區塊鏈技術在全球範圍內被用於解決價值傳輸問題,然而隨著加密生態的快速發展,加密貨幣被用於各類風險活動,包括網路賭博、網路黑灰產和洗錢。加密貨幣作為加密產業重要的基礎設施之一,大量web3企業也利用穩定幣作為資金支付,但由於缺乏基礎設施的AML、KYT、KYC風控機制,風險活動的USDT不受限地流入業務地址,對企業本身和客戶帳戶造成資金污染。針對這些問題,建議產業機構強化資金風控意識,積極與當地執法部門合作,建立威脅情報網和資訊共享機制。
一、調查背景
區塊鏈基於全球化和經濟啟發等手段,在開放式、無許可的網路空間中,為價值的確立、儲存、轉移提供了新的過去的解決方案。然而隨著加密生態在幾年的快速發展發展,加密貨幣也越來越多地被用於各類風險活動,為網路賭博、網路黑灰產、洗錢等活動提供了更便捷的轉移方式。
同時,加密貨幣作為加密產業重要的基礎設施之一,大量web3企業也利用USDT等穩定幣作為主要的資金收付方式,但此類企業普遍缺乏基礎建設的AML、KYT、KYC等風控機制,導致因風險活動的USDT不受限制地流入業務地址,曾對企業本身客戶及其地址造成資金污染。
本報告旨在針對加密貨幣在風險加密活動中的利用手段與利用規模進行披露,並透過鏈上資料追蹤風險活動關聯資金的流轉,以管中窺豹揭示風險加密資金對web3企業的威脅。
二、調查對象
網路違法犯罪活動造成此類社會危害性嚴重,危害既包括對個人財產與社會公共安全的直接違法行為,也包括與違法犯罪活動關聯的上下游產業對個人或企業主體間接帶來的法律風險近年來,各地都加大了對網路犯罪活動的打擊力度,在刑事立法和網路生態研究方面取得了一些進展。但網路犯罪仍是一個難以完全解決的問題,尤其是區塊鏈等新型網路空間的出現,傳統的網路賭博、網路黑產、洗錢等紛紛在風險活動中利用加密貨幣或加密基礎,首先為相關法律認定和執法機構監管造成了阻礙。
2.1 網路賭博
賭博是指針對一個事件與價值的結果,下注金錢或具有價值物質的東西,其主要目的是為了贏得更多的金錢或物質,同時參與者透過資金財物博弈獲得精神愉悅。指利用網路進行的賭博行為,其類型基本上是現實生活中主要的賭博方式,都可以在網路中進行。
在中國,以營利為目的,在電腦網路上建立賭博網站,或為賭博網站擔任代理、接受投資的,屬於刑法第三百零三條規定的「旅遊業賭場」。中華人民共和國公民在我國領域外周邊地區聚眾賭博、賭場賭場,以中華人民共和國吸引公民為主要客源,構成賭博罪,同樣可以依照刑法規定追究刑事責任。
但在其他國家或地區,博彩以及旅遊業等行為的法律認定卻有不同:
根據中國《香港博彩條例》,除受規管的賽馬、足球博彩及六合彩,以及其他獲批准的博彩場所(如麻將館)、以及獲準法例的博彩活動除外,其他博彩活動均屬非法;
根據美國《非法網路博弈執行法》,透過金融機構與網路博弈網站進行交易、係違法行為。但各州立法參差不齊,對網路博彩法與非法、相關活動執法方向的認定給予區別;
根據中國澳門博彩監察協調局聲明,澳門特區政府從未批出網上博彩準許證,故以澳門特區政府許可推廣網上博彩活動的資訊、投注網站預期及非法,公眾在此類網站進行的保證是不受澳門特區法律所的。
可見網路博彩並非在所有國家或地區非法、持牌營運並接受地方政府部門監管的網路博彩平台所採用的博彩資,並不能被視為風險資金。因此,Bitrace針對網路博弈活動的調查對象僅限於無牌經營博弈業務的賭博平台,接受經營許可範圍以外的用戶投注的賭博平台代理,以及為先前提供資金結算服務的支付機構。
