2024年1月16日,部落客在中文社群平台爆料稱,助推聯盟軍疑似向滯留重置的電詐產業從業者強行收取高額加密貨幣,並展示了聲稱被用於收款的加密貨幣位址,目前該爆料已在網路中廣泛傳播。 Bitrace & MistTrack 對地址進行加密資金分析,發現地址所接收的USDT單筆交易大量存在非整十、整百筆交易,結論顯示超過一半的交易均以人民幣為進行結算的。同時,向該地址轉帳的交易對手方地址涉及大規模風險加密貨幣活動,也與東南亞地區的不法分子密切相關。調查人員還發現了與已知案件刑事案件相關的地址。整體調查顯示,《同盟軍虛擬貨幣帳戶被曝光,勒索北方數十億元的虛擬幣》一文中爆料的部分內容與鏈上事實相符。
背景
2024 年1 月16 日,有部落客在中文社群平台爆料稱,助推聯盟軍疑似向滯留重置的電詐產業從業者強行收取高額加密貨幣,並展示了聲稱被用於收款的加密貨幣地址,目前該爆料已經在網路中形成了廣泛的傳播。
本文由Bitrace & MistTrack 共同針對已揭露的地址進行加密資金分析,包括:地址資金收付規律、地址資金風險來源、關聯地址活動等,旨在對相關分析內容進行揭露。
地址行為分析
(https://mp.weixin.qq.com/s/WDWM22vw68-NsVr0_1jHfA)
上圖為爆料文章中的信息,基於此,研究人員對已披露的款地址TKFsCN進行了USDT匯率分析,嘗試通過某種特定金額的USDT收款反推出背後的結算收款單位。
收款地址的歷史交易記錄顯示,該地址所接收的USDT單筆交易大量存在非整十、整百筆交易,例如71417、42857等數字,這常見於交易發生非美元結算單位的情況。在嘗試以各主流法幣兌USDT匯率進行計算後,研究人員發現這些交易疑似1美元:7-7.2人民幣的匯率在進行結算,而單次資金轉入人民幣在人民幣50-60萬、100萬整、 150萬整的幾個區間出現嚴重現象。
在過濾掉金額100 USDT 及以下的交易後,經統計,在TKFsCN 總計307 筆USDT 轉入金額中,有193 筆為人民幣兌美元匯率的金額轉入,交易數量佔總數的62.86%,交易金額佔總數的45.29%。
該顯示該地址所涉及超過一半的交易均以人民幣為進行結算的,且換算金額為50萬的轉入主要地位。支付USDT的單獨單位應為中國人。
資金來源分析
原文中提到,「佔領老街以後也是到處抓(作者註:電詐產業從業者)中國人,願付錢自保,交錢的可以送走,不付錢的就送中國」,如果屬實,TKFsCN的交易應該存在大量新增交易對手方,且資金部分來自灰黑產、洗錢、詐欺等相關地址。
顯示,在2023年10月22日至2024年1月2日之間,TKFsCN共接收來自182個直接交易對手方的USDT轉賬,其中117個地址出現了小額數據+大額的連續兩筆轉賬這是一種典型的轉帳測試行為,付款方為確認地址正確而不是選擇一次性結束,這表明至少62.29% 的交易對手方都可能是首要轉賬,而不是TKFsCN 的固定交易夥伴。
而對TKFsCN更深入的地址風險資金審計則表明,向該地址轉帳的交易對手方與黑灰產、網賭、詐騙、洗錢、風險支付等活動存在緊密關聯。在182個直接轉入方中,高達42% 為風險活動關聯地址,向TKFsCN 轉入了價值33,523,148 美元的USDT。
值得注意的是,在這批風險活動相關地址中,調查人員還找到了7個明顯與已知案件刑事案件相關的地址,包括兩起洗錢案、一起詐騙案、一起網賭案、一起電話詐騙案,且嫌疑人的斷層均在緬北或柬埔寨。
