通付盾SharkTeam加密貨幣反洗錢（AML）分析_ETH:加密貨幣

　　隨著加密貨幣的不斷發展，其匿名性和資金難以收回等特點，以及加密貨幣立法尚不健全的情況，被越來越多的不法分子用來做為洗錢的工具。

　　AML由阻止非法資金流通和洗錢的條例與法律組成。從古至今打擊非法犯罪行為都沒有間斷，而“洗錢”這一概念只有約100多年的歷史。1989年，反洗錢金融行動特別工作組正式成立。該組織是國際金融監管機構為提高加密貨幣在金融市場的合法性，保護消費者利益和防范洗錢犯罪活動而制定的一套標準和指導原則。各國政府都要求對加密貨幣交易所、錢包提供商等加密貨幣金融機構在反洗錢方面加強防范措施。

　　一、加密貨幣洗錢現狀

　　從2015年到2022年，加密貨幣洗錢總數達677億美元之多，洗錢數目令人瞠目。從2020年開始洗錢金額以每年67％的速度不斷增加，到2022年達到238億美元，加密貨幣反洗錢行動勢在必行。

　　2022年發送到鏈上混幣協議的資金總額為77.68億美元，其中被盜資金為66.37億美元，占比達到86％。其中暗網市場和詐騙的金額也較大，分別占到金額總數的6％，5％。

　　二、加密貨幣洗錢方式及流程

　　1、中心化工具洗錢：OTC+嵌套交易所

　　首先，不法分子需要經過OTC服務整理匯總虛擬貨幣。提前在交易所開設賬戶，將所獲得的虛擬貨幣在交易所進行兌換。由于中心化交易所需要KYC認證，因此，不法分子通常使用嵌套交易所。

路透社：萬事達卡和幣安終止在四個國家的加密卡合作項目:金色財經報道，路透社消息稱，萬事達卡（Mastercard）發言人通過電子郵件表示，萬事達卡和加密貨幣交易所幣安將于9月22日結束在阿根廷、巴西、哥倫比亞和巴林四個國家的加密卡項目，幣安卡允許用戶以傳統貨幣進行支付，資金來源是他們在交易所持有的加密貨幣。

萬事達卡的網站還列出了與包括Gemini在內的加密貨幣交易所的合作伙伴關系。該發言人表示，這一決定不會影響萬事達卡的任何其他加密卡計劃。

幣安沒有回復置評請求，該交易所在X平臺（以前稱為Twitter）的客戶支持帳戶早些時候表示，幣安卡“將不再向拉丁美洲和中東的用戶提供”。[2023/8/25 10:40:24]

　　所謂嵌套交易所，指的是不需要KYC驗證，注冊地與實際運營地址不同，寄生于主流中心化交易所的虛擬貨幣場外交易經紀商，這些嵌套交易平臺有時被稱作“即時交易平臺”。利用嵌套交易平臺洗錢運作方式如下：

　　不法分子將資金存入嵌套交易平臺。

　　嵌套交易平臺將資金發到他們在宿主交易平臺的賬戶/錢包完成兌換。

　　嵌套交易平臺將新換好的資金返還，交易隨即完成。

　　整個過程嵌套交易所利用主流中心化交易所提供的流動性和低廉的交易費用。在多級托管模式下，賬戶體系層層嵌套，托管鏈條越長、參與者越多，資金鏈源頭便越模糊。

　　嵌套交易所在烏克蘭和俄羅斯非常流行，2021年9月21日，OFAC宣布制裁實際在俄羅斯運營的加密貨幣交易平臺Suex，將它列為了SDN，理由是它涉嫌為網絡攻擊洗錢，為至少八種勒索軟件變體的非法收益提供便利，且超過40％的交易量與已知惡意行為相關地址有關。

Messari：friend.tech上線至今獨立買家數已超越Blur等三家頭部NFT平臺同期總和:金色財經報道，據區塊鏈分析公司Messari官方發布數據顯示，在Base鏈上發布測試版不到一周時間里，去中心化社交平臺friend.tech的獨立買家數量已達到2.372萬個，而同期OpenSea、Blur 和 LooksRare三家頭部NFT平臺該指標的總和為1.89萬。

此外，Messari還披露friend.tech截至目前已處理了來自2.3萬名獨立用戶的超30萬筆交易，總交易額約為1325萬美元，由于friend.tech將5%交易額提供給用戶，意味著在不到一周時間內其平臺用戶獲得的總收入已有約65萬美元。[2023/8/17 18:05:13]

