一、調查背景
區塊鏈基於分布式共識和經濟激勵等手段,在開放式、無許可的網絡空間中,爲價值的確立、存儲、轉移提供了新的解決方案。然而隨著加密生態在過去若幹年的快速髮展,加密貨幣也越來越多地被用於各類風險活動,爲網絡賭博、網絡黑灰産、洗錢等活動提供了更爲隱蔽與便捷的價值轉移方式。
衕時,加密貨幣作爲加密行業重要的基礎設施之一,大量web3企業也利用USDT等穩定幣作爲主要的資金收付方式,但這類企業普遍缺乏健全的AML、KYT、KYC等風控機製,導緻曾被用於風險活動的USDT不受限製地流入業務地址,對企業自身及其客戶的地址資金造成污染。
本報告旨在對加密貨幣在風險加密活動中的利用手法與利用規模進行披露,併通過鏈上數據追蹤風險活動關聯資金的流轉,以管中窺豹闡明風險加密資金對web3企業的威脅。
二、調查對象
網絡違法犯罪活動造成的社會危害性日益嚴重,這種危害既包括對個人財産與社會公共安全的直接侵害,也包括與違法犯罪活動關聯的上下游産業對個人或企業主體間接帶來的法律風險。近年來,各國都加強了對網絡違法犯罪活動的打擊力度,在刑事立法和網絡生態研究方麵取得了一些進展。但是,網絡犯罪仍然是一個難以完全解決的問題,尤其是區塊鏈等新型網絡空間的出現,傳統的網絡賭博、網絡黑灰産、洗錢等紛紛在風險活動中利用加密貨幣或加密基礎設施,進而爲相關法律認定與執法監管造成了阻礙。
2.1 網絡賭博
賭博是指對於一個事件與不確定的結果,下註錢或具物質價值的東西,其主要目的是爲贏取更多的金錢或物質價值,衕時參與者通過資金財物博弈穫得精神愉悅。網絡賭博則是指利用互聯網進行的賭博行爲,其類型繁多,基本上現實生活中主要的賭博方式在網絡中都可以進行。
在中國,以營利爲目的,在計算機網絡上建立賭博網站,或者爲賭博網站擔任代理,接受投註的,屬於刑法第三百零三條規定的“開設賭場”。中華人民共和國公民在我國領域外周邊地區聚衆賭博、開設賭場,以吸引中華人民共和國公民爲主要客源,構成賭博罪的,衕樣可以依照刑法規定追究刑事責任。
但在其他國家或地區,對賭博以及開設賭場等行爲的法律認定卻多有不衕:
根據中國香港《賭博條例》,除了受規管的賽馬、足球博彩及六合彩,又或其他穫髮牌批準的博彩場所(例如麻將館)、以及穫法例豁免的賭博活動之外,其他賭博活動均屬非法;
根據美國《非法互聯網賭博執行法》,通過金融機構與網絡賭博網站進行交易,繫違法行爲。但各州立法參差不齊,對網絡博彩法與非法、相關活動執法方曏的認定均有區別;
根據中國澳門博彩監察協調局聲明,澳門特區政府從未有批出網上博彩準照,故任何以澳門特區政府名義推廣網上博彩活動的信息、投註網站均爲虛假及非法,公衆在此類網站進行的投註是不受澳門特區法律所保障的。
可見網絡博彩併非在所有國家或地區非法,持牌運營併接受當地政府部門監管的網絡賭博平颱所採用的賭資,併不能被視爲風險資金。因此,Bitrace針對網絡賭博活動的調查對象僅局限於無牌經營博彩業務的賭博平颱,接受經營許可範圍以外用戶投註的賭博平颱代理,以及爲前兩者提供資金結算服務的支付機構。
對於傳統的網賭平颱及其代理,這類機構通過自建中心化的加密貨幣充值、交易、提現繫統或接入加密貨幣支付工具的形式幫助賭客進行資金結算,由於加密貨幣的匿名特性,政府部門將難以對這類行爲進行監管或執法。對於新型的哈希網賭平颱,這類平颱架設在區塊鏈網絡中,賭客投註、賭註結算、資金沉澱與歸集均通過智能合約進行管理,傳播範圍更廣、髮展變化更快。
2.2 網絡黑灰産
網絡黑灰産是指在網絡空間中,以牟取不正當利益爲目的,通過各種技術手段實施或幫助實施違法犯罪活動過程中形成的規模化、鏈條化的産業,本質上是爲了穫取違法利益或者破壞網絡生態秩序。目前,加密貨幣以及部分加密行業基礎設施已經極大融入了整個網絡黑灰産生態。
傳統的網絡黑灰産通過在非法活動中引入加密貨幣,或者使用加密工具替代原有的技術手段的方式,提高某些非法活動的欺騙性與破壞性,減少上下游活動被政府部門感知或製裁的機會。新型的區塊鏈黑灰産則直接以加密貨幣投資者或機構的加密資産爲目標,是加密行業原生的違法犯罪活動。
本報告僅對其中部分典型利用加密貨幣的黑灰産活動進行披露。
2.3 洗錢
洗錢(Money Laundering)是一種將非法所得合法化的行爲,主要指將違法所得及其産生的收益,通過各種手段掩飾、隱瞞其來源和性質,使其在形式上合法化。其行爲包括但不限於提供資金賬戶、協助轉換財産形式、協助轉移資金或彙往境外。而加密貨幣——尤其是穩定幣——因其低廉的轉賬成本,去地理化的特質以及一定的抗審查特性,在相當早的時間便已經被洗錢活動所利用,這也是導緻加密貨幣被詬病的主要原因之一。
傳統的洗錢活動往往會利用加密貨幣場外交易市場,進行從法幣到加密貨幣,或從加密貨幣到法幣的兌換,其中洗錢場景不衕,形式也多樣化,但不論如何這類行爲的本質都是爲了阻斷執法人員對資金鏈路的調查,包括傳統金融機構賬戶或加密機構賬戶。
與傳統洗錢活動不衕的是,新型的加密貨幣洗錢活動的清洗標的爲加密貨幣本身,包括錢包、跨鏈橋、去中心化交易平颱等在內的加密行業基礎設施都會被非法利用。
三、加密貨幣在網賭活動中的利用
3.1 傳統網賭平颱加密貨幣利用形式
近年來,網絡賭博平颱及其代理接受加密貨幣作爲籌碼的現象已經十分普遍,其中:
部分網賭平颱已經自主建立了完整的加密貨幣充值、交易、提現的中心化管理繫統。賭客需自行於第三方平颱購買加密貨幣(主要是USDT),併轉賬至網賭平颱爲每個賭客分配的充值地址,實現籌碼的穫取,賭客髮起提幣申請後,平颱則從統一的熱錢包地址曏目標地址轉賬,其業務實現邏輯與主流加密貨幣交易平颱一緻。
部分網賭平颱通過接入加密支付工具爲賭客提供出入金渠道。賭客不直接曏網賭平颱充值USDT,而是曏支付平颱賬戶轉賬,提款需求也由後者滿足。網賭平颱與支付平颱之間定期進行資金結算,因而能夠通過資金關聯挖掘其業務細節。
以某博彩平颱利用USDT接受投註爲例,該平颱通過接入某加密貨幣支付平颱的形式幫助賭客進行USDT出入金,Bitrace對其中一個熱錢包地址進行了資金審計。在2022年1月27日到2022年2月25日期間,該地址總共處理來自賭客超過133.2萬USDT的充值與提款訂單請求。
在資金分析實踐中髮現,一般業務規模較大的網賭平颱會自建加密貨幣充提功能闆塊,占大多數的中小型網賭平颱則會選擇接入加密貨幣支付平颱。根據DeTrust地址資金風險審計平颱監測,在2021年9月到2023年9月間,共有超過464.5億USDT直接流入傳統網賭平颱,或者爲網賭平颱提供出入金服務的加密支付平颱。
其中2021年網賭資金規模變化對應當年加密貨幣二級市場的髮展狀況,2022年11月-2023年1月的規模增長,則可能與當年世界杯期間大量的博彩活動有關。
對轉入網賭平颱的地址USDT來源進行分析可知,有超過 74.3 億USDT直接來自中心化交易平颱,占總流入規模的16%。這批資金要麽是賭客直接從交易所地址曏網賭平颱充值,要麽是賭場及其代理通過交易平颱進行資金周轉,考慮到其他地址的二層地址資金衕樣存在來自中心化交易平颱的情況,這一數字顯然是低估的。這錶明中心化加密貨幣交易平颱正在被利用於服務網絡博彩産業。
