來源:Chainalysis;編譯:鄧通,金色財經
洗錢的目的是掩蓋資金的犯罪來源,以便可以取得和使用資金。在基於加密貨幣的犯罪中,這通常意味著將資金轉移到可以轉換為現金的服務,同時經常採取額外措施來隱藏資金的來源。因此,我們對加密貨幣洗錢的鏈上分析重點關注兩組不同的服務和鏈上實體:
-
中介服務和錢包。該類別包括個人錢包、混合器、即時交換器、各種類型的DeFi 協議以及其他合法和非法的服務。加密貨幣犯罪分子通常使用此類服務來持有資金,或透過掩蓋其來源地址和當前地址之間的鏈上連結來混淆其犯罪起源。
-
Fiat off-ramping服務。此類別包括任何將加密貨幣轉換為法定貨幣的服務,最常見的是中心化交易所。但它也可以包括P2P交易所、賭博服務和加密貨幣自動櫃員機。同樣重要的是考慮到使用中心化交易所基礎設施並允許進行法定貨幣離岸的嵌套服務,例如許多場外交易平台。
重要的是要記住,在解決洗錢問題時,所有這些服務都有不同的功能和選項。例如,中心化交易所擁有更多的控制權,因為它們可以凍結來自可疑或非法來源的資金。然而,DeFi 協議通常沒有這個選項,因為它們自主運作並且不託管用戶的資金。當然,DeFi 協議的去中心化性質也意味著區塊鏈分析師通常可以追蹤資金透過DeFi 協議流向下一站,而中心化服務則不然。當然,故意促進洗錢的非法服務通常只能透過執法行動或其他法律程序來制止。同樣重要的是要記住,代幣發行者也可以發揮積極作用。例如,USDT 和USDC 等穩定幣具有凍結與犯罪相關地址持有的資產的功能。
考慮到這一點,讓我們來看看2023 年加密貨幣洗錢的主要趨勢。
2023 年加密貨幣洗錢:主要趨勢
2023 年,非法地址發送了價值222 億美元的加密貨幣,比2022 年發送的315 億美元大幅減少。這種下降的部分原因可能是合法和非法加密貨幣交易量的整體下降。然而,與總交易量下降14.9% 相比,洗錢活動下降幅度更大,達29.5%。
總體而言,中心化交易所仍然是從非法地址發送資金的主要目的地,其比率在過去五年中保持相對穩定。隨著時間的推移,非法服務的角色已經縮小,而流向DeFi 協議的非法資金份額卻在增加。我們將這主要歸因於該時期DeFi 的整體成長,但也必須注意到,DeFi 固有的透明度通常使其成為混淆資金流動的糟糕選擇。
就用於洗錢的服務類型細分而言,2023 年與2022 年基本相似,但我們確實看到轉向非法服務類型的非法資金比例略有下降,轉向賭博服務和橋協議的資金有所增加。
然而,如果我們放大觀察特定類型的加密犯罪分子如何洗錢,我們可以發現某些領域實際上發生了重大變化。最值得注意的是,我們看到從與被盜資金相關的地址發送到跨鏈橋的資金量大幅增加,我們稍後將更詳細地研究這一趨勢。我們還觀察到從勒索軟體發送到賭博平台的資金以及從勒索軟體錢包發送到橋接器的資金大幅增加。
洗錢集中在法幣出口服務
法定貨幣出口服務很重要,因為犯罪分子可以在其中將加密貨幣轉換成現金,這是洗錢過程的高潮。儘管有數千個出口服務正在運營,但大多數洗錢活動都集中在少數幾個服務中。 2023 年,在所有流向出口服務的非法資金中,71.7% 僅流向5 種服務,略高於2022 年的68.7%。
我們也可以更深入檢視存款地址層面的洗錢集中度。存款地址是與個人使用者相關的集中服務地址—您可以將它們視為類似於銀行帳戶。因此,在存款地址方面檢查洗錢活動可以讓我們更好地了解對大多數加密貨幣洗錢活動最直接負責的個人或嵌套服務。從這個角度來看,我們可以看到,2023 年洗錢實際上不再那麼集中在存款地址層面,儘管洗錢在服務層面的集中程度略有提高。
上圖顯示了按2023 年每個地址單獨收到的非法加密貨幣總額劃分的服務存款地址。每個灰色條代表儲存桶中的存款地址數量,而每個藍色條代表收到的非法加密貨幣總價值儲存桶中的所有儲值地址。以第一個儲存桶為例,我們看到2,235,329 個存款地址收到了價值5 至100 美元之間的非法加密貨幣,所有這些存款地址總共收到了價值6,940 萬美元的非法加密貨幣。
2023 年,109 個交易所存款地址各自收到了價值超過1,000 萬美元的非法加密貨幣,總共收到了34 億美元的非法加密貨幣。儘管這仍然代表著高度集中,但到2022 年,只有40 個地址收到了超過1000 萬美元的非法加密貨幣,總金額略低於20 億美元。 2022 年,只有542 個存款地址收到了超過100 萬美元的非法加密貨幣,總計63 億美元,佔當年中心化交易所收到的所有非法價值的一半以上。 2023 年,1,425 個存款地址收到了超過100 萬美元的非法加密貨幣,總計67 億美元,僅佔當年交易所收到的所有非法價值的46%。
