加密貨幣在網絡違法犯罪活動中的利用情況調查
發表於 2023-11-30 12:57 作者: Bitrace
來源:Bitrace
一、調查背景
區塊鏈基於分布式共識和經濟激勵等手段,在开放式、無許可的網絡空間中,爲價值的確立、存儲、轉移提供了新的解決方案。然而隨着加密生態在過去若幹年的快速發展,加密貨幣也越來越多地被用於各類風險活動,爲網絡賭博、網絡黑灰產、洗錢等活動提供了更爲隱蔽與便捷的價值轉移方式。
同時,加密貨幣作爲加密行業重要的基礎設施之一,大量web3企業也利用USDT等穩定幣作爲主要的資金收付方式,但這類企業普遍缺乏健全的AML、KYT、KYC等風控機制,導致曾被用於風險活動的USDT不受限制地流入業務地址,對企業自身及其客戶的地址資金造成污染。
本報告旨在對加密貨幣在風險加密活動中的利用手法與利用規模進行披露,並通過鏈上數據追蹤風險活動關聯資金的流轉,以管中窺豹闡明風險加密資金對web3企業的威脅。
二、調查對象
網絡違法犯罪活動造成的社會危害性日益嚴重,這種危害既包括對個人財產與社會公共安全的直接侵害,也包括與違法犯罪活動關聯的上下遊產業對個人或企業主體間接帶來的法律風險。近年來,各國都加強了對網絡違法犯罪活動的打擊力度,在刑事立法和網絡生態研究方面取得了一些進展。但是,網絡犯罪仍然是一個難以完全解決的問題,尤其是區塊鏈等新型網絡空間的出現,傳統的網絡賭博、網絡黑灰產、洗錢等紛紛在風險活動中利用加密貨幣或加密基礎設施,進而爲相關法律認定與執法監管造成了阻礙。
2.1 網絡賭博
賭博是指對於一個事件與不確定的結果,下注錢或具物質價值的東西,其主要目的是爲贏取更多的金錢或物質價值,同時參與者通過資金財物博弈獲得精神愉悅。網絡賭博則是指利用互聯網進行的賭博行爲,其類型繁多,基本上現實生活中主要的賭博方式在網絡中都可以進行。
在中國,以營利爲目的,在計算機網絡上建立賭博網站,或者爲賭博網站擔任代理,接受投注的,屬於刑法第三百零三條規定的“开設賭場”。中華人民共和國公民在我國領域外周邊地區聚衆賭博、开設賭場,以吸引中華人民共和國公民爲主要客源,構成賭博罪的,同樣可以依照刑法規定追究刑事責任。
但在其他國家或地區,對賭博以及开設賭場等行爲的法律認定卻多有不同:
根據中國香港《賭博條例》,除了受規管的賽馬、足球博彩及六合彩,又或其他獲發牌批准的博彩場所(例如麻將館)、以及獲法例豁免的賭博活動之外,其他賭博活動均屬非法;
根據美國《非法互聯網賭博執行法》,通過金融機構與網絡賭博網站進行交易,系違法行爲。但各州立法參差不齊,對網絡博彩法與非法、相關活動執法方向的認定均有區別;
根據中國澳門博彩監察協調局聲明,澳門特區政府從未有批出網上博彩准照,故任何以澳門特區政府名義推廣網上博彩活動的信息、投注網站均爲虛假及非法,公衆在此類網站進行的投注是不受澳門特區法律所保障的。
可見網絡博彩並非在所有國家或地區非法,持牌運營並接受當地政府部門監管的網絡賭博平台所採用的賭資,並不能被視爲風險資金。因此,Bitrace針對網絡賭博活動的調查對象僅局限於無牌經營博彩業務的賭博平台,接受經營許可範圍以外用戶投注的賭博平台代理,以及爲前兩者提供資金結算服務的支付機構。
對於傳統的網賭平台及其代理,這類機構通過自建中心化的加密貨幣充值、交易、提現系統或接入加密貨幣支付工具的形式幫助賭客進行資金結算,由於加密貨幣的匿名特性,政府部門將難以對這類行爲進行監管或執法。對於新型的哈希網賭平台,這類平台架設在區塊鏈網絡中,賭客投注、賭注結算、資金沉澱與歸集均通過智能合約進行管理,傳播範圍更廣、發展變化更快。
