一、调查背景
二、调查对象
2.1 网络赌博
2.2 网络黑灰产
2.3 洗钱
三、加密货币在网赌活动中的利用
3.1 传统网赌平台加密货币利用形式
部分网赌平台通过接入加密支付工具为赌客提供出入金渠道。赌客不直接向网赌平台充值USDT,而是向支付平台账户转账,提款需求也由后者满足。网赌平台与支付平台之间定期进行资金结算,因而能够通过资金关联挖掘其业务细节。
以某博彩平台利用USDT接受投注为例,该平台通过接入某加密货币支付平台的形式帮助赌客进行USDT出入金,Bitrace对其中一个热钱包地址进行了资金审计。在2022年1月27日到2022年2月25日期间,该地址总共处理来自赌客超过133.2万USDT的充值与提款订单请求。
在资金分析实践中发现,一般业务规模较大的网赌平台会自建加密货币充提功能板块,占大多数的中小型网赌平台则会选择接入加密货币支付平台。根据DeTrust地址资金风险审计平台监测,在2021年9月到2023年9月间,共有超过464.5亿USDT直接流入传统网赌平台,或者为网赌平台提供出入金服务的加密支付平台。
其中2021年网赌资金规模变化对应当年加密货币二级市场的发展状况,2022年11月-2023年1月的规模增长,则可能与当年世界杯期间大量的博彩活动有关。
对转入网赌平台的地址USDT来源进行分析可知,有超过74.3亿USDT直接来自中心化交易平台,占总流入规模的16%。这批资金要么是赌客直接从交易所地址向网赌平台充值,要么是赌场及其代理通过交易平台进行资金周转,考虑到其他地址的二层地址资金同样存在来自中心化交易平台的情况,这一数字显然是低估的。这表明中心化加密货币交易平台正在被利用于服务网络博彩产业。
3.2 新型哈希网赌加密货币利用形式
区块链上的每一笔交易都会对应一串独特的哈希值,该值随机产生且无法伪造,因此有网赌平台基于此开发了哈希竞猜类玩法,规则便是通过猜测交易哈希最后一位或几位数字是奇数还是偶数、是大或小,决定竞猜行为的胜负,并划分赌注。
以典型的「猜尾号」玩法为例,赌客需向投注地址发起转账,若该笔转账的哈希值尾号为特定数字或字母,则赌客胜,平台在扣除部分点数后返还双倍筹码;若尾号不符,则赌客负,筹码不予返还。
因此这类网赌地址在链上,往往表现为与多个地址之间高频率、固定金额的资金往来,进而产生巨量的资金交互规模。
最后,这类哈希网赌玩法因节奏明快、玩法公平,曾一度火爆,出现大量变体玩法与平台,但由于玩法过于透明,且资金极易遭受黑客攻击而被盗,目前这类玩法的规模与市场占有率均有极大降低。
四、加密货币在黑灰产活动中的利用
4.1 传统黑灰产加密货币利用形式
4.1.1 投资理财类诈骗
投资理财类诈骗是一种网络投资诈骗,骗子往往通过社交媒体等渠道声称自己是“行业领域的专家”,通过对受害人的了解、关心、拉拢诱骗受害人进入虚假平台(一般是APP)进行投资,骗取投资款。在这些涉诈APP中,投资者通过投资、博彩、买卖货物、买卖证券等等,在收到小额甚至大额获利之后开始大额投入,但此时基本所有资金就会有去无回。当受害人发现APP的资金无法“取现”,联系不上所谓的“专家”,才幡然醒悟自己已经上当受骗。
这类传统网络投资诈骗也在近几年开始利用加密货币或加密工具行骗,以情感欺诈、黑灰USDT跑分诈骗为例。
4.1.1.1 情感欺诈
情感欺诈往往与投资欺诈结合在一起,但主要受害群体非加密用户。欺诈者通过塑造完美网络人设,通过网恋的形式,诱导网恋对象购买USDT参与加密货币投资,例如换汇套利、衍生品交易、流动性挖矿等等。
