隨著穩定幣如USDT 和USDC 的快速發展,監管機構愈發重視打擊洗錢和恐怖融資行為。研究顯示,主流穩定幣在技術上具備凍結非法資金的能力,實際案例也證明其有效性。本文分析了USDT 的黑名單機制以及與恐怖融資的關聯,發現自2016 年以來,已凍結超過29 億美元的資金,尤其在近期高峰期頻繁凍結新創建的可疑地址。
通過鏈上追踪,發現多數被凍結地址在監管前資金已被轉移,顯示出洗錢網絡的複雜性。此外,穩定幣在恐怖融資中也顯現其風險性,Tether 展現了與執法機構的有效合作,但依然面臨滯後執法和交易所監管盲區等挑戰。建議加強實時監測、情報共享和建立跨鏈合規框架,以保障穩定幣生態的合法性和安全性。 BlockSec 也在積極推動安全合規,推出了多項鍊上監測和追踪工具。
只有在及時、協同、技術成熟的AML/CFT 體系下,穩定幣生態系統的合法性和安全性才能得到真正保障。
作者:BlockSec
0. 引言
穩定幣近年來發展迅猛。隨著其廣泛應用,監管機構也愈發強調建立一套能夠凍結非法資金的機制。我們觀察到,主流穩定幣如USDT和USDC,已經在技術上具備這一能力。在實踐中,已有多個案例表明,這些機制確實在打擊洗錢和其他非法金融活動中發揮了作用。
更進一步,我們的研究表明,穩定幣不僅用於洗錢,也頻繁出現在恐怖組織的融資流程中。因此,本文從兩個角度展開分析:
系統性回顧USDT黑名單地址的凍結行為;
探索被凍結資金與恐怖融資的關聯。
本報告基於公開可獲得的鏈上數據進行分析,可能存在不准確或遺漏。如有建議或更正,歡迎聯繫我們:contact@blocksec.com。
1. USDT 黑名單地址分析
我們通過鏈上事件監測的方式,對Tether 黑名單地址進行識別和追踪。分析方法已通過Tether 智能合約源碼驗證。核心邏輯如下:
事件識別:Tether 合約通過兩個事件維護黑名單狀態:
AddedBlackList:新增黑名單地址
RemovedBlackList:移除黑名單地址
數據集構建:我們對每個被拉黑的地址記錄以下字段:
地址本身
加入黑名單的時間(blacklisted_at)
若地址被移出黑名單,則記錄解除時間(unblacklisted_at)
以下是合約中相關函數的實現:
1.1 核心發現
基於以太坊和波場(Tron)鏈上的Tether 數據,我們發現如下趨勢:
自2016 年1 月1 日起,共有5,188 個地址被加入黑名單,涉及凍結資金超過29 億美元。
僅在2025 年6 月13 日至30 日期間,就有151 個地址被拉黑,其中90.07%來自Tron 鏈(地址列表見附錄),凍結金額高達8,634 萬美元。黑名單事件的時間分佈:6 月15 日、20 日和25 日為拉黑高峰,其中6 月20 日當天單日拉黑地址數高達63 個。
凍結金額分佈:金額排名前十的地址共凍結5,345 萬美元,佔總凍結金額的61.91%。平均凍結金額為57.18 萬美元,但中位數僅為4 萬美元,表明少量大額地址拉高了整體平均,絕大多數地址被凍結金額較小。 生命週期資金分佈: 這些地址累計接收資金8.08 億美元,其中7.21 億美元在被拉黑前已被轉出,僅有8,634 萬美元實際被凍結。這表明大部分資金在監管介入前已被成功轉移。此外,有17% 的地址完全沒有出賬記錄,可能作為臨時存儲或資金聚合點,值得進一步關注。 新創建地址更易被拉黑:41% 的黑名單地址創建時間不足30 天,27% 存續時間為91–365 天,僅有3% 使用時間超過2 年,說明新地址更易被用於非法活動。 多數地址實現“凍結前出逃”:約54%的地址在被拉黑前已轉出其90% 以上的資金,另有10%在凍結時餘額為0,表明執法行動多數只能凍結資金殘值。 新地址洗錢效率更高:通過FlowRatio vs. DaysActive 散點圖我們發現,新地址在數量、被拉黑頻率和轉賬效率方面都表現突出,洗錢成功率最高。
1.2 資金流向追踪
通過BlockSec 的鏈上追踪工具MetaSleuth (https://metasleuth.io),我們進一步分析了6 月13 日至30 日間被拉黑的151 個USDT 地址的資金流動,從中識別出主要的資金來源與流向。
1.2.1 資金來源分析
內部污染(91 個地址):這些地址的資金來自其他已被拉黑地址,表明存在高度互聯的洗錢網絡。
釣魚標籤(37 個地址):許多上游地址在MetaSleuth 中被標註為“Fake Phishing”,可能是掩蓋非法來源的欺騙性標籤。
https://metasleuth.io/result/tron/THpNSa3BMNPPzVNTPZ6aTmRsVzGR6uRmma?source=26599be9-c3a9-42a6-a2ae-b6de72418003
