A855F7,color:#e4e4e7
    style D fill:#1a1a2e,stroke:#A855F7,color:#e4e4e7

Fork Detection

If an attacker attempts to create two different transfers from the same PLC state (a “fork”), the server detects the conflict during settlement:

Two settlement requests arrive with the same plc_id but different transfer_chain histories
The server identifies the fork point — the last common chain entry
Both forks are rejected. The PLC is frozen pending investigation.
The device that initiated the fork is flagged with DEVICE_BLOCKED

Offline Double-Spend Mitigation

In fully offline scenarios, double-spending cannot be prevented in real-time. Instead, the protocol uses economic deterrents:

PLCs have a maximum offline transfer limit (10 hops) to constrain the blast radius
Per-PLC value limits (R$ 1,000) cap the maximum loss per double-spend
Device reputation scores drop dramatically upon detection, blocking future transactions
Repeat offenders are added to a distributed blocklist propagated via mesh gossip

Critical: Devices that attempt double-spending are permanently blocklisted across the mesh network. The blocklist is cryptographically signed and propagated via BLE gossip protocol.

5. Transfer Chain Integrity Verification

Every PLC carries a self-verifiable transfer chain that can be validated by any device without server access. The verification process ensures the chain has not been tampered with, truncated, or forked.

Verification Algorithm

Chain Verification (Pseudocode)

function verify_chain(plc):

  // 1. Verify issuer signature on commitment_hash

  assert ed25519_verify(plc.issuer_pubkey, plc.commitment_hash, plc.signature)

  // 2. Verify commitment_hash integrity

  expected_hash = SHA256(plc.id + plc.amount + plc.currency

                 + plc.issuer_pubkey + plc.created_at

                 + plc.expires_at + plc.nonce)

  assert expected_hash == plc.commitment_hash

  // 3. Walk the transfer chain

  prev_hash = SHA256(plc.signature)

  expected_holder = plc.issuer_pubkey

  for transfer in plc.transfer_chain:

    assert transfer.from_pubkey == expected_holder

    payload = transfer.to_pubkey + transfer.timestamp

            + transfer.nonce + prev_hash

    assert ed25519_verify(transfer.from_pubkey, payload, transfer.signature)

    prev_hash = SHA256(transfer.signature)

    expected_holder = transfer.to_pubkey

  return true

Integrity Checks Summary

Check	Detects	Offline?
Commitment hash recalculation	Field tampering (amount, expiry, etc.)	Yes
Issuer signature verification	Forged PLCs	Yes
Chain link hash verification	Truncation, reordering, insertion	Yes
Transfer signature verification	Unauthorized transfers, chain forking	Yes
Nonce uniqueness check	Replay attacks	Local cache
Expiration check	Expired PLC usage	Yes (clock tolerant)

6. Circuit Breaker for External APIs

GhostPay Mesh integrates with external services (Pix, BACEN, identity providers). The circuit breaker pattern prevents cascading failures when these services are unavailable or degraded.

Circuit Breaker States

stateDiagram-v2
    [*] --> CLOSED : Normal operation
    CLOSED --> OPEN : Failure threshold reached
    OPEN --> HALF_OPEN : Timeout expires
    HALF_OPEN --> CLOSED : Probe succeeds
    HALF_OPEN --> OPEN : Probe fails

State	Behavior	Transition
CLOSED	Normal operation. Requests pass through. Failures are counted.	Opens after 5 consecutive failures or >50% failure rate in 60s window
OPEN	All requests to the service are rejected immediately. Fallback behavior activated.	Transitions to HALF_OPEN after configurable timeout (default: 30s)
HALF_OPEN	A single probe request is sent. If it succeeds, circuit closes. If it fails, circuit reopens.	CLOSED on success, OPEN on failure

Per-Service Configuration

Circuit Breaker Config

{

  "circuit_breakers": {

    "pix_settlement": {

      "failure_threshold": 5,

      "recovery_timeout_ms": 30000,

      "monitoring_window_ms": 60000,

      "fallback": "queue_for_retry"

    },

    "bacen_api": {

      "failure_threshold": 3,

      "recovery_timeout_ms": 60000,

      "monitoring_window_ms": 120000,

      "fallback": "use_cached_data"

    },

    "identity_provider": {

      "failure_threshold": 3,

      "recovery_timeout_ms": 45000,

      "monitoring_window_ms": 90000,

      "fallback": "defer_verification"

