作者:Bitrace

一、調查背景

區塊鏈基於分散式共識和經濟激勵等手段,在開放式、無許可的網路空間中,為價值的確立、儲存、轉移提供了新的解決方案。然而隨著加密生態在過去若干年的快速發展,加密貨幣也越來越多地被用於各類風險活動,為網絡賭博、網絡黑灰產、洗錢等活動提供了更為隱蔽與便捷的價值轉移方式。

同時,加密貨幣作為加密產業重要的基礎設施之一,大量web3 企業也利用USDT 等穩定幣作為主要的資金收付方式,但這類企業普遍缺乏健全的AML、KYT、KYC 等風控機制,導致曾被用於風險活動的USDT 不受限制地流入業務地址,對企業本身及其客戶的地址資金造成污染。

本報告旨在對加密貨幣在風險加密活動中的利用手法與利用規模進行披露,並透過鏈上資料追蹤風險活動關聯資金的流轉,以管中窺豹闡明風險加密資金對web3 企業的威脅。

二、調查對象

網路違法犯罪活動造成的社會危害性日益嚴重,這種危害既包括對個人財產與社會公共安全的直接侵害,也包括與違法犯罪活動關聯的上下游產業對個人或企業主體間接帶來的法律風險。近年來,各國都加強了對網路違法犯罪活動的打擊力度,在刑事立法和網路生態研究方面取得了一些進展。但是,網路犯罪仍然是一個難以完全解決的問題,尤其是區塊鏈等新型網路空間的出現,傳統的網路賭博、網路黑灰產、洗錢等紛紛在風險活動中利用加密貨幣或加密基礎設施,進而為相關法律認定與執法監管造成了阻礙。

2.1網路賭博

賭博是指對於一個事件與不確定的結果,下注金錢或具有物質價值的東西,其主要目的是為贏取更多的金錢或物質價值,同時參與者透過資金財物博弈獲得精神愉悅。網路賭博則是指利用網路進行的賭博行為,其類型繁多,基本上現實生活中主要的賭博方式在網路中都可以進行。

在中國,以營利為目的,在電腦網路上建立賭博網站,或為賭博網站擔任代理,接受投注的,屬於刑法第三百零三條規定的「開設賭場」。中華人民共和國公民在我國領域外周邊地區聚眾賭博、開設賭場,以吸引中華人民共和國公民為主要客源,構成賭博罪的,同樣可以依刑法規定追究刑事責任。

但在其他國家或地區,對賭博以及開設賭場等行為的法律認定卻多有不同:

根據中國香港《賭博條例》,除了受規管的賽馬、足球博彩及六合彩,又或其他獲發牌批准的博彩場所(例如麻將館)、以及獲法例豁免的賭博活動之外,其他賭博活動均屬非法;

根據美國《非法網路賭博執行法》,透過金融機構與網路賭博網站進行交易,繫違法行為。但各州立法參差不齊,網路博彩法與非法、相關活動執法方向的認定有差異;

根據中國澳門博彩監察協調局聲明,澳門特區政府從未有批出網上博彩準照,故任何以澳門特區政府名義推廣網上博彩活動的資訊、投注網站均為虛假及非法,公眾在此類網站進行的投注是不受澳門特區法律所保障的。

可見網路博彩並非在所有國家或地區非法,持牌營運並接受地方政府部門監管的網路賭博平台所採用的賭資,並不能被視為風險資金。因此,Bitrace 針對網路賭博活動的調查對象僅限於無牌經營博弈業務的賭博平台,接受經營許可範圍以外用戶投注的賭博平台代理,以及為前兩者提供資金結算服務的支付機構。

對於傳統的網賭平台及其代理,這類機構透過自建中心化的加密貨幣充值、交易、提現系統或接入加密貨幣支付工具的形式幫助賭客進行資金結算,由於加密貨幣的匿名特性,政府部門將難以對這類行為進行監管或執法。對於全新的哈希網賭平台,這類平台架設在區塊鏈網路中,賭客投注、賭注結算、資金沉澱與歸集均透過智慧合約管理,傳播範圍更廣、發展變化更快。