對於傳統的網賭平台及其代理,這類機構透過自建中心化的加密貨幣充值、交易、提現系統或接入加密貨幣支付工具的形式幫助賭客進行資金結算,由於加密貨幣的匿名特性,政府部門將難以對此類行為進行監管或執法。對於新型的哈希網賭平台,此類平台架構設置在區塊鏈網路中,賭客投注、注結算、資金沉澱與歸集均透過智慧合約管理、傳播範圍更廣、發展變化更快。
2.2 網路黑灰產
網路黑灰產是指在網路空間中,以獲取不正當利益為目的,透過各種技術手段實施或幫助實施違法犯罪活動過程中的規模化、鏈條化的產業,本質上是為了獲取違法利益或者破壞網路生態秩序。目前,加密貨幣以及部分加密產業基礎設施已經大大普及了整個網路黑灰色產生狀態。
傳統的網路黑灰產透過在非法活動中引入加密貨幣,或使用加密工具取代原有的技術手段的方式,提高某些非法活動的誘騙性和破壞性,減少上游下游活動被政府部門勘探或製裁新型區塊鏈黑產則直接以加密貨幣投資者或機構的加密資產為目標,是加密產業顛覆的違法犯罪活動。
本報告僅針對其中部分通常使用加密貨幣的黑灰產活動進行的揭露。
2.3 洗錢
洗錢(Money Laundering)是一種將違法所得合法化的,主要是指將違法所得及其產生的收益,透過各種手段掩飾、掩蓋其來源和產權,將行為行為形式上合法化。但不限於提供資金帳戶、幫助轉換財產形式、幫助轉移資金或匯往境外。而加密貨幣——尤其是穩定幣——繼承了轉帳成本去,地理化的種族以及一定的抗審查特性,在相當早的時間裡,便已經被洗錢活動所利用,這也是導致加密貨幣被詬病的主要原因之一。
傳統的洗錢活動往往會利用加密貨幣場外交易市場,進行從法幣到加密貨幣,或從加密貨幣到法幣的兌換,其中洗錢場景不同,形式也多種多樣,但知道如何這些行為的本質都是為阻止執法人員對資金流通的調查,包括傳統金融機構帳戶或加密機構帳戶。
與傳統洗錢活動不同的是,新型的加密貨幣洗錢活動的定義標誌為加密貨幣本身,包括錢包、跨鏈橋、去中心化交易平台等在內的加密產業基礎設施都會被非法利用。
三、加密貨幣在網路賭博活動的利用
3.1 傳統網賭平台加密貨幣利用形式
在網路賭博平台及其代理人接受加密貨幣作為籌碼的現像已經十分普遍,其中:
部分網賭平台已經自主建立了完整的加密貨幣儲值、交易、提現的中心化管理系統。賭客需自行在第三方平台購買加密貨幣(主要是USDT),並流通至網賭平台為每個人客分配的充值地址,實現碼的獲取,賭客發起提幣申請後,平台則從統一的熱錢包位址向目標位址轉賬,其實現業務邏輯與主流加密貨幣交易平台一致。
部分網賭平台透過接取加密支付工具為賭客提供出入金管道。賭客不直接向網賭平台充值USDT,而是向支付平台帳戶轉賬,提款需求也由即時滿足。網賭平台與支付平台之間定期進行資金結算,從而能夠透過資金關聯挖掘其業務細節。
以某博彩平台利用USDT接受較多為例,該平台透過接入某加密貨幣支付平台的形式幫助賭客進行USDT出入金,Bitrace對其中一個熱錢包地址進行了資金審計。在2022年1月27日到2022年2月25日期間,該地址總共處理來自賭客超過133.2萬USDT的充值與提款訂單請求。
在資金分析實務中發現,一般業務規模擴大的網賭平台會自建加密貨幣充提功能板塊,佔大多數中小型網賭平台底座選擇接入加密貨幣支付平台。根據DeTrust地址風險平台監測,在2021年9月到2023年9月間,共有超過464.5億USDT直接審計流入傳統網賭平台,或為網賭平台提供出入金服務的加密支付平台。