    }

  }

}

7. Rate Limiting

Rate limiting is applied at multiple granularities to prevent abuse and ensure fair resource allocation:

Scope	Algorithm	Limit	Window
Per device (API)	Token bucket	60 req/min	Sliding 1 min
Per device (PLC issuance)	Fixed window	20 PLCs/hour	Fixed 1 hour
Per device (settlement)	Token bucket	10 settlements/hour	Sliding 1 hour
Per IP (API)	Sliding window log	300 req/min	Sliding 1 min
Global (settlements)	Token bucket	10,000/min	Sliding 1 min

Rate Limit Response

429 Too Many Requests

HTTP/1.1 429 Too Many Requests

X-RateLimit-Limit: 60

X-RateLimit-Remaining: 0

X-RateLimit-Reset: 1705312800

Retry-After: 23

{

  "error": "rate_limit_exceeded",

  "message": "Too many requests. Please retry after 23 seconds.",

  "retry_after": 23

}

8. Automated Fraud Detection

The automated fraud detection engine runs continuously, analyzing transaction patterns across the entire mesh network. It combines rule-based detection with statistical anomaly detection.

Detection Rules Engine

The rules engine evaluates configurable conditions in real-time:

Structuring Detection: Multiple PLCs just below reporting thresholds (e.g., 5 PLCs of R$ 990 instead of 1 PLC of R$ 4,950)
Round-Trip Detection: PLCs transferred in a circle back to the original issuer (potential wash trading)
Burst Pattern: Sudden spike in PLC issuance from a previously dormant device
Identical Amount Clustering: Multiple PLCs with the exact same amount from different devices in a short window
Time-Zone Anomaly: Transactions submitted at unusual hours for the device’s established timezone pattern

Anomaly Detection Pipeline

graph LR
    A[Transaction Stream] --> B[Feature Extraction]
    B --> C[Statistical Model]
    C --> D{Anomaly Score}
    D -->|Normal| E[Log & Pass]
    D -->|Suspicious| F[Alert Queue]
    D -->|Critical| G[Auto-Block]
    F --> H[Analyst Review]
    H -->|Legitimate| I[Release + Learn]
    H -->|Fraud| J[Block + Report]

Alert Severity Levels

Level	Score Range	Response Time	Action
LOW	40–55	24 hours	Log + enhanced monitoring
MEDIUM	55–70	4 hours	Analyst review queue
HIGH	70–85	30 minutes	Temporary device restriction
CRITICAL	85–100	Immediate	Auto-block + COAF notification

Continuous Learning: The anomaly detection model is updated weekly with new patterns from confirmed fraud cases. False positive feedback from analyst reviews is incorporated to reduce noise.

Sistema Anti-Fraude

Arquitetura de prevenção de fraude em múltiplas camadas — fingerprinting de dispositivo, pontuação de risco, prevenção de gasto duplo, verificação de integridade da cadeia e detecção automatizada de ameaças.

1. Visão Geral

O GhostPay Mesh implementa uma arquitetura anti-fraude de defesa em profundidade que opera tanto em ambientes offline quanto online. O sistema combina garantias criptográficas (inerentes ao protocolo PLC) com análise comportamental, inteligência de dispositivo e pontuação de risco em tempo real.

O sistema anti-fraude foi projetado em torno de três princípios fundamentais:

Prevenção em Primeiro Lugar — bloquear transações fraudulentas antes da execução, não depois
Degradação Elegante — verificações de fraude funcionam offline com heurísticas locais e reconciliam no servidor quando a conectividade retorna
Mínimos Falsos Positivos — o motor de risco é calibrado para evitar bloquear usuários legítimos enquanto captura ameaças reais

Nota de Privacidade: Fingerprints de dispositivos são armazenados como hashes unidirecionais. Os identificadores de hardware originais não podem ser reconstruídos. Nenhum dado pessoal é incluído.

2. Fingerprinting de Dispositivo

Cada dispositivo na rede GhostPay Mesh gera um fingerprint derivado de hardware único que serve como identificador pseudonímico. Este fingerprint é usado para rastrear comportamento do dispositivo sem coletar dados pessoais.