2.2網路黑灰產

網路黑灰產是指在網路空間中,以牟取不正當利益為目的,透過各種技術手段實施或幫助實施違法犯罪活動過程中形成的規模化、鏈條化的產業,本質上是為了獲取違法利益或破壞網路生態秩序。目前,加密貨幣以及部分加密產業基礎設施已經極大地融入了整個網路黑灰產生態。

傳統的網路黑灰產透過在非法活動中引入加密貨幣,或使用加密工具取代原有的技術手段的方式,提高某些非法活動的欺騙性與破壞性,減少上下游活動被政府部門感知或製裁的機會。新型的區塊鏈黑灰產則直接以加密貨幣投資者或機構的加密資產為目標,是加密產業原生的違法犯罪活動。

本報告僅針對其中部分典型利用加密貨幣的黑灰產活動進行揭露。

2.3洗錢

洗錢(MoneyLaundering)是一種將非法所得合法化的行為,主要指將違法所得及其產生的收益,透過各種手段掩飾、隱瞞其來源和性質,使其在形式上合法化。其行為包括但不限於提供資金帳戶、協助轉換財產形式、協助轉移資金或匯往境外。而加密貨幣——尤其是穩定幣——因其低廉的轉帳成本,去地理化的特質以及一定的抗審查特性,在相當早的時間便已經被洗錢活動所利用,這也是導致加密貨幣被詬病的主要原因之一。

傳統的洗錢活動往往會利用加密貨幣場外交易市場,進行從法幣到加密貨幣,或從加密貨幣到法幣的兌換,其中洗錢場景不同,形式也多樣化,但不論如何這類行為的本質都是為了阻斷執法人員對資金連結的調查,包括傳統金融機構帳戶或加密機構帳戶。

與傳統洗錢活動不同的是,新型的加密貨幣洗錢活動的清洗標的為加密貨幣本身,包括錢包、跨鏈橋、去中心化交易平台等在內的加密行業基礎設施都會被非法利用。

三、加密貨幣在網賭活動中的利用

3.1傳統網賭平台加密貨幣利用形式

近年來,網路賭博平台及其代理商接受加密貨幣作為籌碼的現像已十分普遍,其中:

部分網賭平台已經自主建立了完整的加密貨幣儲值、交易、提現的中心化管理系統。賭客需自行於第三方平台購買加密貨幣(主要是USDT),並轉帳至網賭平台為每個賭客分配的充值地址,實現籌碼的獲取,賭客發起提幣申請後,平台則從統一的熱錢包位址向目標位址轉賬,其業務實現邏輯與主流加密貨幣交易平台一致。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

部分網賭平台透過接取加密支付工具為賭客提供出入金管道。賭客不直接向網賭平台充值USDT,而是向支付平台帳戶轉賬,提款需求也由後者滿足。網賭平台與支付平台之間定期進行資金結算,因而能夠透過資金關聯挖掘其業務細節。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

以某博彩平台利用USDT 接受投注為例,該平台透過接入某加密貨幣支付平台的形式幫助賭客進行USDT 出入金,Bitrace 對其中一個熱錢包地址進行了資金審計。在2022 年1 月27 日到2022 年2 月25 日期間,該地址總共處理來自賭客超過133.2 萬USDT 的充值與提款訂單請求。

在資金分析實務中發現,一般業務規模較大的網賭平台會自建加密貨幣充提功能板塊,佔大多數的中小型網賭平台則會選擇接入加密貨幣支付平台。根據DeTrust 地址資金風險審計平台監測,在2021 年9 月到2023 年9 月間,共有超過464.5 億USDT 直接流入傳統網賭平台,或為網賭平台提供出入金服務的加密支付平台。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

其中2021 年網賭資金規模變化對應當年加密貨幣二級市場的發展狀況,2022 年11 月-2023 年1 月的規模增長,則可能與當年世界盃期間大量的博彩活動有關。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