其中2021年網賭資金規模變化對應當年加密貨幣二級市場的發展狀況,2022年11月-2023年1月的規模增長,則可能與當年世界盃期間大量的博彩活動有關。
轉入網賭平台的地址USDT來源進行分析可知,有超過74.3億USDT直接來自中心化交易平台,佔總流入規模的16%。這批資金還是賭客直接來自交易所對地址網賭平台充值,或者是賭場其代理透過交易平台進行資金周轉,考慮到其他地址的二層地址資金同樣存在來自中心化交易平台的情況,這個數字顯然是被低估的。這顯示中心化加密貨幣交易平台正在被用於服務網路博彩產業。
3.2 新型哈希網賭加密貨幣使用形式
區塊鏈上的每一筆交易都會對應一串唯一的哈希值,該值隨機且無法格式化,因此有網賭平台基於此開發了哈希競猜類玩法,規則就是通過猜測交易哈希最後一位或幾位數字是奇數還是偶數、是大還是小,決定競猜行為的勝負,並劃分賭注。
以典型的「猜尾號」玩法為例,賭客需向投注地址發起回合,若該筆時間戳的哈希值尾號為特定數字或字母,則客賭勝,平台在聖誕老人部分積分後返還雙倍籌碼;若尾號不符,則賭客負,籌碼不予返還。
因此這類網賭地址在鏈上,往往會隨著多個地址之間高頻、固定金額的資金往來,進而產生巨量的資金交易規模。
最後,一系列哈希網絡玩法因節奏明快、公平,曾一度火爆,出現大量變體玩法與平台,但由於玩法過於透明,且資金極易遭受黑客攻擊而被盜,目前此類玩法規模與市場佔有率大幅降低。
四、加密貨幣在黑灰產活動的利用
4.1 傳統黑產加密貨幣利用形式
4.1.1 投資理財類詐騙
投資理財類詐騙是一種網絡投資詐騙,騙子往往通過社交媒體等自稱是“行業領域的專家”,通過對受害人的了解、誘導、拉攏誘騙受害人進入詐騙平台(一般是APP)進行在這些在涉及詐騙的APP中,投資者透過投資、博彩、買賣貨物、買賣證券等等,在收到小額甚至大額盈利之後開始大額投入,但此時基本所有資金就會有無回。當受害者發現APP的資金無法“提取”,聯繫不上所謂的“專家”時,才去坦然醒悟自己已經上當受騙了。
這類傳統網路詐騙投資近幾年來一直在利用加密貨幣或加密工具行騙,以情緒詐騙、黑灰USDT跑分詐騙為例。
4.1.1.1 情感方案
情感詐騙往往與投資詐騙結合在一起,但主要受害群體非加密用戶。詐騙者透過塑造完美的網路人設,透過網路交友的形式,感應網戀對象購買USDT參與加密貨幣,例如匯套利、投資衍生性換品交易、流動性挖礦等等。
受害人的「投資」會在短時間內大幅收益,並被鼓勵加大投資。但實際上受害人的USDT 並沒有真正參與的套利活動,而是在轉入平台後即被轉出清洗,同時受害人的提現請求會被平台以各種理由拒絕,直到最後受害人發現自己上當受騙。
4.1.1.2 黑灰USDT跑分詐騙
黑灰USDT跑分詐騙是偽裝成洗錢跑分的詐騙手段,平台普遍自稱是針對涉案USDT資金清洗的接單平台,但實際上是投資騙局,一旦參與者投入增加金額的USDT,平台就會以各種理由拒絕退貨。
以某個即將營運的「黑U跑分平台」為例,讓用戶以1:1.1~1.45的「匯率」使用「乾淨U」兌換「黑U」,用戶升息黑U後再轉移到其他平台出售,其中超額部分即為用戶「跑分」的收益。
目前,該詐騙集團已經透過同樣的手段非法獲取了超過87 萬USDT 的資金。有784 個獨立地址向詐騙地址轉移了USDT,但只有437 個地址收到了回款,接近一半的參與者並沒有「套利」成功。
4.1.2 外匯APP