受害人的“投资”会在短时间内赚取大量收益,并被鼓励加大投资。但实际上受害人的USDT并没有真正参与所谓的套利活动,而是在转入平台后即被转出清洗,同时受害人的提现请求会被平台以各种理由拒绝,直到最后受害人发现自己上当受骗。
4.1.1.2 黑灰USDT跑分诈骗
黑灰USDT跑分诈骗是伪装成洗钱跑分的欺诈手段,平台普遍自称是用于涉案USDT资金清洗的接单平台,但实际上这是投资骗局,一旦参与者投入较大金额的USDT,平台就会以各种理由拒绝返还。
以某个仍在运营的「黑U跑分平台」为例,允许用户以1:1.1~1.45的「汇率」使用「干净U」兑换「黑U」,用户收取黑U后再转移到其他平台出售,其中超额部分即为用户「跑分」的收益。
截至目前,该欺诈团伙已经通过同样的手法非法获取了超过87万USDT的资金。有784个独立地址向欺诈地址转移了USDT,但只有437个地址收到了回款,接近一半的参与者并没有「套利」成功。
4.1.2 虚假APP
虚假App是指不法分子通过各种手段将正版App重新包装,以假充真的那些App,结合了加密货币的虚假APP则主要有假钱包与假电报APP。
4.1.2.1 假钱包 APP
假钱包APP盗币是一种通过诱导他人下载安装带有后门的假钱包APP,以窃取钱包助记词进而非法转移他人资产的盗币手法。盗币者在搜索引擎、非官方手机应用商店、社交平台等渠道投放假钱包APP下载链接,受害人下载安装并创建或同步钱包地址后,助记词便会发送给盗币者。一旦受害人转入较大金额的加密资产,便会被盗币者批量或自动转走归集。
目前该手法已经高度产业化,假钱包开发团队与运营推广团队业务完全分割,前者仅参与产品开发与维护,通过在全球各地招募代理的形式出售产品解决方案;后者则只需要推广假钱包APP即可,甚至无需了解加密技术原理。
多签盗币是假钱包盗币的一个变种手法。多重签名技术就是多个用户同时对一个数字资产进行签名,可以简单地理解为,一个钱包账户同时有多个人拥有签名权和支付权。 如果一个地址只能由一个私钥签名和支付,表现形式就是1/1,而多重签名的表现形式是m/n,也就是说一共n个私钥可以给一个账户签名,而当m个地址签名时,就可以支付一笔交易。
传统假钱包盗币本质上是与受害人共享钱包控制权限,盗币者无法阻止受害人转出资产,但基于多重签名技术原理,盗币者在受害人安装假钱包APP后,会立即将受害人地址加入多签,此时钱包拥有者本人将无法转移钱包中的资产,只能转入无法转出,而盗币者则将能够在任何时间将资产转走,这往往取决于受害人什么时候转入大额资金。
4.1.2.2 假电报 APP
在加密货币相关黑灰产中虚假APP的经典应用是对电报APP的恶意后门植入,后者是一款加密货币投资者常用的社交软件,许多场外交易活动依靠该软件进行。欺诈者会通过社会工程学攻击方法,诱导目标对象「下载」或「更新」假电报APP,一旦目标用户通过聊天框粘贴区块链地址,恶意软件便会识别替换发送恶意地址,导致交易对手方将资金发送到恶意地址,而被攻击者不自知。
4.1.3 黑灰产第三方支付担保
第三方支付担保是指买卖双方在网上达成商品交易意向或协议后,买方将货款先支付给第三方,由第三方暂时保管,待买方收到货并检查无误后通知第三方中介,由第三方将货款支付给卖方,完成整个交易。它实际上是以第三方为信用中介,在买方确认收到商品前,替买卖双方暂时监管货款的一种网上支付服务方式。在此交易过程中,第三方中介会收取一定比例的服务费。
当前某些黑灰产第三方支付担保平台,除去传统的法币渠道外,也已经开始普遍利用泰达币(主要是trc20-USDT)作为担保资金,为包括非法换汇、非法商品交易、违规代收代付、涉案加密货币交易等在内的交易提供支付担保服务。尽管交易类型不同,但交易流程是一致的。