對轉入網賭平台的地址USDT 來源進行分析可知,有超過74.3 億USDT 直接來自中心化交易平台,佔總流入規模的16%。這批資金要不是賭客直接從交易所地址向網賭平台充值,就是賭場及其代理商透過交易平台進行資金周轉,考慮到其他地址的二層地址資金同樣存在來自中心化交易平台的情況,這一數字顯然是低估的。這顯示中心化加密貨幣交易平台正被利用於服務網路博彩產業。

3.2新型哈希網賭加密貨幣利用形式

區塊鏈上的每一筆交易都會對應一串獨特的哈希值,該值隨機產生且無法偽造,因此有網賭平台基於此開發了哈希競猜類玩法,規則便是通過猜測交易哈希最後一位或幾位數字是奇數還是偶數、是大或小,決定競猜行為的勝負,並劃分賭注。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

以典型的「猜尾號」玩法為例,賭客需向投注地址發起轉賬,若該筆轉賬的哈希值尾號為特定數字或字母,則賭客勝,平台在扣除部分點數後返還雙倍籌碼;若尾號不符,則賭客負,籌碼不退還。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

因此這類網賭地址在鏈上,往往表現為與多個地址之間高頻率、固定金額的資金往來,進而產生巨量的資金交互規模。

最後,這類哈希網賭玩法因節奏明快、玩法公平,曾一度火爆,出現大量變體玩法與平台,但由於玩法過於透明,且資金極易遭受黑客攻擊而被盜,目前這類玩法的規模與市場佔有率均有大幅降低。

四、加密貨幣在黑灰產活動的利用

4.1傳統黑灰產加密貨幣利用形式

4.1.1投資理財類詐騙

投資理財類詐騙是一種網路投資詐騙,騙子往往透過社群媒體等管道聲稱自己是「產業領域的專家」,透過對受害者的了解、關心、拉攏誘騙受害者進入虛假平台(一般是APP)進行投資,騙取投資款。在這些涉詐APP 中,投資者透過投資、博彩、買賣貨物、買賣證券等等,在收到小額甚至大額獲利之後開始大額投入,但此時基本所有資金就會有去無回。當受害者發現APP 的資金無法「取現」,聯繫不上所謂的「專家」,才幡然醒悟自己已經上當受騙。

這類傳統網路投資詐騙也近幾年開始利用加密貨幣或加密工具行騙,以情緒詐欺、黑灰USDT 跑分詐騙為例。

4.1.1.1情感欺詐

情感詐欺往往與投資詐欺結合在一起,但主要受害群體非加密用戶。詐欺者透過塑造完美網路人設,透過網路交友的形式,誘導網戀對象購買USDT 參與加密貨幣投資,例如換匯套利、衍生性商品交易、流動性挖礦等等。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

受害人的「投資」會在短時間內賺取大量收益,並被鼓勵增加投資。但實際上受害人的USDT 並沒有真正參與所謂的套利活動,而是在轉入平台後即被轉出清洗,同時受害人的提現請求會被平台以各種理由拒絕,直到最後受害人發現自己上當受騙。

4.1.1.2黑灰USDT 跑分詐騙

黑灰USDT 跑分詐騙是偽裝成洗錢跑分的欺詐手段,平台普遍自稱是用於涉案USDT 資金清洗的接單平台,但實際上這是投資騙局,一旦參與者投入較大金額的USDT,平台就會以各種理由拒絕返還。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

以某個仍在運作的「黑U 跑分平台」為例,讓用戶以1:1.1~1.45 的「匯率」使用「乾淨U」兌換「黑U」,用戶收取黑U 後再轉移到其他平台出售,其中超額部分即為用戶「跑分」的收益。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

截至目前,該詐欺集團已經透過同樣的手法非法取得了超過87 萬USDT 的資金。有784 個獨立地址向詐欺地址轉移了USDT,但只有437 個地址收到了回款,接近一半的參與者並沒有「套利」成功。

4.1.2虛假APP

假App 是指不法分子透過各種手段將正版App 重新包裝,以假充真的那些App,結合了加密貨幣的虛假APP 則主要有假錢包與假電報APP。

4.1.2.1假錢包APP

假錢包APP 盜幣是一種透過誘導他人下載安裝有後門的假錢包APP,以竊取錢包助記詞進而非法轉移他人資產的盜幣手法。盜幣者在搜尋引擎、非官方手機應用商店、社交平台等管道投放假錢包APP 下載鏈接,受害者下載安裝並創建或同步錢包地址後,助記詞便會發送給盜幣者。一旦受害者轉入較大金額的加密資產,便會被盜幣者批量或自動轉走歸集。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

