【#區(qū)塊鏈# #真真假假�����,鏈上視角看緬北同盟軍「勒索」地址#】
本文對已公開地址從地址資金收付規(guī)律、地址資金來源風(fēng)險����、關(guān)聯(lián)地址活動進行了深度分析,并對相關(guān)分析內(nèi)容進行了披露�����。
撰文:慢霧���、幣追團隊
背景
2024 年 1 月 16 日����,有博主在中文社交平臺爆料稱����,緬甸同盟軍疑似向滯留緬甸的電詐產(chǎn)業(yè)從業(yè)者強行收取高額加密貨幣,并展示了聲稱被用于收款的加密貨幣地址����,目前該爆料已經(jīng)在網(wǎng)絡(luò)中形成了較為廣泛的傳播。
本文由 Bitrace & MistTrack 共同對已披露地址進行加密資金分析�����,包括:地址資金收付規(guī)律、地址資金來源風(fēng)險��、關(guān)聯(lián)地址活動等�,旨在對相關(guān)分析內(nèi)容進行披露。
地址行為分析
(https://mp.weixin.qq.com/s/WDWM22vw68-NsVr0_1jHfA)
上圖為爆料文章中的信息�����,基于此�����,研究人員對已披露的收款地址 TKFsCN 進行了 USDT 匯率分析���,嘗試通過某些特定金額的 USDT 收款反推出背后的結(jié)算單位�。
收款地址的歷史交易記錄顯示�����,該地址所接收的 USDT 單筆交易存在大量非整十�、整百數(shù)額�,例如 71417、42857 等數(shù)字�,這常見于交易是以非美元作為結(jié)算單位的情形。而在嘗試用各主流法幣兌 USDT 匯率進行計算之后,研究人員發(fā)現(xiàn)這些交易疑似是以 1 USD : 7-7.2 RMB 的匯率在進行結(jié)算���,并且單次資金轉(zhuǎn)入數(shù)額在人民幣數(shù)額 50-60 萬�、100 萬整��、150 萬整的幾個區(qū)間出現(xiàn)聚類現(xiàn)象����。
在過濾掉數(shù)額 100 USDT 及以下的交易后,經(jīng)統(tǒng)計�����,在 TKFsCN 總計 307 筆 USDT 轉(zhuǎn)入金額中�����,有 193 筆為人民幣兌美元匯率的金額轉(zhuǎn)入�����,交易數(shù)量占總數(shù)的 62.86%��,交易金額占總數(shù)的 45.29%���。
這表明該地址所收取超過一半的交易都是以人民幣為單位進行結(jié)算的�,且換算金額為 50 萬的轉(zhuǎn)入占據(jù)主要地位。支付 USDT 的一方應(yīng)當是中國人����。
資金來源分析
原文中提到,「占領(lǐng)老街以后也是到處抓(筆者注:電詐產(chǎn)業(yè)從業(yè)者)中國人�,愿不愿意交錢自保,交錢的可以送走�,不交錢的就送中國」,如果屬實����,TKFsCN 的交易中應(yīng)該存在大量新增交易對手方,且資金部分來源于灰黑產(chǎn)��、洗錢����、欺詐等相關(guān)地址。
數(shù)據(jù)顯示�����,在 2023 年 10 月 22 日至 2024 年 1 月 2 日之間���,TKFsCN 共接收來自 182 個直接交易對手方的 USDT 轉(zhuǎn)賬���,其中 117 個地址出現(xiàn)了小金額 + 大金額的連續(xù)兩筆轉(zhuǎn)賬特征。這是一種典型的轉(zhuǎn)賬測試行為���,付款方為確認地址正確而不選擇一次性轉(zhuǎn)移完畢�����,這表明至少 62.29% 的交易對手方都可能是初次轉(zhuǎn)賬���,并非 TKFsCN 的固定交易伙伴。
而對 TKFsCN 更深入的地址風(fēng)險資金審計則表明��,向該地址轉(zhuǎn)賬的交易對手方與黑灰產(chǎn)��、網(wǎng)賭�����、欺詐����、洗錢�、風(fēng)險支付等活動存在密切關(guān)聯(lián)�。在 182 個直接轉(zhuǎn)入方中,高達 42% 為風(fēng)險活動關(guān)聯(lián)地址��,向 TKFsCN 轉(zhuǎn)入了價值 33,523,148 美元的 USDT����。
(圖片來自 MistTrack 與 BitracePro)
值得注意的是,在這批風(fēng)險活動關(guān)聯(lián)地址中��,調(diào)查人員還找到了 7 個明確與已知刑事案件相關(guān)的地址��,包括兩起洗錢案����、一起欺詐案、一起網(wǎng)賭案���、一起電話詐騙案��,且嫌疑人的地理位置均在緬北或柬埔寨����。
這表明向 TKFsCN 發(fā)起支付的對手方地址����,不僅僅涉及大量風(fēng)險加密活動,還與東南亞地區(qū)的不法分子密切相關(guān)����。
另有奇怪的一點是,調(diào)查人員還在轉(zhuǎn)出地址找到了一個關(guān)聯(lián)到電信詐騙案的洗錢地址���,說明部分轉(zhuǎn)出地址的資金流向上溯源分析同樣存在一定的疑點��。該疑點將在下文「關(guān)聯(lián)地址分析」部分做非敏感拓展���。
關(guān)聯(lián)地址分析
根據(jù)上述 TKFsCN 地址做聚類分析發(fā)現(xiàn),該地址與近一百個地址疑似存在主體聚類關(guān)系��,其中部分地址不僅出現(xiàn)了與 TKFsCN 類似的資金收付活動���,還透露出更多收款方的信息��,以收款方 TKKj8G 為例:
- TKKj8G 直接收取了?6 筆來自 TKFsCN 總計超過 460 萬 USDT 的資金�,是收款方后續(xù)資金鏈路中的歸集地址之一�;
- TKKj8G 是核心的收款地址之一,在金額超過 100 USDT 的 60 筆收款中�����,高達 50 筆收款存在與 TKFsCN 雷同的小額測試行為;
- TKKj8G 在 2023 年 8 月 18 日就開始活躍����,遠早于其他地址,且在此期間與匯旺擔保存在交易行為 —— 從匯旺擔保地址接收 16 萬 USDT�����,行為上分析為匯旺擔保的商戶從匯旺擔保處取回押金�����。
?