2.2 網絡黑灰產
網絡黑灰產是指在網絡空間中,以牟取不正當利益爲目的,通過各種技術手段實施或幫助實施違法犯罪活動過程中形成的規模化、鏈條化的產業,本質上是爲了獲取違法利益或者破壞網絡生態秩序。目前,加密貨幣以及部分加密行業基礎設施已經極大融入了整個網絡黑灰產生態。
傳統的網絡黑灰產通過在非法活動中引入加密貨幣,或者使用加密工具替代原有的技術手段的方式,提高某些非法活動的欺騙性與破壞性,減少上下遊活動被政府部門感知或制裁的機會。新型的區塊鏈黑灰產則直接以加密貨幣投資者或機構的加密資產爲目標,是加密行業原生的違法犯罪活動。
本報告僅對其中部分典型利用加密貨幣的黑灰產活動進行披露。
2.3 洗錢
洗錢(Money Laundering)是一種將非法所得合法化的行爲,主要指將違法所得及其產生的收益,通過各種手段掩飾、隱瞞其來源和性質,使其在形式上合法化。其行爲包括但不限於提供資金账戶、協助轉換財產形式、協助轉移資金或匯往境外。而加密貨幣——尤其是穩定幣——因其低廉的轉账成本,去地理化的特質以及一定的抗審查特性,在相當早的時間便已經被洗錢活動所利用,這也是導致加密貨幣被詬病的主要原因之一。
傳統的洗錢活動往往會利用加密貨幣場外交易市場,進行從法幣到加密貨幣,或從加密貨幣到法幣的兌換,其中洗錢場景不同,形式也多樣化,但不論如何這類行爲的本質都是爲了阻斷執法人員對資金鏈路的調查,包括傳統金融機構账戶或加密機構账戶。
與傳統洗錢活動不同的是,新型的加密貨幣洗錢活動的清洗標的爲加密貨幣本身,包括錢包、跨鏈橋、去中心化交易平台等在內的加密行業基礎設施都會被非法利用。
三、加密貨幣在網賭活動中的利用
3.1 傳統網賭平台加密貨幣利用形式
近年來,網絡賭博平台及其代理接受加密貨幣作爲籌碼的現象已經十分普遍,其中:
部分網賭平台已經自主建立了完整的加密貨幣充值、交易、提現的中心化管理系統。賭客需自行於第三方平台購买加密貨幣(主要是USDT),並轉账至網賭平台爲每個賭客分配的充值地址,實現籌碼的獲取,賭客發起提幣申請後,平台則從統一的熱錢包地址向目標地址轉账,其業務實現邏輯與主流加密貨幣交易平台一致。
部分網賭平台通過接入加密支付工具爲賭客提供出入金渠道。賭客不直接向網賭平台充值USDT,而是向支付平台账戶轉账,提款需求也由後者滿足。網賭平台與支付平台之間定期進行資金結算,因而能夠通過資金關聯挖掘其業務細節。
以某博彩平台利用USDT接受投注爲例,該平台通過接入某加密貨幣支付平台的形式幫助賭客進行USDT出入金,Bitrace對其中一個熱錢包地址進行了資金審計。在2022年1月27日到2022年2月25日期間,該地址總共處理來自賭客超過133.2萬USDT的充值與提款訂單請求。
在資金分析實踐中發現,一般業務規模較大的網賭平台會自建加密貨幣充提功能板塊,佔大多數的中小型網賭平台則會選擇接入加密貨幣支付平台。根據DeTrust地址資金風險審計平台監測,在2021年9月到2023年9月間,共有超過464.5億USDT直接流入傳統網賭平台,或者爲網賭平台提供出入金服務的加密支付平台。
其中2021年網賭資金規模變化對應當年加密貨幣二級市場的發展狀況,2022年11月-2023年1月的規模增長,則可能與當年世界杯期間大量的博彩活動有關。