目前此手法已高度產業化,假錢包開發團隊與營運推廣團隊業務完全分割,前者僅參與產品開發與維護,透過在全球各地招募代理商的形式出售產品解決方案;後者則只需要推廣假錢包APP即可,甚至無需了解加密技術原理。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

多簽盜幣是假錢包盜幣的變種手法。多重簽名技術就是多個使用者同時對一個數位資產進行簽名,可以簡單理解為,一個錢包帳戶同時有多個人擁有簽名權和支付權。如果一個地址只能由一個私鑰簽署和支付,表現形式就是1/1,而多重簽名的表現形式是m/n,也就是說一共n 個私鑰可以給一個帳戶簽名,而當m 個地址簽名時,就可以支付一筆交易。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

傳統假錢包盜幣本質上是與受害者共享錢包控制權限,盜幣者無法阻止受害者轉出資產,但基於多重簽名技術原理,盜幣者在受害者安裝假錢包APP 後,會立即將受害人地址加入多簽,此時錢包擁有者本人將無法轉移錢包中的資產,只能轉入無法轉出,而盜幣者則將能夠在任何時間將資產轉走,這往往取決於受害人甚麼時候轉入大額資金。

4.1.2.2假電報APP

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

在加密貨幣相關黑灰產中虛假APP 的經典應用是對電報APP 的惡意後門植入,後者是一款加密貨幣投資者常用的社交軟體,許多場外交易活動依靠該軟體進行。詐欺者會透過社會工程攻擊方法,誘導目標物件「下載」或「更新」假電報APP,一旦目標用戶透過聊天框貼上區塊鏈位址,惡意軟體便會識別替換發送惡意位址,導致交易對手方將資金發送到惡意地址,而被攻擊者不自知。

4.1.3黑灰產第三方支付擔保

第三方支付擔保是指買賣雙方在網路上達成商品交易意願或協議後,買方將貨款先支付給第三方,由第三方暫時保管,待買方收到貨並檢查無誤後通知第三方中介,由第三方將貨款支付給賣方,完成整個交易。它實際上是以第三方為信用中介,在買方確認收到商品前,替買賣雙方暫時監管貨款的一種網上支付服務方式。在此交易過程中,第三方中介會收取一定比例的服務費。

目前某些黑灰產第三方支付擔保平台,除去傳統的法幣管道外,也開始普遍利用泰達幣(主要是trc20-USDT)作為擔保資金,為包括非法換匯、非法商品交易、違規代收代付、涉案加密貨幣交易等在內的交易提供支付擔保服務。儘管交易類型不同,但交易流程是一致的。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

通常買方與賣方中的一人會在廣告區向支付擔保平台付費投放廣告,要么投放在網站特定的區域,要么投放在官方電報群,廣告中則會註明交易類型、交易要求、支付方式等交易細節。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

買賣雙方協商完畢後,需要聯絡支付擔保平台客服建立「專群」,專群是僅用於交易溝通的非公開電報群組,成員包括買賣雙方與專群機器人,原則上不允許一對多交易,也不允許拉入無關人員。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

買方需要買家將貨款轉入擔保平台官方帳戶並提供憑證,這個過程被稱為「上押」,由交易員確認收款後通知賣家發貨;接著賣家接到交易員發貨通知後開始發貨,並提供出貨憑證;然後買家確認收貨後通知交易員放款,收到買家收貨確認或放款通知後交易員扣除佣金向賣家解押放款,並提供放款憑證;最後賣家確認收款,交易完成。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

平台並不會在每筆交易中為用戶分配獨立地址用於資金隔離,而是在一段時間內所有的押金都打向同一個上押地址,導致這個地址直接接收大量涉及網賭、黑灰產、洗錢等風險資金,同時也因其龐大的資金規模,一定程度上也混淆了資金方向,為調查人員的追蹤活動製造了阻礙。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