這表明原文所說的「財經(jīng)部地址」可能并不存在���,包括 TKFsCN 與 TKKj8G 在內(nèi)的地址集應(yīng)當隸屬于某個位于緬北或柬埔寨的數(shù)字貨幣承兌商���,出于某種原因代為收取這些款項。
異常交易
綜上所述���,調(diào)查人員們不難勾勒出一個典型的支付方畫像——在東南亞地區(qū)從事非法工作��,出于某個原因不得不向某個代收地址支付價值 50 萬元人民幣的 USDT�。因為是首次交易,為防止地址錯誤而在大量轉(zhuǎn)入前進行了小額測試�����。而用于支付的加密貨幣�����,或是來自其原有的非法所得�,或是購買自其他非法實體��。
但并非所有支付方都是如此����,調(diào)查人員同樣發(fā)現(xiàn)了一些不符合或者不完全符合這類特征的地址,以 TYU5acSGRwsYJfBhdpQc3broSpfsjs8QFF 為例�,該地址是前文所述的 7 個直接涉案地址之一,其他 6 個地址分別向 TKFsCN 轉(zhuǎn)移了價值 50 萬���、50 萬�����、100 萬�、100 萬、270 (150 + 120) 萬�、55 萬元人民幣的加密貨幣,但 TYU5ac 的轉(zhuǎn)賬金額按照同等匯率換算為 136 萬元人民幣�����,盡管是整數(shù)���,可這一特別的金額仍然迥異于其他地址����。
調(diào)查人員無從得知其中原因�,考慮到該地址存在小額測試行為,一種合理的猜測是����,該地址背后的交易代表了 3 筆價值 50 萬人民幣的合并轉(zhuǎn)賬,并獲取了 10% 的折扣�����。
總結(jié)
本文對已公開地址從地址資金收付規(guī)律���、地址資金來源風(fēng)險���、關(guān)聯(lián)地址活動進行了深度分析�����,并對相關(guān)分析內(nèi)容進行了披露�。主要結(jié)論如下:
- 該分析目標地址所收取超過一半的交易都是以人民幣為單位進行結(jié)算的��,且換算金額為 50, 100, 150 萬的轉(zhuǎn)入占據(jù)主要地位���;
- 向該分析目標地址轉(zhuǎn)賬的交易對手方地址,與黑灰產(chǎn)����、網(wǎng)賭、欺詐��、洗錢�、風(fēng)險支付等活動存在密切關(guān)聯(lián);
- 目標地址及其關(guān)聯(lián)地址在密集收取這類資金前�����,就已經(jīng)存在風(fēng)險業(yè)務(wù)活動痕跡,對該分析地址進行聚類分析后發(fā)現(xiàn)����,該聚類疑似匯旺擔保的某個商戶;
- 向該分析目標地址發(fā)起支付的對手方地址���,與緬北或柬埔寨地區(qū)的不法分子密切相關(guān)�。
綜上所述����,《同盟軍虛擬貨幣賬戶被曝光,勒索北國人數(shù)億元的虛擬幣》一文中爆料的部分內(nèi)容與鏈上事實相符合���,的確存在大量位于緬北或柬埔寨的中國電詐產(chǎn)業(yè)從業(yè)者集體向某個地址集轉(zhuǎn)移整數(shù)人民幣金額的 USDT 資產(chǎn)�����,但該組地址可能并非所謂的「財經(jīng)部地址」���,而是當?shù)氐臄?shù)字貨幣承兌商地址,與原文所述不同����。
向?qū)?/a>