通常买方与卖方中的一人会在广告区向支付担保平台付费投放广告,要么投放在网站特定的区域,要么投放在官方电报群,广告中则会注明交易类型、交易要求、支付方式等交易细节。
买卖双方协商完毕后,需要联系支付担保平台客服建立「专群」,专群是仅用于交易沟通的非公开电报群组,成员包括买卖双方与专群机器人,原则上不允许一对多交易,也不允许拉入无关人员。
买方需要买家将货款转入担保平台官方账户并提供凭证,这个过程被称为「上押」,由交易员确认收款后通知卖家发货;接着卖家接到交易员发货通知后开始发货,并提供发货凭证;然后买家确认收货后通知交易员放款,收到买家收货确认或放款通知后交易员扣除佣金向卖家解押放款,并提供放款凭证;最后卖家确认收款,交易完成。
平台并不会在每笔交易中为用户分配独立地址用于资金隔离,而是在一段时间内所有的押金都打向同一个上押地址,导致这个地址直接接收大量涉及网赌、黑灰产、洗钱等风险资金,同时也因其庞大的资金规模,一定程度上也混淆了资金方向,为调查人员的追踪活动制造了阻碍。
对已知的为非法交易活动做担保的平台地址进行资金审计发现,其担保资金规模在过去12个月里处于不断增长趋势中,包括超过170.7亿波场网络USDT,以及超过6.7亿以太坊网络USDT,这表明这类平台所担保的非法交易大部分发生在波场网络中。
4.2 新型黑灰产加密货币利用形式
4.2.1 授权盗币
授权盗币是一种通过窃取他人地址USDT管理权限进而非法转移他人资产的盗币手法。波场、以太坊等公链,允许用户将钱包中某种资产的操作权限让渡给其他地址,后者将因此获取该地址部分或全部资产的管理权限,能够随时调用合约将地址中的授权资产转移。
这种恶意盗币授权请求通常伪装成支付链接、空投申领入口、交互合约等蜜罐,一旦受害人被诱导交互,地址中的某项资产——通常USDT——就会被无限制授权给盗币地址,并在随后的某个时间被通过调用「TransferFrom」方法全部转走。
盗币者往往是通过欺骗目标受害人点击钓鱼链接并运行欺诈智能合约实现的,此时受害者钱包助记词并没有泄露,因此及时取消授权,仍可以挽回一定损失。
4.2.2 零转账钓鱼
零转账钓鱼是一种针对不规范使用钱包应用的加密货币投资者的骗局。通过大量向不特定区块链地址发送金额为0的USDT交易,能够在无许可的情况下,增加目标地址的交互记录。如果不特定对象在向某地址发起转账的时候,试图从智能设备上已有的转账记录中复制地址,就有可能向错误的地址发送资金,进而造成损失。
Bitrace针对大量波场网络中已经被标记为钓鱼地址的欺诈地址进行了资金分析,定义这批地址转账金额低于1USDT的交易为一次钓鱼活动,收取超过10USDT的交易为欺诈所得。
我们的研究表明,零转账钓鱼活动的活跃度与受损规模一直在扩大中,截至目前,波场网络中已经有超过4.51亿USDT资金因遭受钓鱼攻击而损失。
4.2.3 假平台币搬砖套利诈骗
假平台币搬砖套利诈骗的常见手法是,欺诈者谎称开发了某款「智能套利合约」,参与者只需要向合约中投入一定数量的加密货币,即可超额获取另一种知名的加密货币(例如币安币、火币积分、OK币等),获取「套利所得」后,参与者在第三方交易市场变现即可赚取收益。
早期小额测试,的确会返还真实超额加密货币,而一旦受害人投入大资金,便会返还虚假代币,而后者不具备任何市场价值。这个欺诈手法古老而有效,目前仍有大量变体活跃在加密货币投资者社区中,不仅对普通投资者造成了资金损失,还给被冒充者的品牌资产带来负面损害。
4.2.4 波场靓号地址交易
和传统黑灰产活动一样,加密黑灰产不法分子在进行违法犯罪活动前,也需要创建或购买虚拟身份,在传统黑灰产活动中是银行账户与身份信息,在加密黑灰产活动中则是区块链地址。而通常,这类地址都是从专业的靓号地址服务商处定制获取的。