對已知的為非法交易活動做擔保的平台地址進行資金審計發現,其擔保資金規模在過去12 個月裡處於不斷增長趨勢中,包括超過170.7 億波場網絡USDT,以及超過6.7 億以太坊網絡USDT,這顯示這類平台所擔保的非法交易大部分發生在波場網路中。

4.2新型黑灰產加密貨幣利用形式

4.2.1授權盜幣

授權盜幣是一種透過竊取他人地址USDT 管理權限進而非法轉移他人資產的盜幣手法。波場、以太坊等公鏈,允許用戶將錢包中某種資產的操作權限讓渡給其他地址,後者將因此獲取該地址部分或全部資產的管理權限,能夠隨時調用合約將地址中的授權資產轉移。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

這種惡意盜幣授權請求通常偽裝成支付連結、空投申領入口、交互合約等蜜罐,一旦受害者被誘導交互,地址中的某項資產——通常USDT——就會被無限制授權給盜幣地址,並在隨後的某個時間被透過呼叫“TransferFrom”方法全部轉走。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

盜幣者往往是透過欺騙目標受害者點擊釣魚連結並運行詐欺智能合約實現的,此時受害者錢包助記詞並沒有洩露,因此及時取消授權,仍可以挽回一定損失。

4.2.2零轉帳釣魚

零轉帳釣魚是一種針對不規範使用錢包應用的加密貨幣投資者的騙局。透過大量向不特定區塊鏈位址發送金額為0 的USDT 交易,能夠在無許可的情況下,增加目標位址的互動記錄。如果不特定物件在向某個地址發起轉帳的時候,試圖從智慧型裝置上已有的轉帳記錄複製地址,就有可能向錯誤的地址發送資金,進而造成損失。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

Bitrace 針對大量波場網路中已經被標記為釣魚位址的詐騙位址進行了資金分析,定義這批位址轉帳金額低於1USDT 的交易為一次釣魚活動,收取超過10USDT 的交易為詐騙所得。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

我們的研究表明,零轉帳釣魚活動的活躍度與受損規模一直在擴大中,截至目前,波場網路中已經有超過4.51 億USDT 資金因遭受釣魚攻擊而損失。

4.2.3假平台幣搬磚套利詐騙

假平台幣搬磚套利詐騙的常見手法是,詐欺者謊稱開發了某款「智慧套利合約」,參與者只需要向合約中投入一定數量的加密貨幣,即可超額獲取另一種知名的加密貨幣(例如幣安幣、火幣積分、OK 幣等),取得「套利所得」後,參與者在第三方交易市場變現即可賺取收益。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

早期小額測試,的確會返還真實超額加密貨幣,而一旦受害人投入大資金,便會返還虛假代幣,而後者不具備任何市場價值。這個詐欺手法古老而有效,目前仍有大量變體活躍在加密貨幣投資者社群中,不僅對普通投資者造成了資金損失,還給被冒充者的品牌資產帶來負面損害。

4.2.4波場靚號地址交易

和傳統黑灰產活動一樣,加密黑灰產不法分子在進行違法犯罪活動前,也需要創建或購買虛擬身份,在傳統黑灰產活動中是銀行帳戶與身份信息,在加密黑灰產活動中則是區塊鏈位址。而通常,這類地址都是從專業的靚號地址服務商客製化取得的。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

在網路賭博活動中,雜湊網賭平台業者往往都是波場靚號位址的使用者,他們會向專業的靚號服務商批量採購靚號,並將這些靚號用作業務地址,以實現包括資金收付、儲存、流動或接受投注、資金結算等在內的功能。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

在黑灰產活動中,靚號定制則直接催生了零轉帳釣魚更為精細化運營的變種——同尾號釣魚。相較於普通的針對不特定區塊鏈對象的廣泛零USDT 轉賬,同尾號釣魚往往是定制化的,欺詐者會根據目標對象的常用對手方地址頭號進行高仿,並轉賬更多金額。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