交易所熱錢包(34 個地址):資金來源包括Binance(20)、OKX(7)和MEXC(7)等交易所熱錢包,可能與被盜賬戶或“騾子賬戶”相關。
單一主要分發者(35 個地址):同一個黑名單地址多次作為上游,可能作為聚合器或混幣器進行資金分發。
跨鏈橋接入口(2 個地址):資金部分來源於跨鏈橋,表明存在跨鏈洗錢操作。
1.2.2 資金去向分析
流向其他黑名單地址(54 個):黑名單地址之間存在“內部循環鏈”的結構。
流向中心化交易所(41 個):這些地址將資金轉入如Binance(30)、Bybit(7)等CEX 的充值地址,實現“下車”。
流向跨鏈橋(12 個):表明部分資金試圖逃離Tron 生態,繼續跨鏈洗錢。
https://metasleuth.io/result/tron/TBqeWc1apWjp5hRUrQ9cy8vBtTZSSnqBoY?source=ddea74a3-fb52-4203-846a-c7be07fbb78d
值得注意的是,Binance 和OKX 同時出現在資金流入(熱錢包)和流出(充值地址)兩端,進一步凸顯其在資金鍊中的核心位置。當前交易所對AML/CFT 的執行不足以及資產凍結滯後,可能讓不法分子在監管介入前完成資產轉移。
我們建議各大加密貨幣交易平台作為資金的核心通道,應加強實時監測與風險攔截機制,防患於未然。
https://metasleuth.io/result/tron/TFjqBgossxvtfrivgd6mFVhZ1tLqqyfZe9?source=7ba5d0da-d5b5-41ab-b54c-d784fb57f079
2. 恐怖融資分析
為了進一步理解USDT 在恐怖融資中的使用情況,我們分析了以色列國家反恐融資局(NBCTF)發布的行政扣押令(Administrative Seizure Orders)。儘管我們採用的單一數據源難以還原全貌,但將其作為代表性樣本,用於評估USDT 涉恐交易的保守分析和估計。
2.1 核心發現
發佈時點:自2025 年6 月13 日以色列-伊朗衝突升級後,僅新增1 份扣押令(6 月26 日)。而上一份文件停留在6 月8 日,顯示出在地緣緊張時期執法響應存在滯後。
目標組織:自2024 年10 月7 日沖突爆發以來,NBCTF 共發布8 份扣押令,其中4 份明確提到“哈馬斯”,而最新一份則首次提到“伊朗”。
扣押令涉及到的地址和資產:
76 個USDT(Tron)地址
16 個BTC 地址
2 個以太坊地址
641 個Binance 賬戶
8 個OKX 賬戶
我們對76 個USDT (Tron) 地址的鏈上追踪揭示了Tether 在響應這些官方指令時的兩種行為模式:
主動凍結:Tether 在扣押令發布前就已將其中17 個Hamas 相關地址加入黑名單,平均提前28 天,最早甚至提前了45 天。
快速響應:對其餘地址,Tether 在扣押令公佈後平均僅用2.1 天即完成凍結,顯示出良好的執法配合能力。
這些跡象表明,Tether 與一些國家執法機構之間存在密切,甚至前置性的合作機制。
3. 總結與AML/CFT 面臨的挑戰
我們的研究顯示,雖然穩定幣如USDT 為交易可控性提供了技術手段,但在實踐中AML/CFT 仍面臨以下挑戰:
3.1 核心挑戰
滯後執法vs 主動防控:目前多數執法行為仍依賴事後處理,留給不法分子轉移資產的空間。
交易所的監管盲區:中心化交易所作為進出金樞紐,往往監測不足,難以及時識別異常行為。
跨鏈洗錢愈發複雜:多鏈生態和跨鏈橋的使用,使得資金轉移更隱蔽,監管追踪難度倍增。
3.2 建議
我們建議穩定幣發行方、交易所及監管機構:
加強鏈上情報共享;
投資實時行為分析技術;
建立跨鏈合規框架。
只有在及時、協同、技術成熟的AML/CFT 體系下,穩定幣生態系統的合法性和安全性才能得到真正保障。
4. BlockSec 的努力
在BlockSec,我們致力於推動加密貨幣行業的安全性與合規性建設,專注於為AML 和CFT 提供可落地、可操作的鏈上解決方案。我們推出了兩項關鍵產品:
4.1 Phalcon Compliance
專為交易所、監管機構、支付項目和DEX 設計,支持:
多鏈地址風險評分
實時交易監控
黑名單識別與告警
幫助用戶滿足日益嚴格的合規要求。
4.2 MetaSleuth
我們的可視化鏈上追踪平台,已被全球20 多家監管與執法機構採用。它支持:
可視化資金追踪
多鏈地址畫像
複雜路徑還原與分析
這兩款工具共同體現了我們的使命——守護去中心化金融系統的秩序與安全。
文中涉及的部分地址:
https://docs.google.com/spreadsheets/d/1pz7SPTY2J4S7rGMiq6Dzi2Q5p0fXSGKzl9QF2PiV6Gw/edit?usp=sharing