對轉入網賭平台的地址USDT來源進行分析可知,有超過74.3億USDT直接來自中心化交易平台,佔總流入規模的16%。這批資金要么是賭客直接從交易所地址向網賭平台充值,要么是賭場及其代理通過交易平台進行資金周轉,考慮到其他地址的二層地址資金同樣存在來自中心化交易平台的情況,這一數字顯然是低估的。這表明中心化加密貨幣交易平台正在被利用於服務網絡博彩產業。
3.2 新型哈希網賭加密貨幣利用形式
區塊鏈上的每一筆交易都會對應一串獨特的哈希值,該值隨機產生且無法僞造,因此有網賭平台基於此开發了哈希競猜類玩法,規則便是通過猜測交易哈希最後一位或幾位數字是奇數還是偶數、是大或小,決定競猜行爲的勝負,並劃分賭注。
以典型的「猜尾號」玩法爲例,賭客需向投注地址發起轉账,若該筆轉账的哈希值尾號爲特定數字或字母,則賭客勝,平台在扣除部分點數後返還雙倍籌碼;若尾號不符,則賭客負,籌碼不予返還。
因此這類網賭地址在鏈上,往往表現爲與多個地址之間高頻率、固定金額的資金往來,進而產生巨量的資金交互規模。
最後,這類哈希網賭玩法因節奏明快、玩法公平,曾一度火爆,出現大量變體玩法與平台,但由於玩法過於透明,且資金極易遭受黑客攻擊而被盜,目前這類玩法的規模與市場佔有率均有極大降低。
四、加密貨幣在黑灰產活動中的利用
4.1 傳統黑灰產加密貨幣利用形式
4.1.1 投資理財類詐騙
投資理財類詐騙是一種網絡投資詐騙,騙子往往通過社交媒體等渠道聲稱自己是“行業領域的專家”,通過對受害人的了解、關心、拉攏誘騙受害人進入虛假平台(一般是APP)進行投資,騙取投資款。在這些涉詐APP中,投資者通過投資、博彩、买賣貨物、买賣證券等等,在收到小額甚至大額獲利之後开始大額投入,但此時基本所有資金就會有去無回。當受害人發現APP的資金無法“取現”,聯系不上所謂的“專家”,才幡然醒悟自己已經上當受騙。
這類傳統網絡投資詐騙也在近幾年开始利用加密貨幣或加密工具行騙,以情感欺詐、黑灰USDT跑分詐騙爲例。
4.1.1.1 情感欺詐
情感欺詐往往與投資欺詐結合在一起,但主要受害群體非加密用戶。欺詐者通過塑造完美網絡人設,通過網戀的形式,誘導網戀對象購买USDT參與加密貨幣投資,例如換匯套利、衍生品交易、流動性挖礦等等。
受害人的“投資”會在短時間內賺取大量收益,並被鼓勵加大投資。但實際上受害人的USDT並沒有真正參與所謂的套利活動,而是在轉入平台後即被轉出清洗,同時受害人的提現請求會被平台以各種理由拒絕,直到最後受害人發現自己上當受騙。
4.1.1.2 黑灰USDT跑分詐騙
黑灰USDT跑分詐騙是僞裝成洗錢跑分的欺詐手段,平台普遍自稱是用於涉案USDT資金清洗的接單平台,但實際上這是投資騙局,一旦參與者投入較大金額的USDT,平台就會以各種理由拒絕返還。
以某個仍在運營的「黑U跑分平台」爲例,允許用戶以1:1.1~1.45的「匯率」使用「幹淨U」兌換「黑U」,用戶收取黑U後再轉移到其他平台出售,其中超額部分即爲用戶「跑分」的收益。
截至目前,該欺詐團夥已經通過同樣的手法非法獲取了超過87萬USDT的資金。有784個獨立地址向欺詐地址轉移了USDT,但只有437個地址收到了回款,接近一半的參與者並沒有「套利」成功。
4.1.2 虛假APP
虛假App是指不法分子通過各種手段將正版App重新包裝,以假充真的那些App,結合了加密貨幣的虛假APP則主要有假錢包與假電報APP。
4.1.2.1 假錢包 APP