Componentes do Fingerprint

Componente	Fonte	Estabilidade	Propósito
ID do Hardware	Secure Enclave / TEE	Permanente	Identidade raiz do dispositivo
Atestação de Chave	Par de chaves Ed25519	Permanente	Vinculação criptográfica
Fingerprint do SO	Versão SO + build	Semi-estável	Validação do ambiente
Integridade do App	Hash da assinatura de código	Por versão	Detecção de adulteração

3. Flags de Risco

O motor de pontuação de risco avalia cada transação contra um conjunto de flags de risco configuráveis:

Flag	Categoria	Peso	Condição de Disparo
`VELOCITY_HIGH`	Comportamental	0.35	> 10 PLCs emitidos em 30 minutos
`AMOUNT_ANOMALY`	Financeiro	0.40	Valor PLC > 3σ da média do dispositivo
`DEVICE_BLOCKED`	Dispositivo	1.00	Dispositivo na lista de bloqueio global
`SIGNATURE_REUSE`	Criptográfico	0.90	Mesmo nonce ou assinatura vistos antes

4. Prevenção de Gasto Duplo

O gasto duplo é o principal vetor de fraude em qualquer sistema de pagamento digital. O GhostPay Mesh previne gasto duplo através de uma combinação de hashing de cadeia criptográfico e deduplicação server-side.

Cada transferência na transfer_chain inclui um hash da entrada anterior
Fork’s na cadeia são detectados durante a liquidação
Dispositivos que tentam gasto duplo são permanentemente bloqueados
PLCs têm limite máximo de transferência offline (10 hops) para conter o raio de impacto

Crítico: Dispositivos que tentam gasto duplo são permanentemente bloqueados em toda a rede mesh. A lista de bloqueio é assinada criptograficamente e propagada via protocolo gossip BLE.

5. Verificação de Integridade da Cadeia de Transferência

Cada PLC carrega uma cadeia de transferência auto-verificável que pode ser validada por qualquer dispositivo sem acesso ao servidor.

Verificação	Detecta	Offline?
Recálculo do commitment hash	Adulteração de campos	Sim
Verificação de assinatura do emissor	PLCs forjados	Sim
Verificação de hash dos links	Truncamento, reordenação	Sim
Verificação de unicidade de nonce	Ataques de replay	Cache local

6. Circuit Breaker para APIs Externas

O GhostPay Mesh integra com serviços externos (Pix, BACEN, provedores de identidade). O padrão circuit breaker previne falhas em cascata quando estes serviços estão indisponíveis ou degradados.

FECHADO: Operação normal. Requisições passam. Falhas são contadas.
ABERTO: Todas as requisições ao serviço são rejeitadas imediatamente. Comportamento de fallback ativado.
SEMI-ABERTO: Uma requisição de sonda é enviada. Sucesso fecha o circuito. Falha reabre.

7. Rate Limiting

Rate limiting é aplicado em múltiplas granularidades para prevenir abuso:

Por dispositivo (API): 60 req/min (token bucket)
Por dispositivo (emissão de PLC): 20 PLCs/hora (janela fixa)
Por dispositivo (liquidação): 10 liquidações/hora (token bucket)
Por IP (API): 300 req/min (sliding window)
Global (liquidações): 10.000/min (token bucket)

8. Detecção Automatizada de Fraude

O motor de detecção automatizada de fraude roda continuamente, analisando padrões de transação em toda a rede mesh. Combina detecção baseada em regras com detecção de anomalias estatísticas:

Detecção de Estruturação: Múltiplos PLCs logo abaixo dos limites de reporte
Detecção Round-Trip: PLCs transferidos em círculo de volta ao emissor original
Padrão de Rajada: Pico repentino na emissão de PLC de um dispositivo anteriormente inativo
Clustering de Valores Idênticos: Múltiplos PLCs com exatamente o mesmo valor de diferentes dispositivos

Aprendizado Contínuo: O modelo de detecção de anomalias é atualizado semanalmente com novos padrões de casos de fraude confirmados. Feedback de falsos positivos das revisões dos analistas é incorporado para reduzir ruído.

Sistema Anti-Fraude

Arquitectura de prevención de fraude multicapa — fingerprinting de dispositivo, puntuación de riesgo, prevención de doble gasto, verificación de integridad de cadena y detección automatizada de amenazas.

1. Descripción General

GhostPay Mesh implementa una arquitectura anti-fraude de defensa en profundidad que opera tanto en entornos offline como online. El sistema combina garantías criptográficas con análisis de comportamiento, inteligencia de dispositivo y puntuación de riesgo en tiempo real.