在网络赌博活动中,哈希网赌平台运营者往往都是波场靓号地址的使用者,他们会向专业的靓号服务商批量采购靓号,并将这些靓号用作业务地址,以实现包括资金收付、存储、流转或接受投注、资金结算等在内的功能。
在黑灰产活动中,靓号定制则直接催生了零转账钓鱼更为精细化运营的变种——同尾号钓鱼。相比于普通的针对不特定区块链对象的广泛零USDT转账,同尾号钓鱼往往是定制化的,欺诈者会根据目标对象的常用对手方地址头尾号进行高仿,并转账更多金额。
这类钓鱼活动成本并不低廉,根据某个波场靓号服务商的报价单可以看到,八位数定制的地址需要12小时才能交付,售价100USDT,同样的八位数靓号则只需要10USDT。
而除波场靓号服务商以外,某些电报APP群聊机器人服务商、网站源码服务商、批量转账工具服务商、SEO快排服务商等群体,也存在类似的向非法活动参与者提供帮助并从中获利的情况,本文不再过多披露。
五、加密货币在洗钱活动中的利用
5.1 传统洗钱加密货币利用形式
加密货币在传统洗钱活动中的利用,目的是将高风险用户的支付转移到低风险用户的账户中进行支付,从而规避支付机构的风险管控措施。这通常表现为在加密货币场外交易市场将涉案法币兑换为加密资金,或者将涉案加密资金兑换为法币的形式,以阻断资金链路,逃避追踪打击。
典型的赃钱清洗场景,是欺诈分子在骗取受害人现金后,迅速将资金拆分成小额连续转账给多张银行卡,随后组织“卡农”们取现,接着将现金通过汽车或飞机等个人或公共交通工具运送到洗钱团伙所在地。在过去这笔现金常被用于购买大宗商品,或者兑换成外汇流出国境,而现在则更多用于线下购买USDT,这批USDT随后要么会在加密货币场外交易市场变现为现金,要么会直接流出境外或其他洗钱团伙做进一步处理。在这一过程中,跑U平台、支付担保平台、中心化交易平台的场外交易市场都扮演了重要的角色。
5.1.1 跑U平台
跑U平台是一种新型洗钱方式,其基本模式是将数字货币交易与传统“跑分”平台相结合。首先平台组织者以大量购买USDT转移到境外交易所出售赚取差价为诱饵,招募USDT搬砖者,随后要求搬砖者实名注册数字货币交易所账号,并绑定个人名下的银行卡。搬砖者需要购买一定数量的USDT作为交易保证金质押至“跑分”平台,平台组织者会根据搬砖者缴纳USDT保证金的数量,在平台为搬砖者开设账号标记可售的USDT数量和单价,同时备注搬砖者的收款银行账户等信息。当境外电信诈骗等犯罪团伙需要接收赃款时,会先通过“跑分”平台向搬砖者下单购买USDT,再指挥被害人向搬砖者预留在平台上的银行账户转账,当被害人将被骗的钱款转入搬砖者账户后,搬砖者即在平台确认交易,这样就完成了诈骗赃款的第一次转移。此后,搬砖者使用收到的赃款继续从交易所购买USDT并提币至跑分平台循环往复,在这个过程中赚取USDT差价与平台佣金。
这种活动被洗钱团伙称为「卡接回U」,能够帮助上游不法分子与洗钱团伙完全规避赃款以及交易平台实名认证的风险。
5.1.2 跑分车队
而除了招募跑分人员进行赃钱清洗外,洗钱人员还常用更直接的“跑分车队”模式洗钱。形式与跑U形式基本一致,但不同之处在于,其加密货币场外交易发生在线下,且通过现金进行交割。首先车队头目会招募大量真实人员注册实名银行卡账户,当上游不法分子(所谓“料主”)非法获取赃款(所谓“料”)后,会通过非法第三方支付担保平台联系车队头目接单;接着大量资金会拆分转移至车队控制下的多张银行卡,如果这笔钱是一手黑钱,那么被称为“一道料”,如果是二手、三手黑钱,则相应被称为“二道料”、“三道料”,后者资金风险较低,佣金也更低;然后车队头目会与司机驾车接对应的卡主前往当地ATM机取现,多次取现完毕后,车队头目继续使用个人或公共的交通工具将现金运往指定的地点进行线下交易;最后在第三方支付担保平台介入情况下,车队头目将现金转交给目标对象赚取佣金,对方将USDT打给担保地址结束洗钱流程。