該顯示向TKFsCN發起支付的對手方地址,涉及大規模風險加密貨幣活動,也與東南亞地區的不法分子密切相關。
存在疑問的一點是,調查人員仍在轉出地址找到了一個與電信詐騙案的洗錢地址的關聯,說明部分轉出地址的資金流向上溯源分析同樣存在一定的疑點。該疑點將在下面的「關聯」地址分析」部分做非敏感拓展。
關聯地址分析
根據TKFsCN地址所做的上述分析發現,該地址與近百個地址疑似存在重大關係,其中部分地址不僅出現了與TKFsCN類似的上述資金收付活動,還不清楚出更多收款方的信息,以收款方TKKj8G為例:
TKKj8G 直接預收了6 筆來自TKFsCN 總計超過460 萬USDT 的資金,是收款方後續資金鏈中的歸集地址之一; TKKj8G 是核心收款地址之一,在金額超過100 USDT 的60 筆收款中,多達50 筆收款與TKFsCN 雷同的小額測試行為存在; TKKj8G 在2023年8月18日就開始活躍,早於其他地址,且在此期間與匯旺目標存在交易-行為從匯旺目標地址接收16萬USDT,行為分析為匯旺目標的商家從匯旺處取回押金。
這顯示原文所說的「財經部地址」可能並不存在,包括TKFsCN 與TKKj8G 的地址集應該隸屬於某個屬於位於緬北或柬埔寨的數位貨幣承兌商,出於某種原因代為籌集這些款項。
例外交易
綜上所述,調查人員不難勾勒出一個典型的支付方畫像——在東南亞地區從事非法工作,出於某種不得不原因向某個代地址收付價值50萬元人民幣的USDT。是首次交易,為防止地址錯誤而在大量轉入前進行了小額測試。而用於支付的加密貨幣,或來自其原創的非法實體,或購買自其他非法實體。
但並非所有支付者都是如此,調查人員同樣發現了一些不符合或不完全符合此類特徵的地址,以TYU5acSGRwsYJfBhdpQc3broSpfsjs8QFF 為例,該地址是前文所述的7 個直接涉案地址之一,其他6 個地址分別轉移價值了50萬、50萬、100萬、100萬、270 (150 + 120)萬、55萬元人民幣的加密貨幣,但TYU5ac的轉帳金額依照同等匯率換算為136萬元人民幣,儘管是整數,但這筆特別的金額仍然異於其他地址。
調查人員無從獲知其中原因,考慮到該地址存在小額測試行為,一個合理的猜測是,該地址背後的交易代表了3 筆價值50 萬人民幣的主旋律,並獲得了10% 的折扣。
總結
本文對已公開地址從地址資金收付規律、資金地址來源風險、關聯地址活動進行了深度分析,文獻相關分析內容進行了揭露。結論如下:
1.分析目標地址所預付的交易金額均以人民幣為單位進行結算的,且換算金額為50、100、150萬的轉入主要關注地位;
2.向該分析目標地址轉移的交易對手地址,與黑灰產、網賭、詐騙、洗錢風險、支付等活動有密切關聯;
3. 目標地址及其關聯地址在密集籌集此類資金之前,就已經存在風險業務活動痕跡,該分析地址進行了後續分析後發現,該疑似匯旺可能是某個商戶的;
4.向該分析目標地址發起支付的對手方地址,與緬北或柬埔寨地區的不法分子密切相關。
綜上所述,《同盟軍虛擬貨幣帳戶被曝光,勒索北方數十億元的虛擬幣》一文中爆料的部分內容與鏈上事實相符合,確實存在大量位於緬北或柬埔寨的中國電詐產業從業者集體向某個地址集合增加整數人民幣金額的USDT資產,但該組地址可能並非所謂的「財經部地址」,而是當地的數位貨幣承兌商地址,與原文所述不同。
資訊來源:0x資訊編譯自網際網路。版權歸作者Bitrace所有,未經許可,不得轉載