假錢包APP盜幣是一種通過誘導他人下載安裝帶有後門的假錢包APP,以竊取錢包助記詞進而非法轉移他人資產的盜幣手法。盜幣者在搜索引擎、非官方手機應用商店、社交平台等渠道投放假錢包APP下載鏈接,受害人下載安裝並創建或同步錢包地址後,助記詞便會發送給盜幣者。一旦受害人轉入較大金額的加密資產,便會被盜幣者批量或自動轉走歸集。
目前該手法已經高度產業化,假錢包开發團隊與運營推廣團隊業務完全分割,前者僅參與產品开發與維護,通過在全球各地招募代理的形式出售產品解決方案;後者則只需要推廣假錢包APP即可,甚至無需了解加密技術原理。
多籤盜幣是假錢包盜幣的一個變種手法。多重籤名技術就是多個用戶同時對一個數字資產進行籤名,可以簡單地理解爲,一個錢包账戶同時有多個人擁有籤名權和支付權。 如果一個地址只能由一個私鑰籤名和支付,表現形式就是1/1,而多重籤名的表現形式是m/n,也就是說一共n個私鑰可以給一個账戶籤名,而當m個地址籤名時,就可以支付一筆交易。
傳統假錢包盜幣本質上是與受害人共享錢包控制權限,盜幣者無法阻止受害人轉出資產,但基於多重籤名技術原理,盜幣者在受害人安裝假錢包APP後,會立即將受害人地址加入多籤,此時錢包擁有者本人將無法轉移錢包中的資產,只能轉入無法轉出,而盜幣者則將能夠在任何時間將資產轉走,這往往取決於受害人什么時候轉入大額資金。
4.1.2.2 假電報 APP
在加密貨幣相關黑灰產中虛假APP的經典應用是對電報APP的惡意後門植入,後者是一款加密貨幣投資者常用的社交軟件,許多場外交易活動依靠該軟件進行。欺詐者會通過社會工程學攻擊方法,誘導目標對象「下載」或「更新」假電報APP,一旦目標用戶通過聊天框粘貼區塊鏈地址,惡意軟件便會識別替換發送惡意地址,導致交易對手方將資金發送到惡意地址,而被攻擊者不自知。
4.1.3 黑灰產第三方支付擔保
第三方支付擔保是指买賣雙方在網上達成商品交易意向或協議後,买方將貨款先支付給第三方,由第三方暫時保管,待买方收到貨並檢查無誤後通知第三方中介,由第三方將貨款支付給賣方,完成整個交易。它實際上是以第三方爲信用中介,在买方確認收到商品前,替买賣雙方暫時監管貨款的一種網上支付服務方式。在此交易過程中,第三方中介會收取一定比例的服務費。
當前某些黑灰產第三方支付擔保平台,除去傳統的法幣渠道外,也已經开始普遍利用泰達幣(主要是trc20-USDT)作爲擔保資金,爲包括非法換匯、非法商品交易、違規代收代付、涉案加密貨幣交易等在內的交易提供支付擔保服務。盡管交易類型不同,但交易流程是一致的。
通常买方與賣方中的一人會在廣告區向支付擔保平台付費投放廣告,要么投放在網站特定的區域,要么投放在官方電報群,廣告中則會注明交易類型、交易要求、支付方式等交易細節。
买賣雙方協商完畢後,需要聯系支付擔保平台客服建立「專群」,專群是僅用於交易溝通的非公开電報群組,成員包括买賣雙方與專群機器人,原則上不允許一對多交易,也不允許拉入無關人員。
买方需要买家將貨款轉入擔保平台官方账戶並提供憑證,這個過程被稱爲「上押」,由交易員確認收款後通知賣家發貨;接着賣家接到交易員發貨通知後开始發貨,並提供發貨憑證;然後买家確認收貨後通知交易員放款,收到买家收貨確認或放款通知後交易員扣除傭金向賣家解押放款,並提供放款憑證;最後賣家確認收款,交易完成。
平台並不會在每筆交易中爲用戶分配獨立地址用於資金隔離,而是在一段時間內所有的押金都打向同一個上押地址,導致這個地址直接接收大量涉及網賭、黑灰產、洗錢等風險資金,同時也因其龐大的資金規模,一定程度上也混淆了資金方向,爲調查人員的追蹤活動制造了阻礙。