主要App意圖是指不法分子透過手段將各種正版App重新包裝,以假充真的那些App,結合了加密貨幣的意圖APP則有假錢包與假電報APP。
4.1.2.1 錢包APP
假錢包APP盜幣是一種透過誘導他人下載安裝帶後門的假錢包APP,以竊取錢包助記詞進而非法轉移他人資產的盜幣手段。盜幣者在搜尋引擎、非官方手機應用程式商店、社交平台等管道投放假錢包APP下載鏈接,受害者下載安裝並創建或同步錢包地址後,助記詞將發放給被盜幣者。一旦受害者轉入數量增加的加密資產,就會被盜幣者批量或自動轉走歸集。
目前該手段已高度產業化,假錢包開發與營運推廣團隊業務分割完全,之前僅參與產品開發與,透過在全球各地招募團隊維護代理的形式銷售產品解決方案;晚上則只需要推廣假錢包APP就可以,甚至不需要了解加密技術原理。
多簽盜幣是假錢包盜幣的變種手法。份額簽名技術是用戶同時對一個數位資產進行簽名,可以簡單地理解為,一個錢包帳戶同時有多個人擁有支付權和支付權。一個地址只能由一個私鑰簽署和支付,表現形式就是1/1,而鎖簽名的表現形式是m/n,所以共有n個私鑰可以給一個帳戶簽名,而當m個地址簽名時,就可以支付發票交易。
傳統假錢包盜幣本質上是與受害者共享錢包控制權限,而被盜幣者無法阻止受害者轉出資產,但基於挖礦簽名原理,盜幣者在受害者安裝假錢包APP後,立即將受害者地址加入多簽,此時錢包擁有者本人將無法轉移錢包中的資產,只能轉入無法轉出,而盜幣者則將能夠在任何時候將資產轉走,這往往取決於受害人甚麼及時轉入大額資金。
4.1.2.2假電報APP
在加密貨幣相關黑灰產中欺詐APP的經典應用是對電報APP的惡意後門入口,此前是一款加密貨幣投資者常用的社交軟體,許多場外交易活動依賴該軟體進行。透過社會攻擊方法,引導目標物件「下載」或「更新」假電報工程學,一旦目標用戶透過聊天框貼上區塊鏈位址,惡意軟體就會識別替換發送惡意位址,導致交易對手將資金發送到惡意地址,而被攻擊者不自知。
4.1.3 黑灰產第三方支付保障
支付受理是指雙方在網上達成商品交易意向或協議後,請求將貨款先支付給第三方,由第三方暫時受理,待接收貨物並檢查無誤後通知第三方,由第三方參與將貨款支付給賣方,整個交易。其實際上以第三方為接收方,在完成應答確認接收商品前,替代買賣雙方暫時監管貨款的一種網上支付服務方式。在此交易過程中,第一三方會收取一定比例的服務費。
目前某些黑灰產第三方支付支撐平台,促進傳統的法幣管道外,也開始普遍利用泰達幣(主要是trc20-USDT)作為支撐資金,包括非法換匯、非法商品交易、違法代收等代付、涉案加密貨幣交易等介面的交易提供支付服務。雖然交易類型不同,但交易流程是一致的。
通常,聲明中的人會在廣告區向支付平台付費投放廣告,或在網站特定的區域投放,或在官方電報群投放,廣告中指定交易類型、交易要求支付、方式等交易細節。
雙方協商完畢後,需要聯絡支付保密平台客服建立「專群」,專群只是用於交易溝通的非公開電報小組,成員包括雙方與專群機器人,原則上不允許雙方多交易,也不允許拉入無關人員。
須買家將貨款轉入平台官方帳戶並提供憑證,此過程被稱為「上押」,由交易員確認收款後通知賣家發貨;確認賣家收到交易員付款通知後開始發貨,並提供出貨憑證;然後買家確認收貨後通知交易員放款,收到買家收貨確認或放款通知後交易員本地佣金向賣家解押放款,並提供放款憑證;最後賣家確認收貨款,交易完成。