這類釣魚活動成本不低廉,根據某個波場靚號服務商的報價單可以看到,八位數定制的地址需要12 小時才能交付,售價100USDT,同樣的八位數靚號則只需要10USDT。

而除波場靚號服務商以外,某些電報APP 群聊機器人服務商、網站源碼服務商、批量轉帳工具服務商、SEO 快排服務商等群體,也存在類似的向非法活動參與者提供協助並從中獲利的情況,本文不再過多揭露。

五、加密貨幣在洗錢活動中的利用

5.1傳統洗錢加密貨幣利用形式

加密貨幣在傳統洗錢活動中的利用,目的是將高風險用戶的支付轉移到低風險用戶的帳戶中進行支付,從而規避支付機構的風險管控措施。這通常表現為在加密貨幣場外交易市場將涉案法幣兌換為加密資金,或將涉案加密資金兌換為法幣的形式,以阻斷資金鏈路,逃避追蹤打擊。

典型的贓物清洗場景,是欺詐分子在騙取受害人現金後,迅速將資金拆分成小額連續轉賬給多張銀行卡,隨後組織“卡農”們取現,接著將現金通過汽車或飛機等個人或公共交通工具運送到洗錢集團所在地。在過去這筆現金常被用於購買大宗商品,或者兌換成外匯流出國境,而現在則更多用於線下購買USDT,這批USDT 隨後要么會在加密貨幣場外交易市場變現為現金,要么會直接流出境外或其他洗錢集團做進一步處理。在這過程中,跑U 平台、支付擔保平台、中心化交易平台的場外交易市場都扮演了重要的角色。

5.1.1跑U 平台

跑U 平台是一種新型洗錢方式,其基本模式是將數位貨幣交易與傳統「跑分」平台結合。首先平台組織者以大量購買USDT 轉移到境外交易所出售賺取差價為誘餌,招募USDT 搬磚者,隨後要求搬磚者實名註冊數位貨幣交易所帳號,並綁定個人名下的銀行卡。搬磚者需要購買一定數量的USDT 作為交易保證金質押至「跑分」平台,平台組織者會根據搬磚者繳納USDT 保證金的數量,在平台為搬磚者開設帳號標記可售的USDT 數量和單價,同時備註搬磚者的收款銀行帳戶等資訊。當境外電信詐騙等犯罪集團需要接收贓物時,會先透過「跑分」平台向搬磚者下單購買USDT,再指揮被害人向搬磚者預留在平台上的銀行帳戶轉賬,當受害者將被騙的錢款轉入搬磚者帳戶後,搬磚者即在平台確認交易,這樣就完成了詐騙贓物的第一次轉移。此後,搬磚者使用收到的贓物繼續從交易所購買USDT 並提幣至跑分平台循環往復,在這個過程中賺取USDT 差價與平台佣金。

這種活動被洗錢團夥稱為「卡接回U」,能夠幫助上游不法分子與洗錢團夥完全規避贓物款以及交易平台實名認證的風險。

5.1.2跑分車隊

而除了招募跑分人員進行贓物清洗外,洗錢人員也常用更直接的「跑分車隊」模式洗錢。形式與跑U 形式基本一致,但不同之處在於,其加密貨幣場外交易發生在線下,且透過現金進行交割。首先車隊頭目會招募大量真實人員註冊實名銀行卡帳戶,當上游不法分子(所謂「料主」)非法取得贓物(所謂「料」)後,會透過非法第三方支付擔保平台聯繫車隊頭目接單;接著大量資金會拆分轉移至車隊控制下的多張銀行卡,如果這筆錢是一手黑錢,那麼被稱為“一道料”,如果是二手、三手黑錢,則相應被稱為“二道料」、「三道料」,後者資金風險較低,佣金也更低;然後車隊頭目會與司機駕車接對應的卡主前往當地ATM 機取現,多次取現完畢後,車隊頭目繼續使用個人或公共的交通工具將現金運送到指定的地點進行線下交易;最後在第三方支付擔保平台介入情況下,車隊頭目將現金轉交給目標對象賺取佣金,對方將USDT 打給擔保地址結束洗錢流程。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