Prevención Primero — bloquear transacciones fraudulentas antes de que se ejecuten
Degradación Elegante — las verificaciones de fraude funcionan offline con heurísticas locales
Mínimos Falsos Positivos — el motor de riesgo está calibrado para evitar bloquear usuarios legítimos

Nota de Privacidad: Los fingerprints de dispositivos se almacenan como hashes unidireccionales. Los identificadores de hardware originales no se pueden reconstruir. No se incluyen datos personales.

2. Fingerprinting de Dispositivo

Cada dispositivo en la red GhostPay Mesh genera un fingerprint derivado del hardware único que sirve como identificador pseudónimo.

Componente	Fuente	Estabilidad	Propósito
ID del Hardware	Secure Enclave / TEE	Permanente	Identidad raíz del dispositivo
Atestación de Clave	Par de claves Ed25519	Permanente	Vinculación criptográfica
Fingerprint del SO	Versión SO + build	Semi-estable	Validación del entorno
Integridad del App	Hash de firma de código	Por versión	Detección de manipulación

3. Flags de Riesgo

El motor de puntuación de riesgo evalúa cada transacción contra un conjunto de flags de riesgo configurables:

Flag	Categoría	Peso	Condición
`VELOCITY_HIGH`	Comportamiento	0.35	> 10 PLCs emitidos en 30 min
`AMOUNT_ANOMALY`	Financiero	0.40	Monto PLC > 3σ del promedio
`DEVICE_BLOCKED`	Dispositivo	1.00	Dispositivo en lista de bloqueo
`SIGNATURE_REUSE`	Criptográfico	0.90	Nonce o firma vistos antes

4. Prevención de Doble Gasto

El doble gasto es el principal vector de fraude en cualquier sistema de pago digital. GhostPay Mesh previene el doble gasto a través de hashing de cadena criptográfico y deduplicación del lado del servidor.

Cada transferencia incluye un hash de la entrada anterior, creando una lista enlazada inmutable
Los forks en la cadena se detectan durante la liquidación
Los dispositivos que intentan doble gasto se bloquean permanentemente
PLCs tienen un límite máximo de transferencia offline (10 hops)

Crítico: Los dispositivos que intentan doble gasto se bloquean permanentemente en toda la red mesh. La lista de bloqueo se firma criptográficamente y se propaga vía protocolo gossip BLE.

5. Verificación de Integridad de la Cadena

Cada PLC lleva una cadena de transferencia auto-verificable que cualquier dispositivo puede validar sin acceso al servidor.

Verificación	Detecta	¿Offline?
Recálculo del commitment hash	Manipulación de campos	Sí
Verificación de firma del emisor	PLCs falsificados	Sí
Verificación de hash de enlaces	Truncamiento, reordenamiento	Sí
Verificación de unicidad de nonce	Ataques de replay	Caché local

6. Circuit Breaker para APIs Externas

GhostPay Mesh integra con servicios externos (Pix, BACEN, proveedores de identidad). El patrón circuit breaker previene fallos en cascada.

CERRADO: Operación normal. Las solicitudes pasan. Los fallos se cuentan.
ABIERTO: Todas las solicitudes al servicio se rechazan inmediatamente.
SEMI-ABIERTO: Se envía una solicitud de prueba. Éxito cierra el circuito. Fallo reabre.

7. Rate Limiting

El rate limiting se aplica en múltiples granularidades:

Por dispositivo (API): 60 req/min (token bucket)
Por dispositivo (emisión PLC): 20 PLCs/hora (ventana fija)
Por dispositivo (liquidación): 10 liquidaciones/hora
Por IP (API): 300 req/min (sliding window)
Global (liquidaciones): 10.000/min

8. Detección Automatizada de Fraude

El motor de detección automatizada corre continuamente, analizando patrones de transacción. Combina detección basada en reglas con detección de anomalías estadísticas:

Detección de Estructuración: Múltiples PLCs justo debajo de umbrales de reporte
Detección Round-Trip: PLCs transferidos en círculo de vuelta al emisor
Patrón de Ráfaga: Pico repentino en emisión de PLC
Clustering de Montos Idénticos: Múltiples PLCs con el mismo monto de diferentes dispositivos

Aprendizaje Continuo: El modelo de detección de anomalías se actualiza semanalmente con nuevos patrones de casos de fraude confirmados.