然而,也值得注意的是,洗錢集中度因犯罪類型而異。例如,CSAM 廠商和勒索軟體業者的集中度很高,僅7 個儲值位址就占到了交易所從CSAM 廠商獲得的總價值的51.0%,而對於勒索軟體來說,僅僅9 個位址就佔了50.3%。另一方面,詐騙和暗網市場的集中度要低得多。顯示出較高集中度的加密貨幣犯罪形式可能更容易受到執法部門的攻擊,因為他們的洗錢活動依賴相對較少的可中斷服務。
總體而言,加密犯罪分子可能正在透過更多嵌套服務或存款地址來實現洗錢活動多樣化,以便更好地向執法和交易所合規團隊隱瞞行踪。將活動分散到更多地址也可能是減輕任何一個存款地址因可疑活動而被凍結的影響的策略。因此,透過針對洗錢基礎設施打擊加密貨幣犯罪可能需要比過去更加勤奮和對鏈上活動互聯性的理解,因為活動更加分散。
洗錢策略改變:最老練的加密貨幣犯罪分子利用橋接器和混合器
大部分加密貨幣洗錢活動相對簡單,由不良行為者直接將資金送到交易所。我們可以在下面的Chainalysis Reactor 圖上看到這一點,該圖顯示了現已不復存在的電話號碼欺騙服務iSpoof,該服務在被執法部門關閉之前促成了超過1 億英鎊的詐騙活動,將數百萬比特幣直接發送到一組中心化交易所的存款地址。
然而,擁有更複雜的鏈上洗錢技能的加密犯罪分子——例如與Lazarus Group 等駭客團夥相關的臭名昭著的北韓網路犯罪分子——往往會使用更多種類的加密服務和協議。下面,我們將透過Lazarus Group 的範例來了解老練的不良分子調整洗錢策略的兩種重要方式:
-
在Sinbad 被取締並被OFAC 指定後使用新的混合器;
-
透過跨鏈橋進行鏈跳轉。
下面我們來看看。
新混音器:YoMix 接替Sinbad
整體而言,2023 年從非法地址發送到混合器的資金有所下降,從2022 年的10 億美元減少到2023 年的5.043 億美元。
這在很大程度上可能是由於執法和監管努力,例如2023 年11 月對混合器Sinbad 的製裁和關閉。但Lazarus Group 等複雜的網路犯罪組織已經調整了混合器的使用方式。正如我們在去年的《加密貨幣犯罪報告》中所報導的那樣,在Tornado Cash 受到製裁後不久,Sinbad 在2022 年成為了朝鮮相關黑客的首選混合者,而Tornado Cash 此前一直是這些老練的網絡犯罪分子的首選。隨著Sinbad 的退出,基於比特幣的混合器YoMix 成為了替代者。我們可以在下面的Reactor 圖上看到一個這樣的例子,其中顯示了一個與北韓駭客活動相關的錢包從YoMix 接收資金,而它之前曾從Sinbad 接收資金。
總體而言,YoMix 在2023 年實現了巨大增長,全年資金流入增長了5 倍以上。
根據Chainalysis 數據,大約三分之一的YoMix 資金流入來自與加密貨幣駭客相關的錢包。 YoMix 的發展及其受到Lazarus Group 的歡迎是一個典型的例子,說明當以前流行的混合服務被關閉時,成熟的參與者有能力適應並找到替代的混合服務。
使用跨鏈橋
跨鏈橋允許用戶將資金從一個區塊鏈轉移到另一個區塊鏈。一般來說,任何人都可以存取這些智能合約,儘管理論上橋可以實現黑名單。所有這些活動都發生在鏈上,這意味著區塊鏈分析師可以透過橋樑追蹤資金,因為沒有中心化實體託管轉移到橋的資金。
如前所述,2023 年,非法行為者利用橋接協議洗錢的情況大幅增加,尤其是在加密貨幣盜竊中。
總體而言,橋接協議在2023 年從非法位址接收了7.438 億美元的加密貨幣,而2022 年僅為3.122 億美元。
與北韓有關的駭客是最常利用跨鏈橋進行洗錢的駭客之一,我們可以在下面的Reactor 圖上看到此活動的範例。
在這種情況下,與2022 年Harmony 駭客攻擊相關的資金於2023 年5 月轉移到流行的橋接協議,從比特幣區塊鏈轉移到Avalanche 區塊鏈。然後這些資金被交易為穩定幣,然後使用不同的協議再次橋接,這次是從Avalanche 區塊鏈到TRON 區塊鏈。
老練的駭客常調整洗錢策略
我們從Lazarus Group 等加密貨幣犯罪分子那裡看到的洗錢策略的變化提醒我們,最老練的非法行為者總是在調整他們的洗錢策略並利用新型加密服務。透過研究這些新的洗錢方法並熟悉與其相關的鏈上模式,執法和合規團隊可以提高效率。