這類洗錢活動透過多層銀行帳戶轉帳、ATM 取現、加密貨幣線下交易的形式,不僅多次中斷資金追蹤鏈路,也規避了銀行資金監管。

Bitrace 針對波場網路中部分被標註為有洗錢風險且資金規模超過100 萬USDT 的地址進行了資金審計,審計週期為2021 年9 月至2023 年3 月,審計內容為USDT 轉入。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

數據顯示,2021 年9 月至2023 年3 月,波場網路中有洗錢風險的位址總共流入超過642.5 億USDT,且資金規模並沒有受到加密貨幣二級市場熊市的影響,不難看出其業務的參與方並非真正意義上的投資者。

5.2新型洗錢加密貨幣利用形式

對於加密產業原生的網路犯罪分子而言,基於加密基礎設施的匿名兌換以及鏈上混淆是最常用的資金清洗方法。

5.2.1鏈上資金混淆

鏈上資金拆分與混幣平台則是最普遍的資金混淆管道。

資金拆分是指不法分子透過複雜多層的交易,將虛擬貨幣透過不同錢包地址、帳戶逐級混合提轉,最後匯至境外同伙的錢包地址,達到割裂資金輸入和輸出的聯繫、模糊虛擬貨幣交易鏈路的目的。而在加密貨幣洗錢活動中,這一手法同樣有效,是黑灰產從業人員處理資金的常用手法。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

以某投資理財類詐騙案件的地址畫布為例,該案件歸集受害人的加密資金後,透過若干個資金通道對非法所得進行拆分處理,並最終歸集到少數交易所帳戶地址中完成資金變現。

混幣則是將用戶的加密貨幣與其他用戶的貨幣進行混合,然後再將混合後的貨幣轉移到目標地址,以掩蓋原始的貨幣流動路徑,使得追蹤加密貨幣的來源和去向變得困難。因此,已經有多家加密貨幣混幣平台遭受了各國政府的製裁,其中就包括最知名的Tornado.cash,該平台於2022 年8 月8 日受到美國財政部海外資產控制辦公室(OFAC)制裁,部分與其相關的以太坊地址被列入美國特別制定國民名單,而一旦被加到這個名單,個人或相關實體的財產和財產權益都將面臨被凍結的風險。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

但儘管如此,由於Tornado.Cash 的混幣合約是公開無需可的,其他用戶仍然可以透過直接調用合約的形式進行混幣活動。以發生在2023 年11 月1 日的OnyxProtocol 被攻擊事件為例,攻擊者便是透過混幣平台取得地址手續費,並進一步清洗資金。

5.2.2鏈上匿名兌換

無KYC 交易平台與跨鏈橋是最首要的兩個鏈上匿名兌換管道。

目前為止,除了少數已經被制裁的實體位址外,這類加密基礎設施仍未對風險加密資金或高風險加密位址做出更多風險控制,導致攻擊事件發生後,非法資金往往能夠第一時間通過這些通路進行兌換。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

以發生在2023 年6 月25 日的NirvanaFinance 被攻擊事件為例,攻擊者在非法取得受害機構的加密資金後,第一時間將部分資金轉向了THORWalletDEX,後者是一個無需許可且具備高度私密性的去中心化交易平台,讓用戶在不公開交易資訊的情況下直接在各條區塊鏈之間進行跨鏈兌換,因此在過去發生的多起加密安全事故中,都能看到THORWalletDEX 在資金清洗環節中出現。

六、風險加密資金對web3 企業地址造成污染

6.1中心化交易平台地址污染

中心化交易平台是最主要的風險USDT 資金清洗場所之一,Bitrace 在本次報告中對126 個常見中心化交易平台熱錢包地址進行了審計,對網賭、黑灰產、洗錢活動關聯加密資金在2021 年1 月至今期間的流入情況作出了充分考察。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

2021 年1 月到2023 年9 月間,在波場網路中共有超過415.2 億風險USDT 流入部分中心化交易平台,其中包括225.79 億網路賭博關聯USDT,105.70 億黑灰產關聯USDT,以及83.73 億洗錢關聯USDT,105.70 億黑灰產關聯USDT,以及83.73 億洗錢關聯USDT,105.70 億黑灰產關聯USDT,以及83.73 億洗錢關聯USDT,105.70 億黑灰產關聯USDT,以及83.73 億洗錢關聯USDT。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