對已知的爲非法交易活動做擔保的平台地址進行資金審計發現,其擔保資金規模在過去12個月裏處於不斷增長趨勢中,包括超過170.7億波場網絡USDT,以及超過6.7億以太坊網絡USDT,這表明這類平台所擔保的非法交易大部分發生在波場網絡中。
4.2 新型黑灰產加密貨幣利用形式
4.2.1 授權盜幣
授權盜幣是一種通過竊取他人地址USDT管理權限進而非法轉移他人資產的盜幣手法。波場、以太坊等公鏈,允許用戶將錢包中某種資產的操作權限讓渡給其他地址,後者將因此獲取該地址部分或全部資產的管理權限,能夠隨時調用合約將地址中的授權資產轉移。
這種惡意盜幣授權請求通常僞裝成支付鏈接、空投申領入口、交互合約等蜜罐,一旦受害人被誘導交互,地址中的某項資產——通常USDT——就會被無限制授權給盜幣地址,並在隨後的某個時間被通過調用「TransferFrom」方法全部轉走。
盜幣者往往是通過欺騙目標受害人點擊釣魚鏈接並運行欺詐智能合約實現的,此時受害者錢包助記詞並沒有泄露,因此及時取消授權,仍可以挽回一定損失。
4.2.2 零轉账釣魚
零轉账釣魚是一種針對不規範使用錢包應用的加密貨幣投資者的騙局。通過大量向不特定區塊鏈地址發送金額爲0的USDT交易,能夠在無許可的情況下,增加目標地址的交互記錄。如果不特定對象在向某地址發起轉账的時候,試圖從智能設備上已有的轉账記錄中復制地址,就有可能向錯誤的地址發送資金,進而造成損失。
Bitrace針對大量波場網絡中已經被標記爲釣魚地址的欺詐地址進行了資金分析,定義這批地址轉账金額低於1USDT的交易爲一次釣魚活動,收取超過10USDT的交易爲欺詐所得。
我們的研究表明,零轉账釣魚活動的活躍度與受損規模一直在擴大中,截至目前,波場網絡中已經有超過4.51億USDT資金因遭受釣魚攻擊而損失。
4.2.3 假平台幣搬磚套利詐騙
假平台幣搬磚套利詐騙的常見手法是,欺詐者謊稱开發了某款「智能套利合約」,參與者只需要向合約中投入一定數量的加密貨幣,即可超額獲取另一種知名的加密貨幣(例如幣安幣、火幣積分、OK幣等),獲取「套利所得」後,參與者在第三方交易市場變現即可賺取收益。
早期小額測試,的確會返還真實超額加密貨幣,而一旦受害人投入大資金,便會返還虛假代幣,而後者不具備任何市場價值。這個欺詐手法古老而有效,目前仍有大量變體活躍在加密貨幣投資者社區中,不僅對普通投資者造成了資金損失,還給被冒充者的品牌資產帶來負面損害。
4.2.4 波場靚號地址交易
和傳統黑灰產活動一樣,加密黑灰產不法分子在進行違法犯罪活動前,也需要創建或購买虛擬身份,在傳統黑灰產活動中是銀行账戶與身份信息,在加密黑灰產活動中則是區塊鏈地址。而通常,這類地址都是從專業的靚號地址服務商處定制獲取的。
在網絡賭博活動中,哈希網賭平台運營者往往都是波場靚號地址的使用者,他們會向專業的靚號服務商批量採購靚號,並將這些靚號用作業務地址,以實現包括資金收付、存儲、流轉或接受投注、資金結算等在內的功能。
在黑灰產活動中,靚號定制則直接催生了零轉账釣魚更爲精細化運營的變種——同尾號釣魚。相比於普通的針對不特定區塊鏈對象的廣泛零USDT轉账,同尾號釣魚往往是定制化的,欺詐者會根據目標對象的常用對手方地址頭尾號進行高仿,並轉账更多金額。
這類釣魚活動成本並不低廉,根據某個波場靚號服務商的報價單可以看到,八位數定制的地址需要12小時才能交付,售價100USDT,同樣的八位數靚號則只需要10USDT。