平台並不會在每筆交易中為用戶獨立分配地址進行資金隔離,而是在一段時間內所有的押金都打向同一個上押金地址,導致該地址直接接收大量涉及網賭、黑灰產、洗錢等風險資金,同時也重塑龐大的資金規模,程式設計器也理清了資金方向,為調查人員的追蹤活動製造了阻礙。
對已知為非法交易活動做儲備的平台地址進行資金審計發現,其資金規模在過去12個月裡呈不斷增長趨勢,包括超過170.7億波場網絡USDT,以及超過6.7億以太坊網絡USDT,這一類平台所進行的非法交易大部分發生在波場網路。
4.2 新型黑灰產加密貨幣利用形式
4.2.1 授權盜幣
授權盜幣是一種透過竊取他人地址USDT管理權限進而非法轉移他人資產的盜幣手段。波場、以太坊等公鏈,允許用戶將錢包中某種資產的操作權限讓渡給其他地址,之後者將因此獲得該地址部分或全部資產的管理權限,能夠立即簽署合約將地址中的授權資產轉移。
惡意盜幣授權請求通常會偽裝成支付連結、空投申領入口、交互行為等蜜罐,一旦受害者被誘導交互,地址中的某項資產——通常是USDT——就會被無限制授權給盜幣地址,並在隨後的某個時間被透過呼叫「TransferFrom」方法全部轉走。
盜幣者往往是透過欺騙目標受害者點擊釣魚連結並運行詐欺智能合約實現的,此時受害者及時助記詞並沒有洩露,因此授權取消,仍可以挽回損失。
4.2.2 零路線釣魚
零路線釣魚是一種針對不規範使用錢包應用的加密貨幣投資者的騙局。透過大量向不特定區塊鏈位址匯款金額為0的USDT交易,能夠在無許可的情況下,目標增加地址的交易如果沒有特定對像在向某個地址發起輪迴的時候,嘗試從智能設備上的歷次輪迴記錄中複製地址,存在可能向錯誤的地址發送資金,進而造成損失。
Bitrace針對大量波場網路中已被標記為資金釣魚地址的詐騙地址進行了分析,規定該批地址轉帳金額低於1USDT的交易為一次釣魚活動,預付超過10USDT的交易為詐騙收益。
我們的研究表明,零輪網路釣魚活動的活躍度與損失規模一直在擴大中,截至目前,波場網路中已經有超過4.51億USDT資金因釣魚攻擊而損失。
4.2.3 假平台幣搬磚套利詐騙
平台幣搬磚套利詐騙的常見伎倆是,詐騙者謊稱開發了一款假冒的“智能套利合約”,參與者只需要向合約中投入一定數量的加密貨幣,即可超額獲取另一種的加密貨幣貨幣(如安幣、火幣積分、OK幣等),獲得「套利收益」後,參與者在第三方交易市場變現即可收益收益。
早期小額測試確實會返還真實的超額加密貨幣,而一旦受害者投入大筆資金,將返還還價代幣,而今晚不具備任何市場價值。這個詐騙手段古老而有效,目前大規模變體活躍在加密貨幣投資者社群中,不僅給普通投資者造成了資金損失,也給被冒充者的品牌資產帶來負面損害。
4.2.4 波場靚號地址交易
和傳統黑灰產活動一樣,加密黑灰產不是法人,在進行違法犯罪活動前,也需要創建或購買虛擬身份,在傳統黑灰產活動中是銀行帳戶與身份信息,在加密黑灰產活動中而通常情況下,此類地址都是從專業的靚號地址服務商處定制獲取的。
在網路博弈活動中,雜湊網賭平台業者往往都是波場靚號地址的用戶,他們會向專業的靚號服務商批量採購靚號,將這些靚號用於業務地址,以實現包括資金收付、儲存、串流或接受投注、資金結算等餘額的功能。
在黑灰產活動中,靚號定制則直接催生了零轉帳釣魚更為精細化運營的變種——同尾號釣魚。相較於普通的針對不特定區塊鏈對象的廣泛零USDT轉賬,同尾號釣魚往往是定制化的,欺詐者會根據目標對象的常用對手方地址頭號進行高仿,並轉賬更多金額。