3.2 新型哈希網賭加密貨幣利用形式
區塊鏈上的每一筆交易都會對應一串獨特的哈希值,該值隨機産生且無法僞造,因此有網賭平颱基於此開髮了哈希競猜類玩法,規則便是通過猜測交易哈希最後一位或幾位數字是奇數還是偶數、是大或小,決定競猜行爲的勝負,併畫分賭註。
以典型的「猜尾號」玩法爲例,賭客需曏投註地址髮起轉賬,若該筆轉賬的哈希值尾號爲特定數字或字母,則賭客勝,平颱在扣除部分點數後返還雙倍籌碼;若尾號不符,則賭客負,籌碼不予返還。
因此這類網賭地址在鏈上,往往錶現爲與多個地址之間高頻率、固定金額的資金往來,進而産生巨量的資金交互規模。
最後,這類哈希網賭玩法因節奏明快、玩法公平,曾一度火爆,出現大量變體玩法與平颱,但由於玩法過於透明,且資金極易遭受黑客攻擊而被盜,目前這類玩法的規模與市場占有率均有極大降低。
四、加密貨幣在黑灰産活動中的利用
4.1 傳統黑灰産加密貨幣利用形式
4.1.1 投資理財類詐騙
投資理財類詐騙是一種網絡投資詐騙,騙子往往通過社交媒體等渠道聲稱自己是“行業領域的專家”,通過對受害人的了解、關心、拉攏誘騙受害人進入虛假平颱(一般是APP)進行投資,騙取投資款。在這些涉詐APP中,投資者通過投資、博彩、買賣貨物、買賣證券等等,在收到小額甚至大額穫利之後開始大額投入,但此時基本所有資金就會有去無回。當受害人髮現APP的資金無法“取現”,聯繫不上所謂的“專家”,才幡然醒悟自己已經上當受騙。
這類傳統網絡投資詐騙也在近幾年開始利用加密貨幣或加密工具行騙,以情感欺詐、黑灰USDT跑分詐騙爲例。
4.1.1.1 情感欺詐
情感欺詐往往與投資欺詐結合在一起,但主要受害群體非加密用戶。欺詐者通過塑造完美網絡人設,通過網戀的形式,誘導網戀對象購買USDT參與加密貨幣投資,例如換彙套利、衍生品交易、流動性挖礦等等。
受害人的“投資”會在短時間內賺取大量收益,併被鼓勵加大投資。但實際上受害人的USDT併沒有真正參與所謂的套利活動,而是在轉入平颱後即被轉出清洗,衕時受害人的提現請求會被平颱以各種理由拒絶,直到最後受害人髮現自己上當受騙。
4.1.1.2 黑灰USDT跑分詐騙
黑灰USDT跑分詐騙是僞裝成洗錢跑分的欺詐手段,平颱普遍自稱是用於涉案USDT資金清洗的接單平颱,但實際上這是投資騙局,一旦參與者投入較大金額的USDT,平颱就會以各種理由拒絶返還。
以某個仍在運營的「黑U跑分平颱」爲例,允許用戶以1:1.1~1.45的「彙率」使用「幹凈U」兌換「黑U」,用戶收取黑U後再轉移到其他平颱出售,其中超額部分即爲用戶「跑分」的收益。
截至目前,該欺詐團伙已經通過衕樣的手法非法穫取了超過87萬USDT的資金。有784個獨立地址曏欺詐地址轉移了USDT,但隻有437個地址收到了回款,接近一半的參與者併沒有「套利」成功。
4.1.2 虛假APP
虛假App是指不法分子通過各種手段將正版App重新包裝,以假充真的那些App,結合了加密貨幣的虛假APP則主要有假錢包與假電報APP。
4.1.2.1 假錢包 APP
假錢包APP盜幣是一種通過誘導他人下載安裝帶有後門的假錢包APP,以竊取錢包助記詞進而非法轉移他人資産的盜幣手法。盜幣者在搜索引擎、非官方手機應用商店、社交平颱等渠道投放假錢包APP下載鏈接,受害人下載安裝併創建或衕步錢包地址後,助記詞便會髮送給盜幣者。一旦受害人轉入較大金額的加密資産,便會被盜幣者批量或自動轉走歸集。
目前該手法已經高度産業化,假錢包開髮團隊與運營推廣團隊業務完全分割,前者僅參與産品開髮與維護,通過在全球各地招募代理的形式出售産品解決方案;後者則隻需要推廣假錢包APP即可,甚至無需了解加密技術原理。
多簽盜幣是假錢包盜幣的一個變種手法。多重簽名技術就是多個用戶衕時對一個數字資産進行簽名,可以簡單地理解爲,一個錢包賬戶衕時有多個人擁有簽名權和支付權。 如果一個地址隻能由一個私鑰簽名和支付,錶現形式就是1/1,而多重簽名的錶現形式是m/n,也就是説一共n個私鑰可以給一個賬戶簽名,而當m個地址簽名時,就可以支付一筆交易。
傳統假錢包盜幣本質上是與受害人共享錢包控製權限,盜幣者無法阻止受害人轉出資産,但基於多重簽名技術原理,盜幣者在受害人安裝假錢包APP後,會立即將受害人地址加入多簽,此時錢包擁有者本人將無法轉移錢包中的資産,隻能轉入無法轉出,而盜幣者則將能夠在任何時間將資産轉走,這往往取決於受害人什麽時候轉入大額資金。
4.1.2.2假電報 APP
在加密貨幣相關黑灰産中虛假APP的經典應用是對電報APP的惡意後門植入,後者是一款加密貨幣投資者常用的社交軟件,許多場外交易活動依靠該軟件進行。欺詐者會通過社會工程學攻擊方法,誘導目標對象「下載」或「更新」假電報APP,一旦目標用戶通過聊天框粘貼區塊鏈地址,惡意軟件便會識別替換髮送惡意地址,導緻交易對手方將資金髮送到惡意地址,而被攻擊者不自知。
4.1.3 黑灰産第三方支付擔保
第三方支付擔保是指買賣雙方在網上達成商品交易意曏或協議後,買方將貨款先支付給第三方,由第三方暫時保管,待買方收到貨併檢查無誤後通知第三方中介,由第三方將貨款支付給賣方,完成整個交易。它實際上是以第三方爲信用中介,在買方確認收到商品前,替買賣雙方暫時監管貨款的一種網上支付服務方式。在此交易過程中,第三方中介會收取一定比例的服務費。
當前某些黑灰産第三方支付擔保平颱,除去傳統的法幣渠道外,也已經開始普遍利用泰達幣(主要是trc20-USDT)作爲擔保資金,爲包括非法換彙、非法商品交易、違規代收代付、涉案加密貨幣交易等在內的交易提供支付擔保服務。盡管交易類型不衕,但交易流程是一緻的。
通常買方與賣方中的一人會在廣告區曏支付擔保平颱付費投放廣告,要麽投放在網站特定的區域,要麽投放在官方電報群,廣告中則會註明交易類型、交易要求、支付方式等交易細節。
買賣雙方協商完畢後,需要聯繫支付擔保平颱客服建立「專群」,專群是僅用於交易溝通的非公開電報群組,成員包括買賣雙方與專群機器人,原則上不允許一對多交易,也不允許拉入無關人員。
買方需要買家將貨款轉入擔保平颱官方賬戶併提供憑證,這個過程被稱爲「上押」,由交易員確認收款後通知賣家髮貨;接著賣家接到交易員髮貨通知後開始髮貨,併提供髮貨憑證;然後買家確認收貨後通知交易員放款,收到買家收貨確認或放款通知後交易員扣除傭金曏賣家解押放款,併提供放款憑證;最後賣家確認收款,交易完成。
平颱併不會在每筆交易中爲用戶分配獨立地址用於資金隔離,而是在一段時間內所有的押金都打曏衕一個上押地址,導緻這個地址直接接收大量涉及網賭、黑灰産、洗錢等風險資金,衕時也因其龐大的資金規模,一定程度上也混淆了資金方曏,爲調查人員的追蹤活動製造了阻礙。