而除波場靚號服務商以外,某些電報APP群聊機器人服務商、網站源碼服務商、批量轉账工具服務商、SEO快排服務商等群體,也存在類似的向非法活動參與者提供幫助並從中獲利的情況,本文不再過多披露。
五、加密貨幣在洗錢活動中的利用
5.1 傳統洗錢加密貨幣利用形式
加密貨幣在傳統洗錢活動中的利用,目的是將高風險用戶的支付轉移到低風險用戶的账戶中進行支付,從而規避支付機構的風險管控措施。這通常表現爲在加密貨幣場外交易市場將涉案法幣兌換爲加密資金,或者將涉案加密資金兌換爲法幣的形式,以阻斷資金鏈路,逃避追蹤打擊。
典型的贓錢清洗場景,是欺詐分子在騙取受害人現金後,迅速將資金拆分成小額連續轉账給多張銀行卡,隨後組織“卡農”們取現,接着將現金通過汽車或飛機等個人或公共交通工具運送到洗錢團夥所在地。在過去這筆現金常被用於購买大宗商品,或者兌換成外匯流出國境,而現在則更多用於线下購买USDT,這批USDT隨後要么會在加密貨幣場外交易市場變現爲現金,要么會直接流出境外或其他洗錢團夥做進一步處理。在這一過程中,跑U平台、支付擔保平台、中心化交易平台的場外交易市場都扮演了重要的角色。
5.1.1 跑U平台
跑U平台是一種新型洗錢方式,其基本模式是將數字貨幣交易與傳統“跑分”平台相結合。首先平台組織者以大量購买USDT轉移到境外交易所出售賺取差價爲誘餌,招募USDT搬磚者,隨後要求搬磚者實名注冊數字貨幣交易所账號,並綁定個人名下的銀行卡。搬磚者需要購买一定數量的USDT作爲交易保證金質押至“跑分”平台,平台組織者會根據搬磚者繳納USDT保證金的數量,在平台爲搬磚者开設账號標記可售的USDT數量和單價,同時備注搬磚者的收款銀行账戶等信息。當境外電信詐騙等犯罪團夥需要接收贓款時,會先通過“跑分”平台向搬磚者下單購买USDT,再指揮被害人向搬磚者預留在平台上的銀行账戶轉账,當被害人將被騙的錢款轉入搬磚者账戶後,搬磚者即在平台確認交易,這樣就完成了詐騙贓款的第一次轉移。此後,搬磚者使用收到的贓款繼續從交易所購买USDT並提幣至跑分平台循環往復,在這個過程中賺取USDT差價與平台傭金。
這種活動被洗錢團夥稱爲「卡接回U」,能夠幫助上遊不法分子與洗錢團夥完全規避贓款以及交易平台實名認證的風險。
5.1.2 跑分車隊
而除了招募跑分人員進行贓錢清洗外,洗錢人員還常用更直接的“跑分車隊”模式洗錢。形式與跑U形式基本一致,但不同之處在於,其加密貨幣場外交易發生在线下,且通過現金進行交割。首先車隊頭目會招募大量真實人員注冊實名銀行卡账戶,當上遊不法分子(所謂“料主”)非法獲取贓款(所謂“料”)後,會通過非法第三方支付擔保平台聯系車隊頭目接單;接着大量資金會拆分轉移至車隊控制下的多張銀行卡,如果這筆錢是一手黑錢,那么被稱爲“一道料”,如果是二手、三手黑錢,則相應被稱爲“二道料”、“三道料”,後者資金風險較低,傭金也更低;然後車隊頭目會與司機駕車接對應的卡主前往當地ATM機取現,多次取現完畢後,車隊頭目繼續使用個人或公共的交通工具將現金運往指定的地點進行线下交易;最後在第三方支付擔保平台介入情況下,車隊頭目將現金轉交給目標對象賺取傭金,對方將USDT打給擔保地址結束洗錢流程。
這類洗錢活動通過多層銀行账戶轉账、ATM取現、加密貨幣线下交易的形式,不僅多次中斷資金追蹤鏈路,還規避了銀行資金監管。