这类洗钱活动通过多层银行账户转账、ATM取现、加密货币线下交易的形式,不仅多次中断资金追踪链路,还规避了银行资金监管。
Bitrace针对波场网络中部分被标注为有洗钱风险且资金规模超过100万USDT的地址进行了资金审计,审计周期为2021年9月至2023年3月,审计内容为USDT转入。
数据显示,2021年9月至2023年3月,波场网络中有洗钱风险的地址总共流入超过642.5亿USDT,且资金规模并没有受到加密货币二级市场熊市的影响,不难看出其业务的参与方并非真正意义上的投资者。
5.2 新型洗钱加密货币利用形式
对于加密行业原生的网络犯罪分子而言,基于加密基础设施的匿名兑换以及链上混淆是最常用的资金清洗方法。
5.2.1 链上资金混淆
链上资金拆分与混币平台则是最普遍的资金混淆渠道。
资金拆分是指不法分子通过复杂多层的交易,将虚拟货币通过不同钱包地址、账户逐级混合提转,最后汇至境外同伙的钱包地址,达到割裂资金输入和输出的联系、模糊虚拟货币交易链路的目的。而在加密货币洗钱活动中,这一手法同样有效,是黑灰产从业者处理资金的常用手法。
以某投资理财类诈骗案件的地址画布为例,该案件归集受害人的加密资金后,通过若干个资金通道对非法所得进行拆分处理,并最终归集到少数交易所账户地址中完成资金变现。
混币则是将用户的加密货币与其他用户的货币进行混合,然后再将混合后的货币转移到目标地址,以掩盖原始的货币流动路径,使得追踪加密货币的来源和去向变得困难。因此,已经有多家加密货币混币平台遭受了各国政府的制裁,其中就包括最知名的Tornado.cash,该平台于2022年8月8日受到美国财政部海外资产控制办公室(OFAC)制裁,部分与其相关的以太坊地址被列入美国特别制定国民名单,而一旦被加到这个名单,个人或者相关实体的财产和财产权益都将面临被冻结的风险。
但尽管如此,由于Tornado.Cash的混币合约是公开无需可的,其他用户仍然可以通过直接调用合约的形式进行混币活动。以发生在2023年11月1日的OnyxProtocol被攻击事件为例,该攻击者便是通过混币平台获取地址手续费,并进一步清洗资金。
5.2.2 链上匿名兑换
无KYC交易平台与跨链桥是最首要的两个链上匿名兑换渠道。
目前为止,除了少数已经被制裁的实体地址外,这类加密基础设施仍未对风险加密资金或高危加密地址做出更多风险控制,导致攻击事件发生后,非法资金往往能够第一时间通过这些渠道进行兑换。
以发生在2023年6月25日的Nirvana Finance被攻击事件为例,攻击者在非法获取受害机构的加密资金后,第一时间将部分资金转向了THORWallet DEX,后者是一个无需许可且具备高度私密性的去中心化交易平台,允许用户在不公开交易信息的情况下直接在各条区块链之间进行跨链兑换,因此在过去发生的多起加密安全事故中,都能看到THORWallet DEX在资金清洗环节中出现。
六、风险加密资金对web3企业地址造成污染
6.1 中心化交易平台地址污染
中心化交易平台是最主要的风险USDT资金清洗场所之一,Bitrace在本次报告中对126个常见中心化交易平台热钱包地址进行了审计,对网赌、黑灰产、洗钱活动关联加密资金在2021年1月至今期间的流入情况作出了充分考察。