對已知的爲非法交易活動做擔保的平颱地址進行資金審計髮現,其擔保資金規模在過去12個月裡處於不斷增長趨勢中,包括超過170.7億波場網絡USDT,以及超過6.7億以太坊網絡USDT,這錶明這類平颱所擔保的非法交易大部分髮生在波場網絡中。
4.2 新型黑灰産加密貨幣利用形式
4.2.1 授權盜幣
授權盜幣是一種通過竊取他人地址USDT管理權限進而非法轉移他人資産的盜幣手法。波場、以太坊等公鏈,允許用戶將錢包中某種資産的操作權限讓渡給其他地址,後者將因此穫取該地址部分或全部資産的管理權限,能夠隨時調用合約將地址中的授權資産轉移。
這種惡意盜幣授權請求通常僞裝成支付鏈接、空投申領入口、交互合約等蜜罐,一旦受害人被誘導交互,地址中的某項資産——通常USDT——就會被無限製授權給盜幣地址,併在隨後的某個時間被通過調用「TransferFrom」方法全部轉走。
盜幣者往往是通過欺騙目標受害人點擊釣魚鏈接併運行欺詐智能合約實現的,此時受害者錢包助記詞併沒有泄露,因此及時取消授權,仍可以輓回一定損失。
4.2.2 零轉賬釣魚
零轉賬釣魚是一種針對不規範使用錢包應用的加密貨幣投資者的騙局。通過大量曏不特定區塊鏈地址髮送金額爲0的USDT交易,能夠在無許可的情況下,增加目標地址的交互記録。如果不特定對象在曏某地址髮起轉賬的時候,試圖從智能設備上已有的轉賬記録中覆製地址,就有可能曏錯誤的地址髮送資金,進而造成損失。
Bitrace針對大量波場網絡中已經被標記爲釣魚地址的欺詐地址進行了資金分析,定義這批地址轉賬金額低於1USDT的交易爲一次釣魚活動,收取超過10USDT的交易爲欺詐所得。
我們的研究錶明,零轉賬釣魚活動的活躍度與受損規模一直在擴大中,截至目前,波場網絡中已經有超過4.51億USDT資金因遭受釣魚攻擊而損失。
4.2.3 假平颱幣搬磚套利詐騙
假平颱幣搬磚套利詐騙的常見手法是,欺詐者謊稱開髮了某款「智能套利合約」,參與者隻需要曏合約中投入一定數量的加密貨幣,即可超額穫取另一種知名的加密貨幣(例如幣安幣、火幣積分、OK幣等),穫取「套利所得」後,參與者在第三方交易市場變現即可賺取收益。
早期小額測試,的確會返還真實超額加密貨幣,而一旦受害人投入大資金,便會返還虛假代幣,而後者不具備任何市場價值。這個欺詐手法古老而有效,目前仍有大量變體活躍在加密貨幣投資者社區中,不僅對普通投資者造成了資金損失,還給被冒充者的品牌資産帶來負麵損害。
4.2.4 波場靚號地址交易
和傳統黑灰産活動一樣,加密黑灰産不法分子在進行違法犯罪活動前,也需要創建或購買虛擬身份,在傳統黑灰産活動中是銀行賬戶與身份信息,在加密黑灰産活動中則是區塊鏈地址。而通常,這類地址都是從專業的靚號地址服務商處定製穫取的。
在網絡賭博活動中,哈希網賭平颱運營者往往都是波場靚號地址的使用者,他們會曏專業的靚號服務商批量採購靚號,併將這些靚號用作業務地址,以實現包括資金收付、存儲、流轉或接受投註、資金結算等在內的功能。
在黑灰産活動中,靚號定製則直接催生了零轉賬釣魚更爲精細化運營的變種——衕尾號釣魚。相比於普通的針對不特定區塊鏈對象的廣泛零USDT轉賬,衕尾號釣魚往往是定製化的,欺詐者會根據目標對象的常用對手方地址頭尾號進行高仿,併轉賬更多金額。
這類釣魚活動成本併不低廉,根據某個波場靚號服務商的報價單可以看到,八位數定製的地址需要12小時才能交付,售價100USDT,衕樣的八位數靚號則隻需要10USDT。
而除波場靚號服務商以外,某些電報APP群聊機器人服務商、網站源碼服務商、批量轉賬工具服務商、SEO快排服務商等群體,也存在類似的曏非法活動參與者提供幫助併從中穫利的情況,本文不再過多披露。
五、加密貨幣在洗錢活動中的利用
5.1 傳統洗錢加密貨幣利用形式
加密貨幣在傳統洗錢活動中的利用,目的是將高風險用戶的支付轉移到低風險用戶的賬戶中進行支付,從而規避支付機構的風險管控措施。這通常錶現爲在加密貨幣場外交易市場將涉案法幣兌換爲加密資金,或者將涉案加密資金兌換爲法幣的形式,以阻斷資金鏈路,逃避追蹤打擊。
典型的贜錢清洗場景,是欺詐分子在騙取受害人現金後,迅速將資金拆分成小額連續轉賬給多張銀行卡,隨後組織“卡農”們取現,接著將現金通過汽車或飛機等個人或公共交通工具運送到洗錢團伙所在地。在過去這筆現金常被用於購買大宗商品,或者兌換成外彙流出國境,而現在則更多用於線下購買USDT,這批USDT隨後要麽會在加密貨幣場外交易市場變現爲現金,要麽會直接流出境外或其他洗錢團伙做進一步處理。在這一過程中,跑U平颱、支付擔保平颱、中心化交易平颱的場外交易市場都扮演了重要的角色。
5.1.1 跑U平颱
跑U平颱是一種新型洗錢方式,其基本模式是將數字貨幣交易與傳統“跑分”平颱相結合。首先平颱組織者以大量購買USDT轉移到境外交易所出售賺取差價爲誘餌,招募USDT搬磚者,隨後要求搬磚者實名註冊數字貨幣交易所賬號,併綁定個人名下的銀行卡。搬磚者需要購買一定數量的USDT作爲交易保證金質押至“跑分”平颱,平颱組織者會根據搬磚者繳納USDT保證金的數量,在平颱爲搬磚者開設賬號標記可售的USDT數量和單價,衕時備註搬磚者的收款銀行賬戶等信息。當境外電信詐騙等犯罪團伙需要接收贜款時,會先通過“跑分”平颱曏搬磚者下單購買USDT,再指揮被害人曏搬磚者預留在平颱上的銀行賬戶轉賬,當被害人將被騙的錢款轉入搬磚者賬戶後,搬磚者即在平颱確認交易,這樣就完成了詐騙贜款的第一次轉移。此後,搬磚者使用收到的贜款繼續從交易所購買USDT併提幣至跑分平颱循環往覆,在這個過程中賺取USDT差價與平颱傭金。
這種活動被洗錢團伙稱爲「卡接回U」,能夠幫助上游不法分子與洗錢團伙完全規避贜款以及交易平颱實名認證的風險。
5.1.2 跑分車隊
而除了招募跑分人員進行贜錢清洗外,洗錢人員還常用更直接的“跑分車隊”模式洗錢。形式與跑U形式基本一緻,但不衕之處在於,其加密貨幣場外交易髮生在線下,且通過現金進行交割。首先車隊頭目會招募大量真實人員註冊實名銀行卡賬戶,當上游不法分子(所謂“料主”)非法穫取贜款(所謂“料”)後,會通過非法第三方支付擔保平颱聯繫車隊頭目接單;接著大量資金會拆分轉移至車隊控製下的多張銀行卡,如果這筆錢是一手黑錢,那麽被稱爲“一道料”,如果是二手、三手黑錢,則相應被稱爲“二道料”、“三道料”,後者資金風險較低,傭金也更低;然後車隊頭目會與司機駕車接對應的卡主前往當地ATM機取現,多次取現完畢後,車隊頭目繼續使用個人或公共的交通工具將現金運往指定的地點進行線下交易;最後在第三方支付擔保平颱介入情況下,車隊頭目將現金轉交給目標對象賺取傭金,對方將USDT打給擔保地址結束洗錢流程。
這類洗錢活動通過多層銀行賬戶轉賬、ATM取現、加密貨幣線下交易的形式,不僅多次中斷資金追蹤鏈路,還規避了銀行資金監管。
Bitrace針對波場網絡中部分被標註爲有洗錢風險且資金規模超過100萬USDT的地址進行了資金審計,審計周期爲2021年9月至2023年3月,審計內容爲USDT轉入。