一系列釣魚活動成本並不構成,根據某波場靚號服務商的報價單可以看到,八個定制的地址需要12小時才能發貨,售價100USDT,同樣的八個靚號則只需要10USDT 。
而除波場靚號服務商之外,某些電報APP群聊機器人服務商、網站源碼服務商、大規模轉移工具服務商、SEO快排服務商等群體,也存在類似的向非法活動參與者提供協助並提出增值的情況,本文不再過度揭露。
五、加密貨幣在洗錢活動中的利用
5.1 傳統洗錢加密貨幣利用形式
加密貨幣在傳統洗錢活動中的利用,目的在於將高用戶的支付轉移到低風險用戶的帳戶中進行支付,從而規避支付機構的風險管控措施。這通常會在加密貨幣場外交易市場中蔓延涉案法幣兌換為加密資金,或將涉案法幣兌換為法幣的形式,以阻斷資金管道,逃避追蹤打擊。
典型的贓物場景是,詐騙分子在騙取受害者現金後,迅速將資金分割成小額連續轉帳給多張銀行卡,並組織「卡農」們取現,透過汽車或飛機等個人支付現金或公共運送到貨幣洗團副主席。過去的現金常被用於購買大宗商品,或兌換成外匯突破國境,而現在則用於更多線下購買USDT,這批USDT或將在加密貨幣貨幣場外交易市場現為現金,或會直接跳出境外或洗錢集團做進一步處理。在此過程中,跑U平台、支付平台、其他中心化交易平台的場外交易市場都扮演了重要的角色。
5.1.1跑U平台
跑U平台是一種新型洗錢方式,其基本模式等於數位貨幣交易與傳統「跑分」平台結合。首先平台主辦單位以大量購買USDT轉移到境外交易所出售差價為誘餌,招募USDT搬磚者,隨後要求搬磚者實名註冊數位貨幣交易所帳號,並綁定個人名下的銀行卡。搬磚者需要購買一定數量的USDT作為跑交易保證金質押金至「分」平台,平台組織者會根據搬磚者催收的USDT保證金的數量,在平台為搬磚者帳號標記可售的USDT數量和單價,同時備註搬磚者的收款銀行帳戶等資訊。當境外電信詐騙等犯罪集團需要接收盜款時,會先透過「跑分」平台向搬磚者下單購買USDT,再指揮被害人向搬磚者預先在平台上的銀行帳戶轉賬,當被害人將被騙的錢轉入搬磚者帳戶後,搬磚者即在平台確認交易,這樣就完成了詐騙贓物的第一次轉移。此後,搬磚者使用收到的贓物繼續從交易所購買USDT並提幣至分平台循環往復,過程中汲取USDT差價與平台佣金。
這種活動被洗錢團夥稱為“卡接回U”,能夠幫助上游不法分子與洗錢團夥完全盜取贓物以及交易平台實名認證的風險。
5.1.2 跑分隊
而除了招募跑分人員進行贓物清洗外,洗錢人員也常用更直接的「跑分車隊」模式洗錢。形式與跑U形式基本一致,但不同地點存在,其加密貨幣場外交易發生在線下第一車隊頭目會招募大量真實人員註冊實名銀行卡帳戶,當上游不法分子(稱“料主”)非法獲取贓物(稱為「料」)後,會透過非法第三方支付平台聯繫車隊頭目接單;接著大量資金會拆分轉移至車隊控制下的多張銀行卡,如果這筆錢是一手黑錢,那麼就被稱為“某料”,如果是二手、三手黑錢,則相應被稱為“二道料”、“三道料”,夜間資金風險較低,佣金也較高;車隊然後頭目會與司機駕車接對應的卡主前往當地ATM機取現,多次取現完畢之後,車隊頭目繼續使用個人或公共的初始化將現金運往指定的地點進行線下交易;最後在第三方支付平台介入情況下,車隊頭目將現金轉換目標物外匯佣金,對方將USDT打給地址結束洗錢流程。
此類洗錢活動透過多層銀行帳戶轉帳、ATM取現、加密貨幣線下交易的形式,不僅多次中斷資金追蹤鏈,也規避了銀行資金監管。