2021年1月到2023年9月间,在波场网络中共有超过415.2亿风险USDT流入部分中心化交易平台,其中包括225.79亿网赌关联USDT,105.70亿黑灰产关联USDT,以及83.73亿洗钱关联USDT。
2021年1月到2023年9月间,在以太坊网络中共有超过33.15亿风险USDT流入部分中心化交易平台,其中包括11亿网赌关联USDT,18.42亿黑灰产关联USDT,以及3.72亿洗钱关联USDT。
从风险资金总量与风险资金占比不难看出,波场网络中USDT被非法利用的规模相比以太坊网络更大,且网赌类别的风险资金比例较高,这与实践中观察到的情况一致——赌场代理以及普通赌客更倾向于使用波场USDT,以节省手续费。
6.2 场外交易市场地址污染
除中心化交易平台场外交易板块之外,某些支付平台、加密货币投资者群组,承兑商社群都会建立一定规模的场外交易市场,这类场所缺乏完善的KYC与KYT机制,无法对对手方资金风险作出判断,也难以在事后对风险资金作出限制,往往会流入较高比例的风险USDT。
Bitrace对具备典型场外交易市场特征且资金规模超过100万USDT的地址进行了资金审计,数据显示在过去两年中,这批地址已经流入至少34.39亿与风险活动关联的USDT,流入量随时间递增且基本不受二级市场寒冬影响。
6.3 加密支付平台地址污染
作为去中心化金融领域的基础设施之一,加密货币支付工具一方面为区块链机构提供资金结算服务,另一方面也为普通用户提供一定的加密货币承兑服务,也因此面临同样的风险加密资金污染。
Bitrace对主要服务东南亚与东亚客户的主要加密支付平台地址进行了资金审计,数据显示,在2021年1月到2023年9月之间,共有超过405.1亿风险USDT流入这些地址,其中波场网络334.6亿USDT,以太坊网络70.4亿USDT,在几乎所有时间里,波场网络中的风险USDT对加密支付平台的污染情况都要比以太坊网络更严重。
七、结论与建议
网络赌博、黑灰产、洗钱等活动的参与者们正在大量利用包括USDT在内的加密货币,以增强资金匿名程度,规避监管与执法部门的追踪。其直接结果是,运营合规加密业务的Web3企业与普通加密货币投资者因缺乏资金风险识别能力,而被动收取这类与风险活动关联的加密资金,进而使资金地址遭受污染,甚至被卷入案件。
行业机构应加强资金风控意识,积极与当地执法部门建立合作,并接入安全厂商提供的威胁情报服务,以感知、识别、预防、阻断风险加密资金,保护自身业务地址与用户地址免遭污染。
7.1 加强资金风控意识
行业机构在基础的了解您的用户(KYC)活动——依法对客户真实身份、交易执行、资金来源等情况进行核查之外,也要履行客户异常交易监控和管理职责(KYT),及时报告违规交易和风险情况。对存在可疑风险资金活动的用户进行分层管理,采取限制部分或全部平台功能的管理措施。
7.2 积极了解当地法律法规并与执法单位协作
平台需建立或委托专业团队对来自全球的执法请求进行合规对接及审查,协助识别、打击、预防涉币犯罪活动,降低造成的经济损失,并避免平台业务地址与用户账户遭受资金污染。
7.3 建立威胁情报网络与信息共享机制
行业机构需要重视开源网络情报,对现时发生的加密安全事件相关攻击地址及资金保持关注,以确保能够第一时间对流入平台的涉案资金进行反制;同时也需要接入外部威胁情报源,与加密数据、安全公司合作,为用户建立DID画像,对与风险地址产生关联以及缺乏良好交互历史的地址采取适当的风控限制。并在此基础上,建立及维护全行业共享的开放式威胁情报数据库,保证行业整体的安全与信任。
原文始发于微信公众号(Bitrace):加密货币在网络违法犯罪活动中的利用情况调查