數據顯示,2021年9月至2023年3月,波場網絡中有洗錢風險的地址總共流入超過642.5億USDT,且資金規模併沒有受到加密貨幣二級市場熊市的影響,不難看出其業務的參與方併非真正意義上的投資者。
5.2 新型洗錢加密貨幣利用形式
對於加密行業原生的網絡犯罪分子而言,基於加密基礎設施的匿名兌換以及鏈上混淆是最常用的資金清洗方法。
5.2.1 鏈上資金混淆
鏈上資金拆分與混幣平颱則是最普遍的資金混淆渠道。
資金拆分是指不法分子通過覆雜多層的交易,將虛擬貨幣通過不衕錢包地址、賬戶逐級混合提轉,最後彙至境外衕伙的錢包地址,達到割裂資金輸入和輸出的聯繫、模糊虛擬貨幣交易鏈路的目的。而在加密貨幣洗錢活動中,這一手法衕樣有效,是黑灰産從業者處理資金的常用手法。
以某投資理財類詐騙案件的地址畫布爲例,該案件歸集受害人的加密資金後,通過若幹個資金通道對非法所得進行拆分處理,併最終歸集到少數交易所賬戶地址中完成資金變現。
混幣則是將用戶的加密貨幣與其他用戶的貨幣進行混合,然後再將混合後的貨幣轉移到目標地址,以掩蓋原始的貨幣流動路徑,使得追蹤加密貨幣的來源和去曏變得睏難。因此,已經有多家加密貨幣混幣平颱遭受了各國政府的製裁,其中就包括最知名的Tornado.cash,該平颱於2022年8月8日受到美國財政部海外資産控製辦公室(OFAC)製裁,部分與其相關的以太坊地址被列入美國特別製定國民名單,而一旦被加到這個名單,個人或者相關實體的財産和財産權益都將麵臨被凍結的風險。
但盡管如此,由於Tornado.Cash的混幣合約是公開無需可的,其他用戶仍然可以通過直接調用合約的形式進行混幣活動。以髮生在2023年11月1日的OnyxProtocol被攻擊事件爲例,該攻擊者便是通過混幣平颱穫取地址手續費,併進一步清洗資金。
5.2.2 鏈上匿名兌換
無KYC交易平颱與跨鏈橋是最首要的兩個鏈上匿名兌換渠道。
目前爲止,除了少數已經被製裁的實體地址外,這類加密基礎設施仍未對風險加密資金或高危加密地址做出更多風險控製,導緻攻擊事件髮生後,非法資金往往能夠第一時間通過這些渠道進行兌換。
以髮生在2023年6月25日的Nirvana Finance被攻擊事件爲例,攻擊者在非法穫取受害機構的加密資金後,第一時間將部分資金轉曏了THORWallet DEX,後者是一個無需許可且具備高度私密性的去中心化交易平颱,允許用戶在不公開交易信息的情況下直接在各條區塊鏈之間進行跨鏈兌換,因此在過去髮生的多起加密安全事故中,都能看到THORWallet DEX在資金清洗環節中出現。
六、風險加密資金對web3企業地址造成污染
6.1 中心化交易平颱地址污染
中心化交易平颱是最主要的風險USDT資金清洗場所之一,Bitrace在本次報告中對126個常見中心化交易平颱熱錢包地址進行了審計,對網賭、黑灰産、洗錢活動關聯加密資金在2021年1月至今期間的流入情況作出了充分考察。
2021年1月到2023年9月間,在波場網絡中共有超過415.2億風險USDT流入部分中心化交易平颱,其中包括225.79億網賭關聯USDT,105.70億黑灰産關聯USDT,以及83.73億洗錢關聯USDT。
2021年1月到2023年9月間,在以太坊網絡中共有超過33.15億風險USDT流入部分中心化交易平颱,其中包括11億網賭關聯USDT,18.42億黑灰産關聯USDT,以及3.72億洗錢關聯USDT。
從風險資金總量與風險資金占比不難看出,波場網絡中USDT被非法利用的規模相比以太坊網絡更大,且網賭類別的風險資金比例較高,這與實踐中觀察到的情況一緻——賭場代理以及普通賭客更傾曏於使用波場USDT,以節省手續費。
6.2 場外交易市場地址污染
除中心化交易平颱場外交易闆塊之外,某些支付平颱、加密貨幣投資者群組,承兌商社群都會建立一定規模的場外交易市場,這類場所缺乏完善的KYC與KYT機製,無法對對手方資金風險作出判斷,也難以在事後對風險資金作出限製,往往會流入較高比例的風險USDT。
Bitrace對具備典型場外交易市場特徵且資金規模超過100萬USDT的地址進行了資金審計,數據顯示在過去兩年中,這批地址已經流入至少34.39億與風險活動關聯的USDT,流入量隨時間遞增且基本不受二級市場寒冬影響。
6.3 加密支付平颱地址污染
作爲去中心化金融領域的基礎設施之一,加密貨幣支付工具一方麵爲區塊鏈機構提供資金結算服務,另一方麵也爲普通用戶提供一定的加密貨幣承兌服務,也因此麵臨衕樣的風險加密資金污染。
Bitrace對主要服務東南亞與東亞客戶的主要加密支付平颱地址進行了資金審計,數據顯示,在2021年1月到2023年9月之間,共有超過405.1億風險USDT流入這些地址,其中波場網絡334.6億USDT,以太坊網絡70.4億USDT,在幾乎所有時間裡,波場網絡中的風險USDT對加密支付平颱的污染情況都要比以太坊網絡更嚴重。
七、結論與建議
網絡賭博、黑灰産、洗錢等活動的參與者們正在大量利用包括USDT在內的加密貨幣,以增強資金匿名程度,規避監管與執法部門的追蹤。其直接結果是,運營合規加密業務的Web3企業與普通加密貨幣投資者因缺乏資金風險識別能力,而被動收取這類與風險活動關聯的加密資金,進而使資金地址遭受污染,甚至被卷入案件。
行業機構應加強資金風控意識,積極與當地執法部門建立合作,併接入安全廠商提供的威脅情報服務,以感知、識別、預防、阻斷風險加密資金,保護自身業務地址與用戶地址免遭污染。
7.1 加強資金風控意識
行業機構在基礎的了解您的用戶(KYC)活動——依法對客戶真實身份、交易執行、資金來源等情況進行核查之外,也要履行客戶異常交易監控和管理職責(KYT),及時報告違規交易和風險情況。對存在可疑風險資金活動的用戶進行分層管理,採取限製部分或全部平颱功能的管理措施。
7.2 積極了解當地法律法規併與執法單位協作
平颱需建立或委托專業團隊對來自全球的執法請求進行合規對接及審查,協助識別、打擊、預防涉幣犯罪活動,降低造成的經濟損失,併避免平颱業務地址與用戶賬戶遭受資金污染。
7.3 建立威脅情報網絡與信息共享機製
行業機構需要重視開源網絡情報,對現時髮生的加密安全事件相關攻擊地址及資金保持關註,以確保能夠第一時間對流入平颱的涉案資金進行反製;衕時也需要接入外部威脅情報源,與加密數據、安全公司合作,爲用戶建立DID畫像,對與風險地址産生關聯以及缺乏良好交互歷史的地址採取適當的風控限製。併在此基礎上,建立及維護全行業共享的開放式威脅情報數據庫,保證行業整體的安全與信任。
聲明:
- 本文轉載自[panews],著作權歸屬原作者[Bitrace],如對轉載有異議,請聯繫Gate Learn團隊,團隊會根據相關流程盡速處理。
- 免責聲明:本文所錶達的觀點和意見僅代錶作者個人觀點,不構成任何投資建議。
- 文章其他語言版本由Gate Learn團隊翻譯, 在未提及Gate.io的情況下不得覆製、傳播或抄襲經翻譯文章。
Artículos relacionados
如何質押 ETH?