Bitrace針對波場網路中部分被明顯為有洗錢且資金規模超過100萬USDT的地址進行了資金,審計審計週期為2021年9月至2023年3月,審計內容為USDT轉入。
數據顯示,2021年9月至2023年3月,波場網路存在洗錢風險的地址總計流入超過642.5億USDT,且資金規模並未受到加密貨幣二級市場熊市的影響,很難看出其業務的參與方並非真正具備資格的投資者。
5.2 新型洗錢加密貨幣利用形式
對於加密產業初期的網路犯罪分子而言,基於加密基礎設施的匿名交換以及鏈上乾擾是最常用的資金清理方法。
5.2.1 鏈上資金混亂
鏈上資金分割與混幣平台是最常見的資金混亂管道。
資金分割是指不法分子透過複雜層級的交易,將虛擬貨幣透過不同錢包地址、帳戶逐級混合提轉,最後匯至境外同伙的錢包地址,達到割裂資金輸入和輸出的聯繫、模糊虛擬貨幣交易流通的目的。而在加密貨幣洗錢活動中,這種手法同樣有效,是黑灰產從業人員處理資金常用的手法。
以投資某理財類詐騙案件的地址為例,該案件歸集受害人的加密資金後,透過若干資金通道對非法所得進行分割處理,並最終歸集到少數交易所帳戶地址中完成資金變現。
混幣首先將用戶的加密貨幣與其他用戶的加密貨幣進行混合,然後再將混合後的加密貨幣轉移到目標地址,以洞察原始的加密貨幣流動路徑,使得追蹤加密貨幣的來源並向因此去整合困難。 ,已經有多種加密貨幣混幣平台受到了各國政府的製裁,其中就包括最知名的Tornado.cash,該平台於2022年8月8日受到美國海外資產控制辦公室(OFAC)制裁,部分隨著相關的以太坊地址被列入美國特別制定國民名單,而一旦被加入到該名單中,個人或相關實體的財產和財產權益都將面臨被凍結的風險。
但儘管如此,由於Tornado.Cash的混幣合約是公開消費的,其他用戶仍然可以透過直接調用合約的形式進行混幣活動。以發生在2023年11月1日的OnyxProtocol被攻擊事件為例,攻擊者即透過混幣平台取得地址手續費,並進一步清洗資金。
5.2.2 鏈上以太幣兌換
無KYC交易平台與跨鏈橋是最危險的兩個鏈上匿名轉換管道。
目前情況,除了少數已經被破壞的實體位址外,此類加密基礎設施透過對風險加密資金或高風險加密位址進行了更多的風險控制,導致攻擊事件發生後,非法資金往往能夠在第一時間這些渠道進行轉換。
以發生在2023年6月25日的Nirvana Finance被攻擊事件為例,攻擊者在非法取得受害機構的加密資金後,第一時間將部分資金轉向了THOR錢包DEX,高度是一個有權且具備配備的公開性的允許中心化交易平台,用戶在不公開交易資訊的情況下直接在各條區塊鏈之間進行跨鏈兌換去,因此在過去發生的多起加密安全事故中,可以看到THOR錢包DEX 在資金清理中出現。
六、風險加密資金對web3企業地址造成污染
6.1 中心化交易平台地址污染
中心化交易平台是建立的風險USDT資金清理場所,Bitrace在本次報告中對126個常見中心化交易平台熱錢包地址進行了審計,對網賭、黑灰產、洗錢活動關聯加密資金在2021年1月至今期間的流入情況做出了充分的預告。
2021年1月到2023年9月間,在波場網路中共有超過415.2億風險USDT流入部分中心化交易平台,其中包括225.79億網路賭博關聯USDT,105.70億黑灰產關聯USDT,以及83.73億洗錢相關USDT,105.70億黑灰產關聯USDT,以及83.73億洗錢相關USDT,105.70億黑灰產關聯USDT,以及83.73億洗錢關聯USDT。