　　2020年11月，某公司被詐騙團伙冒充的公司領導詐騙近600萬。經過專案組長達半年的調查，一個利用網絡交易虛擬貨幣為電信網絡詐騙犯罪“洗錢”的團伙逐漸浮出水面。經查實，該犯罪團伙成員在湖南、四川等地，組織數十名“買手”，通過個人手機上下載虛擬貨幣交易平臺，并利用本人或他人身份信息注冊賬戶。注冊完畢后，犯罪嫌疑人將詐騙所得轉入這些賬戶，再通過場外OTC交易購買虛擬貨幣。獲得虛擬貨幣后，犯罪嫌疑人通過逐級提轉，最后匯入境外洗錢犯罪嫌疑人錢包地址，再轉給境內犯罪嫌疑人，在交易平臺上出售進行套現，從而完成非法所得資金到虛擬貨幣，再到法定貨幣資金的“洗白”過程。

　　從上述案例可以總結出虛擬貨幣洗錢的過程大致可分為三步：

　　整合贓款：不法分子通過場外OTC交易購買虛擬貨幣，將非法所得整合后注入洗錢渠道中。

　　清洗贓款：利用虛擬貨幣的匿名性進行復雜交易，以掩蓋資金來源。

Dapper Labs：已裁員51人，團隊資金充足無需出售代幣:7月13日消息，Dapper Labs首席執行官RohamGharegozlou發推表示，Dapper Labs已裁員51人，包括全職員工以及C1承包商，并強調Dapper Labs和Flow都有充足的資金，通過這次重組將使業務更加精簡，此外Flow也有一個單獨的資金池，所以團隊也有幾年的現金儲備，不需要出售代幣來資助短期運營。[2023/7/13 10:52:10]

　　歸集提現。在經過清洗后，不法分子持有的虛擬貨幣已相對“安全”，隨后將所有被洗過的虛擬貨幣歸集到某一地址上完成提現。這樣就基本上完成洗錢操作了。

　　2、去中心化工具洗錢

　　據ChainAegis平臺統計，鏈上混幣平臺TornadoCash的資金量自2020年1月以來一直保持著高速增長，目前已經有近362萬個ETH存款于這個資金池中，存入總額達78億美元，TornadoCash已然變成以太坊最大的洗錢中心。但隨著2022年8月份美國財政部發文制裁TornadoCash，從下圖我們可以明顯看到，TornadoCash每周的存取款數成倍下跌，但因為TornadoCash的去中心化屬性，導致無法從源頭制止，依舊還是有資金不斷涌入該系統進行混幣。

　　為了增強隱匿性，TornadoCash存在4個存儲ETH池合約，分別用來接收和提幣0.1、1、10、100ETH的單筆交易。2021年TornadoCash四個額度的ETH提款數量均為最高，年度總提款量分別達953.6ETH、24574ETH、200760ETH、1501500ETH。

海南自貿港元宇宙聯合實驗室啟動成立：將聚焦培育元宇宙細分產業鏈:金色財經報道，2月8日消息，元宇宙數字經濟百人論壇2023海口論壇舉行，期間，由海口廣電文化產業有限公司、海口市科技創新教育學會發起，中關村數字媒體產業聯盟等近30家單位聯合發起的海南自貿港元宇宙聯合實驗室啟動成立。（新海南客戶端）[2023/2/9 11:56:30]

　　據ChainAegis鏈上監測數據顯示，自2020年9月起，每月TornadoCash的提款次數整體呈現上漲態勢。其中，額度為10ETH以上的提款數呈現持續上升趨勢，并于2022年3月提款次數最高，為2704次；2022年4月次之，為2606次。

　　結合上下兩圖來看，受美國財政部制裁的影響，2022年提款量主要分布于1月份至8月份，占全年總提款次數的93.1％。

　　TonadoCash先后進行兩個版本的整改，隱匿性也隨之增強。但是在監管和市場沒準備好的情況下卻被不法分子濫用，成為洗錢工具，其隱匿性也為反洗錢帶來了較大難度。2022年6月23日，Harmony鏈和以太坊之間的Horizon跨鏈橋遭受多次惡意攻擊。由于所有者私鑰泄漏，導致Harmony鏈上將近1億美元等值的虛擬資產被盜。

　　ChainAegis于6月28日監測到，攻擊者地址開始分批次、分步驟轉換轉移盜取的資金，已有過半數資金轉移至黑客常用混幣協議：Tornado.Cash中。按照監測流程，ChainAegis使用圖譜工具對資金流向鏈路進行追蹤，發現攻擊Harmony黑客的洗錢模式與攻擊RoninNetwork黑客的洗錢模式存在高度一致性，攻擊者可能來自朝鮮黑客組織Lazarus。兩個攻擊事件后續的洗錢模式高度一致，均包含三個步驟：