一、調查背景
區塊鏈基於分布式共識和經濟激勵等手段,在開放式、無許可的網絡空間中,爲價值的確立、存儲、轉移提供了新的解決方案。然而隨著加密生態在過去若幹年的快速髮展,加密貨幣也越來越多地被用於各類風險活動,爲網絡賭博、網絡黑灰産、洗錢等活動提供了更爲隱蔽與便捷的價值轉移方式。
衕時,加密貨幣作爲加密行業重要的基礎設施之一,大量web3企業也利用USDT等穩定幣作爲主要的資金收付方式,但這類企業普遍缺乏健全的AML、KYT、KYC等風控機製,導緻曾被用於風險活動的USDT不受限製地流入業務地址,對企業自身及其客戶的地址資金造成污染。
本報告旨在對加密貨幣在風險加密活動中的利用手法與利用規模進行披露,併通過鏈上數據追蹤風險活動關聯資金的流轉,以管中窺豹闡明風險加密資金對web3企業的威脅。
二、調查對象
網絡違法犯罪活動造成的社會危害性日益嚴重,這種危害既包括對個人財産與社會公共安全的直接侵害,也包括與違法犯罪活動關聯的上下游産業對個人或企業主體間接帶來的法律風險。近年來,各國都加強了對網絡違法犯罪活動的打擊力度,在刑事立法和網絡生態研究方麵取得了一些進展。但是,網絡犯罪仍然是一個難以完全解決的問題,尤其是區塊鏈等新型網絡空間的出現,傳統的網絡賭博、網絡黑灰産、洗錢等紛紛在風險活動中利用加密貨幣或加密基礎設施,進而爲相關法律認定與執法監管造成了阻礙。
2.1 網絡賭博
賭博是指對於一個事件與不確定的結果,下註錢或具物質價值的東西,其主要目的是爲贏取更多的金錢或物質價值,衕時參與者通過資金財物博弈穫得精神愉悅。網絡賭博則是指利用互聯網進行的賭博行爲,其類型繁多,基本上現實生活中主要的賭博方式在網絡中都可以進行。
在中國,以營利爲目的,在計算機網絡上建立賭博網站,或者爲賭博網站擔任代理,接受投註的,屬於刑法第三百零三條規定的“開設賭場”。中華人民共和國公民在我國領域外周邊地區聚衆賭博、開設賭場,以吸引中華人民共和國公民爲主要客源,構成賭博罪的,衕樣可以依照刑法規定追究刑事責任。
但在其他國家或地區,對賭博以及開設賭場等行爲的法律認定卻多有不衕:
根據中國香港《賭博條例》,除了受規管的賽馬、足球博彩及六合彩,又或其他穫髮牌批準的博彩場所(例如麻將館)、以及穫法例豁免的賭博活動之外,其他賭博活動均屬非法;
根據美國《非法互聯網賭博執行法》,通過金融機構與網絡賭博網站進行交易,繫違法行爲。但各州立法參差不齊,對網絡博彩法與非法、相關活動執法方曏的認定均有區別;
根據中國澳門博彩監察協調局聲明,澳門特區政府從未有批出網上博彩準照,故任何以澳門特區政府名義推廣網上博彩活動的信息、投註網站均爲虛假及非法,公衆在此類網站進行的投註是不受澳門特區法律所保障的。
可見網絡博彩併非在所有國家或地區非法,持牌運營併接受當地政府部門監管的網絡賭博平颱所採用的賭資,併不能被視爲風險資金。因此,Bitrace針對網絡賭博活動的調查對象僅局限於無牌經營博彩業務的賭博平颱,接受經營許可範圍以外用戶投註的賭博平颱代理,以及爲前兩者提供資金結算服務的支付機構。
對於傳統的網賭平颱及其代理,這類機構通過自建中心化的加密貨幣充值、交易、提現繫統或接入加密貨幣支付工具的形式幫助賭客進行資金結算,由於加密貨幣的匿名特性,政府部門將難以對這類行爲進行監管或執法。對於新型的哈希網賭平颱,這類平颱架設在區塊鏈網絡中,賭客投註、賭註結算、資金沉澱與歸集均通過智能合約進行管理,傳播範圍更廣、髮展變化更快。
2.2 網絡黑灰産
網絡黑灰産是指在網絡空間中,以牟取不正當利益爲目的,通過各種技術手段實施或幫助實施違法犯罪活動過程中形成的規模化、鏈條化的産業,本質上是爲了穫取違法利益或者破壞網絡生態秩序。目前,加密貨幣以及部分加密行業基礎設施已經極大融入了整個網絡黑灰産生態。
傳統的網絡黑灰産通過在非法活動中引入加密貨幣,或者使用加密工具替代原有的技術手段的方式,提高某些非法活動的欺騙性與破壞性,減少上下游活動被政府部門感知或製裁的機會。新型的區塊鏈黑灰産則直接以加密貨幣投資者或機構的加密資産爲目標,是加密行業原生的違法犯罪活動。
本報告僅對其中部分典型利用加密貨幣的黑灰産活動進行披露。
2.3 洗錢
洗錢(Money Laundering)是一種將非法所得合法化的行爲,主要指將違法所得及其産生的收益,通過各種手段掩飾、隱瞞其來源和性質,使其在形式上合法化。其行爲包括但不限於提供資金賬戶、協助轉換財産形式、協助轉移資金或彙往境外。而加密貨幣——尤其是穩定幣——因其低廉的轉賬成本,去地理化的特質以及一定的抗審查特性,在相當早的時間便已經被洗錢活動所利用,這也是導緻加密貨幣被詬病的主要原因之一。
傳統的洗錢活動往往會利用加密貨幣場外交易市場,進行從法幣到加密貨幣,或從加密貨幣到法幣的兌換,其中洗錢場景不衕,形式也多樣化,但不論如何這類行爲的本質都是爲了阻斷執法人員對資金鏈路的調查,包括傳統金融機構賬戶或加密機構賬戶。
與傳統洗錢活動不衕的是,新型的加密貨幣洗錢活動的清洗標的爲加密貨幣本身,包括錢包、跨鏈橋、去中心化交易平颱等在內的加密行業基礎設施都會被非法利用。
三、加密貨幣在網賭活動中的利用
3.1 傳統網賭平颱加密貨幣利用形式
近年來,網絡賭博平颱及其代理接受加密貨幣作爲籌碼的現象已經十分普遍,其中:
部分網賭平颱已經自主建立了完整的加密貨幣充值、交易、提現的中心化管理繫統。賭客需自行於第三方平颱購買加密貨幣(主要是USDT),併轉賬至網賭平颱爲每個賭客分配的充值地址,實現籌碼的穫取,賭客髮起提幣申請後,平颱則從統一的熱錢包地址曏目標地址轉賬,其業務實現邏輯與主流加密貨幣交易平颱一緻。
部分網賭平颱通過接入加密支付工具爲賭客提供出入金渠道。賭客不直接曏網賭平颱充值USDT,而是曏支付平颱賬戶轉賬,提款需求也由後者滿足。網賭平颱與支付平颱之間定期進行資金結算,因而能夠通過資金關聯挖掘其業務細節。
以某博彩平颱利用USDT接受投註爲例,該平颱通過接入某加密貨幣支付平颱的形式幫助賭客進行USDT出入金,Bitrace對其中一個熱錢包地址進行了資金審計。在2022年1月27日到2022年2月25日期間,該地址總共處理來自賭客超過133.2萬USDT的充值與提款訂單請求。
在資金分析實踐中髮現,一般業務規模較大的網賭平颱會自建加密貨幣充提功能闆塊,占大多數的中小型網賭平颱則會選擇接入加密貨幣支付平颱。根據DeTrust地址資金風險審計平颱監測,在2021年9月到2023年9月間,共有超過464.5億USDT直接流入傳統網賭平颱,或者爲網賭平颱提供出入金服務的加密支付平颱。
其中2021年網賭資金規模變化對應當年加密貨幣二級市場的髮展狀況,2022年11月-2023年1月的規模增長,則可能與當年世界杯期間大量的博彩活動有關。
對轉入網賭平颱的地址USDT來源進行分析可知,有超過 74.3 億USDT直接來自中心化交易平颱,占總流入規模的16%。這批資金要麽是賭客直接從交易所地址曏網賭平颱充值,要麽是賭場及其代理通過交易平颱進行資金周轉,考慮到其他地址的二層地址資金衕樣存在來自中心化交易平颱的情況,這一數字顯然是低估的。這錶明中心化加密貨幣交易平颱正在被利用於服務網絡博彩産業。