Bitrace針對波場網絡中部分被標注爲有洗錢風險且資金規模超過100萬USDT的地址進行了資金審計,審計周期爲2021年9月至2023年3月,審計內容爲USDT轉入。
數據顯示,2021年9月至2023年3月,波場網絡中有洗錢風險的地址總共流入超過642.5億USDT,且資金規模並沒有受到加密貨幣二級市場熊市的影響,不難看出其業務的參與方並非真正意義上的投資者。
5.2 新型洗錢加密貨幣利用形式
對於加密行業原生的網絡犯罪分子而言,基於加密基礎設施的匿名兌換以及鏈上混淆是最常用的資金清洗方法。
5.2.1 鏈上資金混淆
鏈上資金拆分與混幣平台則是最普遍的資金混淆渠道。
資金拆分是指不法分子通過復雜多層的交易,將虛擬貨幣通過不同錢包地址、账戶逐級混合提轉,最後匯至境外同夥的錢包地址,達到割裂資金輸入和輸出的聯系、模糊虛擬貨幣交易鏈路的目的。而在加密貨幣洗錢活動中,這一手法同樣有效,是黑灰產從業者處理資金的常用手法。
以某投資理財類詐騙案件的地址畫布爲例,該案件歸集受害人的加密資金後,通過若幹個資金通道對非法所得進行拆分處理,並最終歸集到少數交易所账戶地址中完成資金變現。
混幣則是將用戶的加密貨幣與其他用戶的貨幣進行混合,然後再將混合後的貨幣轉移到目標地址,以掩蓋原始的貨幣流動路徑,使得追蹤加密貨幣的來源和去向變得困難。因此,已經有多家加密貨幣混幣平台遭受了各國政府的制裁,其中就包括最知名的Tornado.cash,該平台於2022年8月8日受到美國財政部海外資產控制辦公室(OFAC)制裁,部分與其相關的以太坊地址被列入美國特別制定國民名單,而一旦被加到這個名單,個人或者相關實體的財產和財產權益都將面臨被凍結的風險。
但盡管如此,由於Tornado.Cash的混幣合約是公开無需可的,其他用戶仍然可以通過直接調用合約的形式進行混幣活動。以發生在2023年11月1日的OnyxProtocol被攻擊事件爲例,該攻擊者便是通過混幣平台獲取地址手續費,並進一步清洗資金。
5.2.2 鏈上匿名兌換
無KYC交易平台與跨鏈橋是最首要的兩個鏈上匿名兌換渠道。
目前爲止,除了少數已經被制裁的實體地址外,這類加密基礎設施仍未對風險加密資金或高危加密地址做出更多風險控制,導致攻擊事件發生後,非法資金往往能夠第一時間通過這些渠道進行兌換。
以發生在2023年6月25日的Nirvana Finance被攻擊事件爲例,攻擊者在非法獲取受害機構的加密資金後,第一時間將部分資金轉向了THORWallet DEX,後者是一個無需許可且具備高度私密性的去中心化交易平台,允許用戶在不公开交易信息的情況下直接在各條區塊鏈之間進行跨鏈兌換,因此在過去發生的多起加密安全事故中,都能看到THORWallet DEX在資金清洗環節中出現。
六、風險加密資金對web3企業地址造成污染
6.1 中心化交易平台地址污染
中心化交易平台是最主要的風險USDT資金清洗場所之一,Bitrace在本次報告中對126個常見中心化交易平台熱錢包地址進行了審計,對網賭、黑灰產、洗錢活動關聯加密資金在2021年1月至今期間的流入情況作出了充分考察。
2021年1月到2023年9月間,在波場網絡中共有超過415.2億風險USDT流入部分中心化交易平台,其中包括225.79億網賭關聯USDT,105.70億黑灰產關聯USDT,以及83.73億洗錢關聯USDT。
2021年1月到2023年9月間,在以太坊網絡中共有超過33.15億風險USDT流入部分中心化交易平台,其中包括11億網賭關聯USDT,18.42億黑灰產關聯USDT,以及3.72億洗錢關聯USDT。