2021年1月到2023年9月間,在以太坊網路中共有超過33.15億風險USDT流入部分中心化交易平台,其中包括11億網路賭博關聯USDT,18.42億黑灰產關聯USDT,以及3.72億洗錢關聯USDT。
從風險資金總體與資金風險集中不難看出,波場網路中USDT被非法利用的規模相比以太網路坊更大,且網路賭類別的風險資金比例較高,這與實踐中觀察到的情況一致——賭場代理以及普通賭客更傾向於使用波場USDT,以節省手續費。
6.2 場外交易市場地址污染
除中心化交易平台場外交易板塊之外,某些支付平台、加密貨幣投資者群體,承兌商社群都會建立一定規模的場外交易市場,此類場所缺乏完善的KYC與KYT機制,無法對對手方風險資金做出判斷,也難以在事後對風險資金做出限制,往往會湧入更高比例的風險USDT。
Bitrace對具備典型場外交易市場特徵且資金規模超過100萬USDT的地址進行了資金審計,數據顯示過去兩年中,這批地址已流入至少34.39億與風險活動關聯的USDT,流入量隨時間逐步且基本上不受一線市場寒冬影響。
6.3 加密支付平台位址污染
作為去中心化金融領域的基礎設施之一,加密貨幣支付工具涉及為區塊鏈機構提供資金結算服務,另外也為普通用戶提供一定的加密貨幣承兌服務,因此也面臨著同樣的加密風險資金污染。
Bitrace對東南亞主要服務與東亞客戶的主要加密支付平台地址進行了資金審計、數據顯示,在2021年1月到2023年9月之間,總計超過405.1億美元風險USDT流入這些地址,其中波場網絡334.6億USDT,以太坊網路70.4億USDT,幾乎在所有時間裡,波場網路中的風險USDT對加密支付平台的污染都要情況比以太坊網路更嚴重。
七、結論與建議
網路賭博、黑灰產、洗錢等活動的參與者正在大量利用包括USDT在內的加密貨幣,以增強資金匿名程度,規避監管與執法部門的追蹤。其直接結果是,營運合規加密業務的Web3企業與普通加密貨幣投資者因缺乏資金風險識別能力,而據推測此類與風險活動關聯的加密資金,首先使資金地址受到污染,甚至被捲入案件。
產業機構應增強資金風控意識,積極與當地執法部門建立合作,並接取安全廠商提供的威脅情報服務,以收集、辨識、預防、爆發風險加密資金,保護自身業務地址與使用者地址免遭損失污染。
7.1強化資金風控意識
產業機構在基礎的了解您的用戶(KYC)活動-依法對客戶真實身分、交易執行、資金來源等情況進行近距離接觸,落實客戶異常交易監控與管理職責(KYT),及時通報違規行為對有可疑風險資金活動的使用者進行分層管理,採取限制部分或全部平台功能的管理措施。
7.2 積極當地法律法規並與執法單位了解協作
平台需建立或委託專業團隊對來自全球的執法請求進行合規對接及審查,協助識別、打擊、預防涉幣犯罪活動,造成經濟損失,並避免平台業務地址與用戶帳戶遭受資金污染。
7.3 建立威脅情報網路與資訊共享機制
產業機構需要重視網路情報,對目前開源發生的加密安全事件相關攻擊位址及資金持續關注,以確保能夠第一時間對流入平台的涉案資金進行反制;同時也需要接入外部威脅情報源,與加密資料、安全公司合作,為用戶建立DID畫像,對與風險地址產生關聯以及缺乏良好往來歷史的地址採取適當的風控限制。並在此基礎上,建立並維護全產業共享的開放式威脅情報資料庫,確保產業整體的安全與信任。
資訊來源:0x資訊編譯自網際網路。版權歸作者Bitrace所有,未經許可,不得轉載!