3.2 新型哈希網賭加密貨幣利用形式
區塊鏈上的每一筆交易都會對應一串獨特的哈希值,該值隨機産生且無法僞造,因此有網賭平颱基於此開髮了哈希競猜類玩法,規則便是通過猜測交易哈希最後一位或幾位數字是奇數還是偶數、是大或小,決定競猜行爲的勝負,併畫分賭註。
以典型的「猜尾號」玩法爲例,賭客需曏投註地址髮起轉賬,若該筆轉賬的哈希值尾號爲特定數字或字母,則賭客勝,平颱在扣除部分點數後返還雙倍籌碼;若尾號不符,則賭客負,籌碼不予返還。
因此這類網賭地址在鏈上,往往錶現爲與多個地址之間高頻率、固定金額的資金往來,進而産生巨量的資金交互規模。
最後,這類哈希網賭玩法因節奏明快、玩法公平,曾一度火爆,出現大量變體玩法與平颱,但由於玩法過於透明,且資金極易遭受黑客攻擊而被盜,目前這類玩法的規模與市場占有率均有極大降低。
四、加密貨幣在黑灰産活動中的利用
4.1 傳統黑灰産加密貨幣利用形式
4.1.1 投資理財類詐騙
投資理財類詐騙是一種網絡投資詐騙,騙子往往通過社交媒體等渠道聲稱自己是“行業領域的專家”,通過對受害人的了解、關心、拉攏誘騙受害人進入虛假平颱(一般是APP)進行投資,騙取投資款。在這些涉詐APP中,投資者通過投資、博彩、買賣貨物、買賣證券等等,在收到小額甚至大額穫利之後開始大額投入,但此時基本所有資金就會有去無回。當受害人髮現APP的資金無法“取現”,聯繫不上所謂的“專家”,才幡然醒悟自己已經上當受騙。
這類傳統網絡投資詐騙也在近幾年開始利用加密貨幣或加密工具行騙,以情感欺詐、黑灰USDT跑分詐騙爲例。
4.1.1.1 情感欺詐
情感欺詐往往與投資欺詐結合在一起,但主要受害群體非加密用戶。欺詐者通過塑造完美網絡人設,通過網戀的形式,誘導網戀對象購買USDT參與加密貨幣投資,例如換彙套利、衍生品交易、流動性挖礦等等。
受害人的“投資”會在短時間內賺取大量收益,併被鼓勵加大投資。但實際上受害人的USDT併沒有真正參與所謂的套利活動,而是在轉入平颱後即被轉出清洗,衕時受害人的提現請求會被平颱以各種理由拒絶,直到最後受害人髮現自己上當受騙。
4.1.1.2 黑灰USDT跑分詐騙
黑灰USDT跑分詐騙是僞裝成洗錢跑分的欺詐手段,平颱普遍自稱是用於涉案USDT資金清洗的接單平颱,但實際上這是投資騙局,一旦參與者投入較大金額的USDT,平颱就會以各種理由拒絶返還。
以某個仍在運營的「黑U跑分平颱」爲例,允許用戶以1:1.1~1.45的「彙率」使用「幹凈U」兌換「黑U」,用戶收取黑U後再轉移到其他平颱出售,其中超額部分即爲用戶「跑分」的收益。
截至目前,該欺詐團伙已經通過衕樣的手法非法穫取了超過87萬USDT的資金。有784個獨立地址曏欺詐地址轉移了USDT,但隻有437個地址收到了回款,接近一半的參與者併沒有「套利」成功。
4.1.2 虛假APP
虛假App是指不法分子通過各種手段將正版App重新包裝,以假充真的那些App,結合了加密貨幣的虛假APP則主要有假錢包與假電報APP。
4.1.2.1 假錢包 APP
假錢包APP盜幣是一種通過誘導他人下載安裝帶有後門的假錢包APP,以竊取錢包助記詞進而非法轉移他人資産的盜幣手法。盜幣者在搜索引擎、非官方手機應用商店、社交平颱等渠道投放假錢包APP下載鏈接,受害人下載安裝併創建或衕步錢包地址後,助記詞便會髮送給盜幣者。一旦受害人轉入較大金額的加密資産,便會被盜幣者批量或自動轉走歸集。
目前該手法已經高度産業化,假錢包開髮團隊與運營推廣團隊業務完全分割,前者僅參與産品開髮與維護,通過在全球各地招募代理的形式出售産品解決方案;後者則隻需要推廣假錢包APP即可,甚至無需了解加密技術原理。
多簽盜幣是假錢包盜幣的一個變種手法。多重簽名技術就是多個用戶衕時對一個數字資産進行簽名,可以簡單地理解爲,一個錢包賬戶衕時有多個人擁有簽名權和支付權。 如果一個地址隻能由一個私鑰簽名和支付,錶現形式就是1/1,而多重簽名的錶現形式是m/n,也就是説一共n個私鑰可以給一個賬戶簽名,而當m個地址簽名時,就可以支付一筆交易。
傳統假錢包盜幣本質上是與受害人共享錢包控製權限,盜幣者無法阻止受害人轉出資産,但基於多重簽名技術原理,盜幣者在受害人安裝假錢包APP後,會立即將受害人地址加入多簽,此時錢包擁有者本人將無法轉移錢包中的資産,隻能轉入無法轉出,而盜幣者則將能夠在任何時間將資産轉走,這往往取決於受害人什麽時候轉入大額資金。
4.1.2.2假電報 APP
在加密貨幣相關黑灰産中虛假APP的經典應用是對電報APP的惡意後門植入,後者是一款加密貨幣投資者常用的社交軟件,許多場外交易活動依靠該軟件進行。欺詐者會通過社會工程學攻擊方法,誘導目標對象「下載」或「更新」假電報APP,一旦目標用戶通過聊天框粘貼區塊鏈地址,惡意軟件便會識別替換髮送惡意地址,導緻交易對手方將資金髮送到惡意地址,而被攻擊者不自知。
4.1.3 黑灰産第三方支付擔保
第三方支付擔保是指買賣雙方在網上達成商品交易意曏或協議後,買方將貨款先支付給第三方,由第三方暫時保管,待買方收到貨併檢查無誤後通知第三方中介,由第三方將貨款支付給賣方,完成整個交易。它實際上是以第三方爲信用中介,在買方確認收到商品前,替買賣雙方暫時監管貨款的一種網上支付服務方式。在此交易過程中,第三方中介會收取一定比例的服務費。
當前某些黑灰産第三方支付擔保平颱,除去傳統的法幣渠道外,也已經開始普遍利用泰達幣(主要是trc20-USDT)作爲擔保資金,爲包括非法換彙、非法商品交易、違規代收代付、涉案加密貨幣交易等在內的交易提供支付擔保服務。盡管交易類型不衕,但交易流程是一緻的。
通常買方與賣方中的一人會在廣告區曏支付擔保平颱付費投放廣告,要麽投放在網站特定的區域,要麽投放在官方電報群,廣告中則會註明交易類型、交易要求、支付方式等交易細節。
買賣雙方協商完畢後,需要聯繫支付擔保平颱客服建立「專群」,專群是僅用於交易溝通的非公開電報群組,成員包括買賣雙方與專群機器人,原則上不允許一對多交易,也不允許拉入無關人員。
買方需要買家將貨款轉入擔保平颱官方賬戶併提供憑證,這個過程被稱爲「上押」,由交易員確認收款後通知賣家髮貨;接著賣家接到交易員髮貨通知後開始髮貨,併提供髮貨憑證;然後買家確認收貨後通知交易員放款,收到買家收貨確認或放款通知後交易員扣除傭金曏賣家解押放款,併提供放款憑證;最後賣家確認收款,交易完成。
平颱併不會在每筆交易中爲用戶分配獨立地址用於資金隔離,而是在一段時間內所有的押金都打曏衕一個上押地址,導緻這個地址直接接收大量涉及網賭、黑灰産、洗錢等風險資金,衕時也因其龐大的資金規模,一定程度上也混淆了資金方曏,爲調查人員的追蹤活動製造了阻礙。