從風險資金總量與風險資金佔比不難看出,波場網絡中USDT被非法利用的規模相比以太坊網絡更大,且網賭類別的風險資金比例較高,這與實踐中觀察到的情況一致——賭場代理以及普通賭客更傾向於使用波場USDT,以節省手續費。
6.2 場外交易市場地址污染
除中心化交易平台場外交易板塊之外,某些支付平台、加密貨幣投資者群組,承兌商社群都會建立一定規模的場外交易市場,這類場所缺乏完善的KYC與KYT機制,無法對對手方資金風險作出判斷,也難以在事後對風險資金作出限制,往往會流入較高比例的風險USDT。
Bitrace對具備典型場外交易市場特徵且資金規模超過100萬USDT的地址進行了資金審計,數據顯示在過去兩年中,這批地址已經流入至少34.39億與風險活動關聯的USDT,流入量隨時間遞增且基本不受二級市場寒冬影響。
6.3 加密支付平台地址污染
作爲去中心化金融領域的基礎設施之一,加密貨幣支付工具一方面爲區塊鏈機構提供資金結算服務,另一方面也爲普通用戶提供一定的加密貨幣承兌服務,也因此面臨同樣的風險加密資金污染。
Bitrace對主要服務東南亞與東亞客戶的主要加密支付平台地址進行了資金審計,數據顯示,在2021年1月到2023年9月之間,共有超過405.1億風險USDT流入這些地址,其中波場網絡334.6億USDT,以太坊網絡70.4億USDT,在幾乎所有時間裏,波場網絡中的風險USDT對加密支付平台的污染情況都要比以太坊網絡更嚴重。
七、結論與建議
網絡賭博、黑灰產、洗錢等活動的參與者們正在大量利用包括USDT在內的加密貨幣,以增強資金匿名程度,規避監管與執法部門的追蹤。其直接結果是,運營合規加密業務的Web3企業與普通加密貨幣投資者因缺乏資金風險識別能力,而被動收取這類與風險活動關聯的加密資金,進而使資金地址遭受污染,甚至被卷入案件。
行業機構應加強資金風控意識,積極與當地執法部門建立合作,並接入安全廠商提供的威脅情報服務,以感知、識別、預防、阻斷風險加密資金,保護自身業務地址與用戶地址免遭污染。
7.1 加強資金風控意識
行業機構在基礎的了解您的用戶(KYC)活動——依法對客戶真實身份、交易執行、資金來源等情況進行核查之外,也要履行客戶異常交易監控和管理職責(KYT),及時報告違規交易和風險情況。對存在可疑風險資金活動的用戶進行分層管理,採取限制部分或全部平台功能的管理措施。
7.2 積極了解當地法律法規並與執法單位協作
平台需建立或委托專業團隊對來自全球的執法請求進行合規對接及審查,協助識別、打擊、預防涉幣犯罪活動,降低造成的經濟損失,並避免平台業務地址與用戶账戶遭受資金污染。
7.3 建立威脅情報網絡與信息共享機制
行業機構需要重視开源網絡情報,對現時發生的加密安全事件相關攻擊地址及資金保持關注,以確保能夠第一時間對流入平台的涉案資金進行反制;同時也需要接入外部威脅情報源,與加密數據、安全公司合作,爲用戶建立DID畫像,對與風險地址產生關聯以及缺乏良好交互歷史的地址採取適當的風控限制。並在此基礎上,建立及維護全行業共享的开放式威脅情報數據庫,保證行業整體的安全與信任。
標題:加密貨幣在網絡違法犯罪活動中的利用情況調查
地址:https://www.coinsdeep.com/article/70078.html
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。