泰達幣(Tether USD,以下簡稱USDT)是由泰達公司發行,在區塊鏈網路中透過智慧合約進行約束,幣值錨定美元的中心化穩定代幣。 USDT 除了具備其他加密貨幣的匿名轉移、無許可使用特性外,還賦予了發行方巨大的調度權限,使得開發者能夠定向增發、銷毀某個地址的USDT 代幣,或者限制特定地址對USDT 的操作權限,也即業界所稱的「泰達凍結」。
這類中心化的凍結活動通常由全球各國政府部門的執法請求,或臨時性的特大加密安全事故所觸發,旨在對已知的利用USDT 進行的違法犯罪活動進行阻止,並對受損資產進行攔截,防止損害擴大化。而隨著USDT 在現實金融體系的採用度提升,涉幣違法犯罪活動事件頻發,導致泰達凍結活動愈發普遍,對大量正常展業但不慎收取風險加密資金的web3 企業造成了較大業務負面影響,甚至帶來法律風險。
本文將以柬埔寨匯旺集團被泰達凍結2,962 萬USDT 事件為例,對此進行分析說明。
匯旺業務規模概覽
匯旺集團是一家位於柬埔寨的大型金融集團,旗下擁有包括加密貨幣錢包、支付、交易擔保、保險、加密貨幣交易所等在內的業務部門。其最核心的支付與擔保業務大量採用了USDT,根據Bitrace 旗下DeTrust 鏈上風險資金監測管理平台的地址標記數據,HuionePay、HuioneGuarantee 的官方及用戶地址數超18 萬個,是當地規模最大的加密企業,影響力輻射至整個東南亞乃至東亞地區。
根據Bitrace 監測,2022 年6 月至2024 年6 月之間,所有已知HuionePay 與Huione Guarantee 業務地址的月度資金規模一直維持上升趨勢,從2022 年6 月最低10.3 億USDT,到2024 年4 月最高83.9 億USDT,兩年間總資金規模達1,023.97 億USDT。
在此期間,Huione 相關業務地址也一直保持著較大數量的準備金。在2022 年6 月到2024 年6 月之間,所有已知HuionePay 與HuioneGuarantee 業務地址的日均餘額達到3568 萬USDT。
因東南亞係不法分子利用加密貨幣進行非法活動的高發生區域,Huione 的業務地址在一定程度上遭到波及。以HuioneGuarantee 正在使用的核心業務地址TL8TBp 為例,根據Bitrace 監測,2023 年7 月1 日至2024 年6 月30日期間,該地址總共流入21.58 億USDT,其中網賭高風險資金0.35 億,佔比1.62%,黑灰產交易高風險資金3.39 億,佔15.71%,洗錢高風險資金0.54 億,佔2.50%,詐欺高風險資金0.02 億,佔0.09%。
匯旺遭凍結地址資金分析
2024 年7 月13 日,Tronscan 顯示波場網路位址TNVaKW 遭到泰達公司限制,其中高達2,962 萬USDT 被凍結無法轉移,Bitrace 第一時間介入調查。
初步調查結果顯示, TNVaKW 創建僅五天后,總資金交易規模便超過10億USDT,收取了來自大量被標記為HuionePayUser 的波場地址的存款,同時也收取來自其他HuionePay 官方地址及HuioneGuarantee 官方地址的資金。因此Bitrace 確認該地址系Huione 官方業務地址,並判斷凍結原因為收取較大金額被盜加密資金。
隔日,知名鏈上偵探ZachXBT 在社群平台進一步表示,早前發生的日本交易所DMM 被盜事件中,相關被盜資產已經透過跨鏈兌換的形式進入了HuionePay。
根據ZachXBT 公開的地址,Bitrace 挖掘到了更多清洗活動有關地址並對整個資金鏈路進行了複盤。其中——
<>165BTC經由AvalancheBridge跨鏈至Avalanche
<>182BTC經ThorChainBridge跨鏈至Ethereum
<>263BTC經由ThresholdBirdge跨鏈至Ethereum
所取得tBTC、BTC.b等資產在avalanche、ethereum等鏈兌換為價值相當於3182 萬美金的USDT、USDC、DAI等資產後,經跨鏈兌換至TRON 網絡,最終其中約1400萬進入TNVaKW。
值得注意的是DMM 只是資金流入Huione 地址的公開安全事件中的一個,我們在調查其他事件時發現Poloniex 交易所被盜事件中的部分資金也與Huione 有關。 2024 年6 月5 日至7 日之間,至少有105 萬涉案USDT 流入HuionePay 使用者位址,並接連流入包括TLmktr、TR5F41、TNVaKW 在內的多個HuionePay 官方業務地址。
目前並無直接證據表明TNVaKW 的被凍結與這兩起安全事件的資金有關,但考慮到Huione 其他業務地址並沒有遭到凍結,這至少表明這次凍結行動並非針對Huione 集團本身。
匯旺支付遭擠兌分析
如前文所述,所有已知HuionePay 與HuioneGuarantee 業務地址的日均餘額為3568 萬USDT,而在凍結事件發生前三個月,該數值則一直維持在4000萬USDT 左右,被凍結的2963 萬USDT 相當於其準備金的75%,存在一定的提款壓力。
對最新的HuionePay業務地址TQuFSv展開分析——
該地址在TNVaKW 遭凍結2.5 小時後啟用,開始處理HuionePay 用戶的充值、提現需求,並接收來自TNVaKW 的11.48 萬USDC 遺產,截至2024/7/16 9:34:39 其交易規模已達7.33 億USDT 。
以小時為時間單位對TQuFSv 的收入、支出狀況進行統計,並未發現明顯的資金異常現象,且該地址目前仍存有1,288 萬USDT 餘額。
對TQuFSv 的交易對手方進行分析,資金轉入量前十的對手方總共轉入1.47 億USDT,其中有兩個地址被標記為HuioneGuarantee 地址,分別向TQuFSv 轉入0.73 億USDT 與0.15 億USDT,佔總轉入的23.64%;資金轉出量前十的對手方總共從TQuFSv 獲取0.80億USDT,其中有三個地址被標記為HuioneGuarantee 地址,獲取資金量分別為0.14 億USDT、0.08 億USDT、0.06 億,獲取資金量分別為0.14 億USDT、0.08 億USDT、0.06 億,佔總轉出的7.76%。
顯示HuionePay 在凍結事件發生後,經歷了較大規模的資金流出,但官方及時從其他業務地址補充了準備金,能夠滿足用戶的提幣請求。
APP 