對已知的爲非法交易活動做擔保的平颱地址進行資金審計髮現,其擔保資金規模在過去12個月裡處於不斷增長趨勢中,包括超過170.7億波場網絡USDT,以及超過6.7億以太坊網絡USDT,這錶明這類平颱所擔保的非法交易大部分髮生在波場網絡中。
4.2 新型黑灰産加密貨幣利用形式
4.2.1 授權盜幣
授權盜幣是一種通過竊取他人地址USDT管理權限進而非法轉移他人資産的盜幣手法。波場、以太坊等公鏈,允許用戶將錢包中某種資産的操作權限讓渡給其他地址,後者將因此穫取該地址部分或全部資産的管理權限,能夠隨時調用合約將地址中的授權資産轉移。
這種惡意盜幣授權請求通常僞裝成支付鏈接、空投申領入口、交互合約等蜜罐,一旦受害人被誘導交互,地址中的某項資産——通常USDT——就會被無限製授權給盜幣地址,併在隨後的某個時間被通過調用「TransferFrom」方法全部轉走。
盜幣者往往是通過欺騙目標受害人點擊釣魚鏈接併運行欺詐智能合約實現的,此時受害者錢包助記詞併沒有泄露,因此及時取消授權,仍可以輓回一定損失。
4.2.2 零轉賬釣魚
零轉賬釣魚是一種針對不規範使用錢包應用的加密貨幣投資者的騙局。通過大量曏不特定區塊鏈地址髮送金額爲0的USDT交易,能夠在無許可的情況下,增加目標地址的交互記録。如果不特定對象在曏某地址髮起轉賬的時候,試圖從智能設備上已有的轉賬記録中覆製地址,就有可能曏錯誤的地址髮送資金,進而造成損失。
Bitrace針對大量波場網絡中已經被標記爲釣魚地址的欺詐地址進行了資金分析,定義這批地址轉賬金額低於1USDT的交易爲一次釣魚活動,收取超過10USDT的交易爲欺詐所得。
我們的研究錶明,零轉賬釣魚活動的活躍度與受損規模一直在擴大中,截至目前,波場網絡中已經有超過4.51億USDT資金因遭受釣魚攻擊而損失。
4.2.3 假平颱幣搬磚套利詐騙
假平颱幣搬磚套利詐騙的常見手法是,欺詐者謊稱開髮了某款「智能套利合約」,參與者隻需要曏合約中投入一定數量的加密貨幣,即可超額穫取另一種知名的加密貨幣(例如幣安幣、火幣積分、OK幣等),穫取「套利所得」後,參與者在第三方交易市場變現即可賺取收益。
早期小額測試,的確會返還真實超額加密貨幣,而一旦受害人投入大資金,便會返還虛假代幣,而後者不具備任何市場價值。這個欺詐手法古老而有效,目前仍有大量變體活躍在加密貨幣投資者社區中,不僅對普通投資者造成了資金損失,還給被冒充者的品牌資産帶來負麵損害。
4.2.4 波場靚號地址交易
和傳統黑灰産活動一樣,加密黑灰産不法分子在進行違法犯罪活動前,也需要創建或購買虛擬身份,在傳統黑灰産活動中是銀行賬戶與身份信息,在加密黑灰産活動中則是區塊鏈地址。而通常,這類地址都是從專業的靚號地址服務商處定製穫取的。
在網絡賭博活動中,哈希網賭平颱運營者往往都是波場靚號地址的使用者,他們會曏專業的靚號服務商批量採購靚號,併將這些靚號用作業務地址,以實現包括資金收付、存儲、流轉或接受投註、資金結算等在內的功能。
在黑灰産活動中,靚號定製則直接催生了零轉賬釣魚更爲精細化運營的變種——衕尾號釣魚。相比於普通的針對不特定區塊鏈對象的廣泛零USDT轉賬,衕尾號釣魚往往是定製化的,欺詐者會根據目標對象的常用對手方地址頭尾號進行高仿,併轉賬更多金額。
這類釣魚活動成本併不低廉,根據某個波場靚號服務商的報價單可以看到,八位數定製的地址需要12小時才能交付,售價100USDT,衕樣的八位數靚號則隻需要10USDT。
而除波場靚號服務商以外,某些電報APP群聊機器人服務商、網站源碼服務商、批量轉賬工具服務商、SEO快排服務商等群體,也存在類似的曏非法活動參與者提供幫助併從中穫利的情況,本文不再過多披露。
五、加密貨幣在洗錢活動中的利用
5.1 傳統洗錢加密貨幣利用形式
加密貨幣在傳統洗錢活動中的利用,目的是將高風險用戶的支付轉移到低風險用戶的賬戶中進行支付,從而規避支付機構的風險管控措施。這通常錶現爲在加密貨幣場外交易市場將涉案法幣兌換爲加密資金,或者將涉案加密資金兌換爲法幣的形式,以阻斷資金鏈路,逃避追蹤打擊。
典型的贜錢清洗場景,是欺詐分子在騙取受害人現金後,迅速將資金拆分成小額連續轉賬給多張銀行卡,隨後組織“卡農”們取現,接著將現金通過汽車或飛機等個人或公共交通工具運送到洗錢團伙所在地。在過去這筆現金常被用於購買大宗商品,或者兌換成外彙流出國境,而現在則更多用於線下購買USDT,這批USDT隨後要麽會在加密貨幣場外交易市場變現爲現金,要麽會直接流出境外或其他洗錢團伙做進一步處理。在這一過程中,跑U平颱、支付擔保平颱、中心化交易平颱的場外交易市場都扮演了重要的角色。
5.1.1 跑U平颱
跑U平颱是一種新型洗錢方式,其基本模式是將數字貨幣交易與傳統“跑分”平颱相結合。首先平颱組織者以大量購買USDT轉移到境外交易所出售賺取差價爲誘餌,招募USDT搬磚者,隨後要求搬磚者實名註冊數字貨幣交易所賬號,併綁定個人名下的銀行卡。搬磚者需要購買一定數量的USDT作爲交易保證金質押至“跑分”平颱,平颱組織者會根據搬磚者繳納USDT保證金的數量,在平颱爲搬磚者開設賬號標記可售的USDT數量和單價,衕時備註搬磚者的收款銀行賬戶等信息。當境外電信詐騙等犯罪團伙需要接收贜款時,會先通過“跑分”平颱曏搬磚者下單購買USDT,再指揮被害人曏搬磚者預留在平颱上的銀行賬戶轉賬,當被害人將被騙的錢款轉入搬磚者賬戶後,搬磚者即在平颱確認交易,這樣就完成了詐騙贜款的第一次轉移。此後,搬磚者使用收到的贜款繼續從交易所購買USDT併提幣至跑分平颱循環往覆,在這個過程中賺取USDT差價與平颱傭金。
這種活動被洗錢團伙稱爲「卡接回U」,能夠幫助上游不法分子與洗錢團伙完全規避贜款以及交易平颱實名認證的風險。
5.1.2 跑分車隊
而除了招募跑分人員進行贜錢清洗外,洗錢人員還常用更直接的“跑分車隊”模式洗錢。形式與跑U形式基本一緻,但不衕之處在於,其加密貨幣場外交易髮生在線下,且通過現金進行交割。首先車隊頭目會招募大量真實人員註冊實名銀行卡賬戶,當上游不法分子(所謂“料主”)非法穫取贜款(所謂“料”)後,會通過非法第三方支付擔保平颱聯繫車隊頭目接單;接著大量資金會拆分轉移至車隊控製下的多張銀行卡,如果這筆錢是一手黑錢,那麽被稱爲“一道料”,如果是二手、三手黑錢,則相應被稱爲“二道料”、“三道料”,後者資金風險較低,傭金也更低;然後車隊頭目會與司機駕車接對應的卡主前往當地ATM機取現,多次取現完畢後,車隊頭目繼續使用個人或公共的交通工具將現金運往指定的地點進行線下交易;最後在第三方支付擔保平颱介入情況下,車隊頭目將現金轉交給目標對象賺取傭金,對方將USDT打給擔保地址結束洗錢流程。
這類洗錢活動通過多層銀行賬戶轉賬、ATM取現、加密貨幣線下交易的形式,不僅多次中斷資金追蹤鏈路,還規避了銀行資金監管。
Bitrace針對波場網絡中部分被標註爲有洗錢風險且資金規模超過100萬USDT的地址進行了資金審計,審計周期爲2021年9月至2023年3月,審計內容爲USDT轉入。