2021 年1 月到2023 年9 月間,在以太坊網路中共有超過33.15 億風險USDT 流入部分中心化交易平台,其中包括11 億網賭關聯USDT,18.42 億黑灰產關聯USDT,以及3.72 億洗錢關聯USDT。

從風險資金總量與風險資金佔比不難看出,波場網路中USDT 被非法利用的規模相比以太坊網路更大,且網賭類別的風險資金比例較高,這與實踐中觀察到的情況一致——賭場代理以及普通賭客更傾向於使用波場USDT,以節省手續費。

6.2場外交易市場地址污染

除中心化交易平台場外交易板塊之外,某些支付平台、加密貨幣投資者群組,承兌商社群都會建立一定規模的場外交易市場,這類場所缺乏完善的KYC 與KYT 機制,無法對對手方資金風險作出判斷,也難以在事後對風險資金作出限制,往往會流入較高比例的風險USDT。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

Bitrace 對具備典型場外交易市場特徵且資金規模超過100 萬USDT 的地址進行了資金審計,數據顯示在過去兩年中,這批地址已經流入至少34.39 億與風險活動關聯的USDT,流入量隨時間遞增且基本不受二級市場寒冬影響。

6.3加密支付平台地址污染

作為去中心化金融領域的基礎設施之一,加密貨幣支付工具一方面為區塊鏈機構提供資金結算服務,另一方面也為普通用戶提供一定的加密貨幣承兌服務,也因此面臨同樣的風險加密資金污染。

萬字起底Web3黑色產業鏈:技術手法、利用規模及安全威脅

Bitrace 對主要服務東南亞與東亞客戶的主要加密支付平台地址進行了資金審計,數據顯示,在2021 年1 月到2023 年9 月之間,共有超過405.1 億風險USDT 流入這些地址,其中波場網絡334.6億USDT,以太坊網路70.4 億USDT,在幾乎所有時間裡,波場網路中的風險USDT 對加密支付平台的污染情況都要比以太坊網路更嚴重。

七、結論與建議

網路賭博、黑灰產、洗錢等活動的參與者們正在大量利用包括USDT 在內的加密貨幣,以增強資金匿名程度,規避監管與執法部門的追蹤。直接結果是,營運合規加密業務的Web3 企業與普通加密貨幣投資者因缺乏資金風險識別能力,而被動收取這類與風險活動關聯的加密資金,進而使資金地址遭受污染,甚至被捲入案件。

產業機構應加強資金風控意識,積極與當地執法部門建立合作,並接取安全廠商提供的威脅情報服務,以感知、辨識、預防、阻斷風險加密資金,保護自身業務地址與使用者地址免遭污染。

7.1加強資金風控意識

產業機構在基礎的了解您的用戶(KYC)活動-依法對客戶真實身分、交易執行、資金來源等情況進行核查之外,也要履行客戶異常交易監控和管理職責(KYT),及時報告違規交易和風險情況。對有可疑風險資金活動的使用者進行分層管理,採取限制部分或全部平台功能的管理措施。

7.2積極了解當地法律法規並與執法單位協作

平台需建立或委託專業團隊對來自全球的執法請求進行合規對接及審查,協助識別、打擊、預防涉幣犯罪活動,降低造成的經濟損失,並避免平台業務地址與用戶帳戶遭受資金污染。

7.3建立威脅情報網路與資訊共享機制

產業機構需要重視開源網路情報,對現時發生的加密安全事件相關攻擊位址及資金保持關注,以確保能夠第一時間對流入平台的涉案資金進行反制;同時也需要接入外部威脅情報源,與加密資料、安全公司合作,為使用者建立DID 畫像,對與風險地址產生關聯以及缺乏良好互動歷史的地址採取適當的風控限制。並在此基礎上,建立並維護全產業共享的開放式威脅情報資料庫,確保產業整體的安全與信任。