背景
2024 年1 月16 日,有部落客在中文社群平台爆料稱,緬甸同盟軍疑似向滯留緬甸的電詐產業從業者強行收取高額加密貨幣,並展示了聲稱被用於收款的加密貨幣地址,目前該爆料已經在網絡中形成了較為廣泛的傳播。
本文由Bitrace & MistTrack 共同針對已揭露地址進行加密資金分析,包括:地址資金收付法則、地址資金來源風險、關聯地址活動等,旨在對相關分析內容進行揭露。
地址行為分析
(https://mp.weixin.qq.com/s/WDWM22vw68-NsVr0_1jHfA)
上圖為爆料文章中的信息,基於此,研究人員對已披露的收款地址TKFsCN 進行了USDT 匯率分析,嘗試通過某些特定金額的USDT 收款反推出背後的結算單位。
收款地址的歷史交易記錄顯示,該地址所接收的USDT 單筆交易存在大量非整十、整百數額,例如71417、42857 等數字,這常見於交易是以非美元作為結算單位的情形。而在嘗試用各主流法幣兌USDT 匯率進行計算之後,研究人員發現這些交易疑似是以1 USD : 7-7.2 RMB 的匯率在進行結算,並且單次資金轉入數額在人民幣數額50-60 萬、 100 萬整、150 萬整的幾個區間出現聚類現象。
在過濾掉金額100 USDT 及以下的交易後,經統計,在TKFsCN 總計307 筆USDT 轉入金額中,有193 筆為人民幣兌美元匯率的金額轉入,交易數量佔總數的62.86%,交易金額佔總數的45.29%。
這顯示該地址所收取超過一半的交易都是以人民幣為單位進行結算的,且換算金額為50 萬的轉入佔據主要地位。支付USDT 的一方應為中國人。
資金來源分析
原文中提到,「佔領老街以後也是到處抓(筆者註:電詐產業從業者)中國人,願不願意付錢自保,付錢的可以送走,不付錢的就送中國」,如果屬實,TKFsCN 的交易應該存在大量新增交易對手方,且資金部分來自灰黑產、洗錢、詐欺等相關地址。
數據顯示,在2023 年10 月22 日至2024 年1 月2 日之間,TKFsCN 共接收來自182 個直接交易對手方的USDT 轉賬,其中117 個地址出現了小金額+ 大金額的連續兩筆轉賬特徵。這是典型的轉帳測試行為,付款方為確認地址正確而不選擇一次性轉移完畢,這表明至少62.29% 的交易對手方都可能是初次轉賬,並非TKFsCN 的固定交易夥伴。
而對TKFsCN 更深入的地址風險資金審計則表明,向該地址轉帳的交易對手方與黑灰產、網賭、欺詐、洗錢、風險支付等活動存在密切關聯。在182 個直接轉入方中,高達42% 為風險活動關聯地址,向TKFsCN 轉入了價值33,523,148 美元的USDT。
值得注意的是,在這批風險活動關聯地址中,調查人員還找到了7 個明確與已知刑事案件相關的地址,包括兩起洗錢案、一起詐欺案、一起網賭案、一起電話詐騙案,且嫌疑人的地理位置均在緬北或柬埔寨。
這表明向TKFsCN 發起支付的對手方地址,不僅涉及大量風險加密活動,還與東南亞地區的不法分子密切相關。
另外奇怪的一點是,調查人員還在轉出地址找到了一個關聯到電信詐騙案的洗錢地址,說明部分轉出地址的資金流向上溯源分析同樣存在一定的疑點。該疑點將在下文「關聯地址分析」部分做非敏感拓展。
關聯地址分析
根據上述TKFsCN 地址做聚類分析發現,該地址與近一百個地址疑似存在主體聚類關係,其中部分地址不僅出現了與TKFsCN 類似的資金收付活動,還透露出更多收款方的信息,以收款方TKKj8G 為例:
- TKKj8G 直接收取了6 筆來自TKFsCN 總計超過460 萬USDT 的資金,是收款方後續資金鏈路中的歸集地址之一;
- TKKj8G 是核心的收款地址之一,在金額超過100 USDT 的60 筆收款中,高達50 筆收款存在與TKFsCN 雷同的小額測試行為;
- TKKj8G 在2023 年8 月18 日就開始活躍,遠早於其他地址,且在此期間與匯旺擔保存在交易行為- 從匯旺保證地址接收16 萬USDT,行為上分析為匯旺擔保的商家從匯旺擔保處取回押金。
這顯示原文所說的「財經部地址」可能不存在,包括TKFsCN 與TKKj8G 在內的地址集應隸屬於某個位於緬北或柬埔寨的數位貨幣承兌商,出於某種原因代為收取這些款項。
例外交易
綜上所述,調查人員們不難勾勒出一個典型的支付方畫像——在東南亞地區從事非法工作,出於某個原因不得不向某個代收地址支付價值50 萬元人民幣的USDT。因為是首次交易,為防止地址錯誤而在大量轉入前進行了小額測試。而用於支付的加密貨幣,或來自其原有的非法所得,或購買自其他非法實體。
但並非所有支付者都是如此,調查人員同樣發現了一些不符合或不完全符合這類特徵的地址,以TYU5acSGRwsYJfBhdpQc3broSpfsjs8QFF 為例,該地址是前文所述的7 個直接涉案地址之一,其他6 個地址分別向TKFsCN 轉移了價值50 萬、50 萬、100 萬、100 萬、270 (150 + 120) 萬、55 萬元人民幣的加密貨幣,但TYU5ac 的轉帳金額按照同等匯率換算為136 萬元人民幣,儘管是整數,但這一特別的金額仍然迥異於其他地址。
調查人員無從得知其中原因,考慮到該地址存在小額測試行為,一種合理的猜測是,該地址背後的交易代表了3 筆價值50 萬人民幣的合併轉賬,並獲取了10% 的折扣。
總結
本文對已公開地址從地址資金收付規律、地址資金來源風險、關聯地址活動進行了深度分析,並對相關分析內容進行了揭露。主要結論如下:
1. 此分析目標地址所收取超過一半的交易都是以人民幣為單位進行結算的,且換算金額為50, 100, 150 萬的轉入佔據主要地位;
2. 向該分析目標地址轉帳的交易對手地址,與黑灰產、網賭、詐欺、洗錢、風險支付等活動有密切關聯;
3. 目標位址及其關聯位址在密集收取這類資金前,就已經存在風險業務活動痕跡,對該分析位址進行聚類分析後發現,該聚類疑似匯旺擔保的某個商家;
4. 向該分析目標地址發起支付的對手方地址,與緬北或柬埔寨地區的不法分子密切相關。
綜上所述,《同盟軍虛擬貨幣帳戶被曝光,勒索北國數億元的虛擬幣》一文中爆料的部分內容與鏈上事實相符合,的確存在大量位於緬北或柬埔寨的中國電詐產業從業者集體向某個地址集轉移整數人民幣金額的USDT 資產,但該組地址可能並非所謂的「財經部地址」,而是當地的數位貨幣承兌商地址,與原文所述不同。