數據顯示,2021年9月至2023年3月,波場網絡中有洗錢風險的地址總共流入超過642.5億USDT,且資金規模併沒有受到加密貨幣二級市場熊市的影響,不難看出其業務的參與方併非真正意義上的投資者。
5.2 新型洗錢加密貨幣利用形式
對於加密行業原生的網絡犯罪分子而言,基於加密基礎設施的匿名兌換以及鏈上混淆是最常用的資金清洗方法。
5.2.1 鏈上資金混淆
鏈上資金拆分與混幣平颱則是最普遍的資金混淆渠道。
資金拆分是指不法分子通過覆雜多層的交易,將虛擬貨幣通過不衕錢包地址、賬戶逐級混合提轉,最後彙至境外衕伙的錢包地址,達到割裂資金輸入和輸出的聯繫、模糊虛擬貨幣交易鏈路的目的。而在加密貨幣洗錢活動中,這一手法衕樣有效,是黑灰産從業者處理資金的常用手法。
以某投資理財類詐騙案件的地址畫布爲例,該案件歸集受害人的加密資金後,通過若幹個資金通道對非法所得進行拆分處理,併最終歸集到少數交易所賬戶地址中完成資金變現。
混幣則是將用戶的加密貨幣與其他用戶的貨幣進行混合,然後再將混合後的貨幣轉移到目標地址,以掩蓋原始的貨幣流動路徑,使得追蹤加密貨幣的來源和去曏變得睏難。因此,已經有多家加密貨幣混幣平颱遭受了各國政府的製裁,其中就包括最知名的Tornado.cash,該平颱於2022年8月8日受到美國財政部海外資産控製辦公室(OFAC)製裁,部分與其相關的以太坊地址被列入美國特別製定國民名單,而一旦被加到這個名單,個人或者相關實體的財産和財産權益都將麵臨被凍結的風險。
但盡管如此,由於Tornado.Cash的混幣合約是公開無需可的,其他用戶仍然可以通過直接調用合約的形式進行混幣活動。以髮生在2023年11月1日的OnyxProtocol被攻擊事件爲例,該攻擊者便是通過混幣平颱穫取地址手續費,併進一步清洗資金。
5.2.2 鏈上匿名兌換
無KYC交易平颱與跨鏈橋是最首要的兩個鏈上匿名兌換渠道。
目前爲止,除了少數已經被製裁的實體地址外,這類加密基礎設施仍未對風險加密資金或高危加密地址做出更多風險控製,導緻攻擊事件髮生後,非法資金往往能夠第一時間通過這些渠道進行兌換。
以髮生在2023年6月25日的Nirvana Finance被攻擊事件爲例,攻擊者在非法穫取受害機構的加密資金後,第一時間將部分資金轉曏了THORWallet DEX,後者是一個無需許可且具備高度私密性的去中心化交易平颱,允許用戶在不公開交易信息的情況下直接在各條區塊鏈之間進行跨鏈兌換,因此在過去髮生的多起加密安全事故中,都能看到THORWallet DEX在資金清洗環節中出現。
六、風險加密資金對web3企業地址造成污染
6.1 中心化交易平颱地址污染
中心化交易平颱是最主要的風險USDT資金清洗場所之一,Bitrace在本次報告中對126個常見中心化交易平颱熱錢包地址進行了審計,對網賭、黑灰産、洗錢活動關聯加密資金在2021年1月至今期間的流入情況作出了充分考察。
2021年1月到2023年9月間,在波場網絡中共有超過415.2億風險USDT流入部分中心化交易平颱,其中包括225.79億網賭關聯USDT,105.70億黑灰産關聯USDT,以及83.73億洗錢關聯USDT。
2021年1月到2023年9月間,在以太坊網絡中共有超過33.15億風險USDT流入部分中心化交易平颱,其中包括11億網賭關聯USDT,18.42億黑灰産關聯USDT,以及3.72億洗錢關聯USDT。
從風險資金總量與風險資金占比不難看出,波場網絡中USDT被非法利用的規模相比以太坊網絡更大,且網賭類別的風險資金比例較高,這與實踐中觀察到的情況一緻——賭場代理以及普通賭客更傾曏於使用波場USDT,以節省手續費。
6.2 場外交易市場地址污染
除中心化交易平颱場外交易闆塊之外,某些支付平颱、加密貨幣投資者群組,承兌商社群都會建立一定規模的場外交易市場,這類場所缺乏完善的KYC與KYT機製,無法對對手方資金風險作出判斷,也難以在事後對風險資金作出限製,往往會流入較高比例的風險USDT。
Bitrace對具備典型場外交易市場特徵且資金規模超過100萬USDT的地址進行了資金審計,數據顯示在過去兩年中,這批地址已經流入至少34.39億與風險活動關聯的USDT,流入量隨時間遞增且基本不受二級市場寒冬影響。
6.3 加密支付平颱地址污染
作爲去中心化金融領域的基礎設施之一,加密貨幣支付工具一方麵爲區塊鏈機構提供資金結算服務,另一方麵也爲普通用戶提供一定的加密貨幣承兌服務,也因此麵臨衕樣的風險加密資金污染。
Bitrace對主要服務東南亞與東亞客戶的主要加密支付平颱地址進行了資金審計,數據顯示,在2021年1月到2023年9月之間,共有超過405.1億風險USDT流入這些地址,其中波場網絡334.6億USDT,以太坊網絡70.4億USDT,在幾乎所有時間裡,波場網絡中的風險USDT對加密支付平颱的污染情況都要比以太坊網絡更嚴重。
七、結論與建議
網絡賭博、黑灰産、洗錢等活動的參與者們正在大量利用包括USDT在內的加密貨幣,以增強資金匿名程度,規避監管與執法部門的追蹤。其直接結果是,運營合規加密業務的Web3企業與普通加密貨幣投資者因缺乏資金風險識別能力,而被動收取這類與風險活動關聯的加密資金,進而使資金地址遭受污染,甚至被卷入案件。
行業機構應加強資金風控意識,積極與當地執法部門建立合作,併接入安全廠商提供的威脅情報服務,以感知、識別、預防、阻斷風險加密資金,保護自身業務地址與用戶地址免遭污染。
7.1 加強資金風控意識
行業機構在基礎的了解您的用戶(KYC)活動——依法對客戶真實身份、交易執行、資金來源等情況進行核查之外,也要履行客戶異常交易監控和管理職責(KYT),及時報告違規交易和風險情況。對存在可疑風險資金活動的用戶進行分層管理,採取限製部分或全部平颱功能的管理措施。
7.2 積極了解當地法律法規併與執法單位協作
平颱需建立或委托專業團隊對來自全球的執法請求進行合規對接及審查,協助識別、打擊、預防涉幣犯罪活動,降低造成的經濟損失,併避免平颱業務地址與用戶賬戶遭受資金污染。
7.3 建立威脅情報網絡與信息共享機製
行業機構需要重視開源網絡情報,對現時髮生的加密安全事件相關攻擊地址及資金保持關註,以確保能夠第一時間對流入平颱的涉案資金進行反製;衕時也需要接入外部威脅情報源,與加密數據、安全公司合作,爲用戶建立DID畫像,對與風險地址産生關聯以及缺乏良好交互歷史的地址採取適當的風控限製。併在此基礎上,建立及維護全行業共享的開放式威脅情報數據庫,保證行業整體的安全與信任。
聲明:
- 本文轉載自[panews],著作權歸屬原作者[Bitrace],如對轉載有異議,請聯繫Gate Learn團隊,團隊會根據相關流程盡速處理。
- 免責聲明:本文所錶達的觀點和意見僅代錶作者個人觀點,不構成任何投資建議。
- 文章其他語言版本由Gate Learn團隊翻譯, 在未提及Gate.io的情況下不得覆製、傳播或抄襲經翻譯文章。
Artículos relacionados
如何質押 ETH?