金色數藏：開啟數字藏品空投、優先購資格征集活動:據官方消息，金色數藏平臺將于7月8日公開發售同道大叔十二星座夏日限定《嘻哈一夏》數字藏品，今日開啟數字藏品空投、優先購資格報名活動，符合要求的用戶可獲得同道大叔夏日版畫數字藏品空投、優先購買《嘻哈一夏》數字藏品的權益，可點擊原文鏈接查看詳細信息。

金色數藏是由金色財經孵化，依托騰訊至信鏈為底層技術的元宇宙數字藝術文化收藏平臺。[2022/7/5 1:51:38]

　　被盜資金整理兌換：發起攻擊后整理原始被盜代幣，通過dex等方式將多種代幣swap成ETH。這是規避資金凍結的常用方式。

　　被盜資金歸集：將整理好的ETH歸集到數個一次性錢包地址中。Ronin事件中黑客一共用了9個這樣的地址，而Harmony使用了14個。

　　被盜資金轉出：使用歸集地址通過Tornado.Cash將錢洗出。這便完成了全部的洗錢過程。

　　除了具備相同的洗錢模式，在洗錢的細節上二者也有高度的一致性：

　　攻擊者非常有耐心，均使用了長達一周的時間進行洗錢操作，均在事件發生幾天后開始后續洗錢動作。

　　洗錢流程中均采用了自動化交易，大部分資金歸集的動作交易筆數多，時間間隔小，模式統一；

圖:RoninNetworkbreathfirst視圖

圖:Harmonybreathfirst視圖

　　類似TornadoCash的去中心化工具還有很多，像umbra，aztecNetwork，門羅幣等，它們均具有隱匿性強的特征，未來可能還有更多的隱私賽道產生，需要注意使用新的監管技術為去中心化社區帶來合規屬性，產生正向價值。

　　三、ChainAegis加密貨幣反洗錢分析

　　如何利用ChainAegis鏈上分析平臺對混幣過的地址進行反洗錢分析，我們以Nomad事件為例進行分析。

　　找到Nomad事件攻擊地址

　　0x65760288f19cFf476B80A36a61F9DEDAb16Bab49

　　通過分析發現，該地址還有一個關聯地址：

　　0x72ccbb2002254bd8a0485d13a3a2faa9b0f992c6

　　該地址在2022-08-0208:13:40~2022-08-0208:23:22向合約Tornado.Router轉入了3100枚ETH。查看最后一筆交易哈希，我們可以發現這個合約又將ETH轉到了合約Torando.Cash:100ETH。最后通過合約Tornado.Router向地址3586轉了3000枚ETH。在2022-08-0215:55:04,2022-08-0814:53:23這兩個時間段，地址3586分別向Aave：WETH：Gateway轉出了2000ETH，999.7ETH。

　　經過核對我們可以看到地址：0x35869B5fACa988519681Bb16CbB9E193Ed574aA3中的轉出資金數額與黑客分批存入Tornado.Router中的資金數額基本一致，與我們的分析吻合。

　　Nomad的另一個攻擊地址

　　0xC9943f94142D81790eCf8EEE2C879d47730cf599分別將1205枚ETH和2580枚ETH轉移到中間地址。最后轉入Tornado.Router。

　　地址0x7a98和地址0x8d5d最后將資金轉入Tornado.Router。

　　按照上述地址的分析方法，我們可以找到兩個主要地址：

　　0xA89DB320721f517c36b1256314aD4575F12342e8接收了來自Tornado.Router的1960枚ETH。

　　0xae40379049d22D7CB780D3a908ddED0c30be46EA接收了來自Tornado.Router的740枚ETH。

　　根據資金轉出記錄的時間線索我們可以分析出以上兩個地址中的資金是黑客分批存入Tornado.Router中的，以此對加密貨幣洗錢行為進行有效分析和偵查。

　　AboutUs

　　SharkTeam的愿景是全面保護Web3世界的安全。團隊由來自世界各地的經驗豐富的安全專業人士和高級研究人員組成，精通區塊鏈和智能合約的底層理論，提供包括智能合約審計、鏈上分析、應急響應等服務。已與區塊鏈生態系統各個領域的關鍵參與者，如Polkadot、Moonbeam、polygon、OKC、HuobiGlobal、imToken、ChainIDE等建立長期合作關系。

本文源自：南早網

Tags：ETH加密貨幣ChainETH錢包地址ETH挖礦app下載Etherael指什么寓意加密貨幣是什么意思啊加密貨幣市場還有未來嗎知乎全球十大加密貨幣Chain幣是什么幣

火幣APP下載