진짜와 가짜, 체인 상의 시각으로 미얀마 북부 동맹군의 "갈취" 주소 보기

^작성자: 만안, 비추 팀^

배경

2024년 1월 16일, 한 블로거가 중국 소셜 플랫폼에서 미얀마 동맹군이 미얀마에 억류된 전자 사기 산업 종사자들에게 강제로 고액의 암호화폐를 징수하고 있으며, 수금에 사용된 암호화폐 주소를 보여주었다고 폭로했습니다. 현재 이 폭로는 네트워크에서 광범위하게 퍼지고 있습니다.

본 문서는 Bitrace와 MistTrack이 공개된 주소에 대해 암호화 자금 분석을 수행한 것으로, 주소 자금 수입 및 지출 규칙, 주소 자금 출처 위험, 관련 주소 활동 등을 포함하여 관련 분석 내용을 공개하는 것을 목표로 합니다.

주소 행동 분석

(https://mp.weixin.qq.com/s/WDWM22vw68-NsVr0_1jHfA)

위 이미지는 폭로 기사에서의 정보로, 이를 바탕으로 연구자들은 공개된 수금 주소 TKFsCN에 대해 USDT 환율 분석을 수행하고, 특정 금액의 USDT 수금을 통해 뒤에 있는 결제 단위를 추론하려고 했습니다.

수금 주소의 역사 거래 기록에 따르면, 해당 주소가 수신한 USDT의 단일 거래에는 많은 비정상적인 비십, 비백 금액이 존재하며, 예를 들어 71417, 42857 등의 숫자가 있습니다. 이는 거래가 비달러를 결제 단위로 하는 경우에 흔히 나타납니다. 그리고 각 주요 법정 화폐와 USDT 환율로 계산을 시도한 결과, 연구자들은 이러한 거래가 1 USD : 7-7.2 RMB의 환율로 결제되고 있으며, 단일 자금 유입 금액이 인민폐 50-60만, 100만, 150만의 몇 가지 구간에서 클러스터 현상을 보인다는 것을 발견했습니다.

100 USDT 이하의 거래를 필터링한 후, 통계적으로 TKFsCN의 총 307건의 USDT 유입 금액 중 193건이 인민폐와 달러 환율의 금액으로 유입되었으며, 거래 수량은 전체의 62.86%, 거래 금액은 전체의 45.29%를 차지합니다.

이는 해당 주소가 수취한 거래의 절반 이상이 인민폐 단위로 결제되고 있으며, 50만의 환산 금액이 주요한 위치를 차지하고 있음을 나타냅니다. USDT를 지불하는 쪽은 중국인일 가능성이 높습니다.

자금 출처 분석

원문에서는 "올드 스트리트를 점령한 후에도 중국인(필자 주: 전자 사기 산업 종사자)을 잡아다니며, 돈을 내고 자기를 보호할 의사가 있는지, 돈을 내는 사람은 보내주고, 돈을 내지 않는 사람은 중국으로 보내버린다"고 언급했습니다. 만약 사실이라면, TKFsCN의 거래에는 많은 신규 거래 상대방이 존재해야 하며, 자금의 일부는 회색 및 검은 산업, 세탁, 사기 등 관련 주소에서 나올 것입니다.

데이터에 따르면, 2023년 10월 22일부터 2024년 1월 2일 사이에 TKFsCN은 182개의 직접 거래 상대방으로부터 USDT 송금을 받았으며, 그 중 117개의 주소에서 소액 + 대액의 연속 두 건의 송금 특성이 나타났습니다. 이는 전형적인 송금 테스트 행동으로, 지급자는 주소의 정확성을 확인하기 위해 한 번에 전부 이체하지 않고 나누어 송금한 것으로, 최소 62.29%의 거래 상대방이 최초 송금일 가능성이 높습니다.

TKFsCN에 대한 더 깊은 주소 위험 자금 감사 결과, 해당 주소로 송금한 거래 상대방이 검은 산업, 도박, 사기, 세탁, 위험 결제 등 활동과 밀접하게 연관되어 있음을 보여줍니다. 182개의 직접 송금자 중 42%가 위험 활동 관련 주소로, TKFsCN에 33,523,148 달러의 USDT를 송금했습니다.

（이미지는 MistTrack과 BitracePro에서 제공）

주목할 점은, 이 위험 활동 관련 주소 중 조사자들이 7개의 명확히 알려진 범죄 사건과 관련된 주소를 발견했으며, 여기에는 두 건의 자금 세탁 사건, 한 건의 사기 사건, 한 건의 도박 사건, 한 건의 전화 사기 사건이 포함되어 있으며, 용의자의 지리적 위치는 모두 미얀마 북부 또는 캄보디아에 있습니다.

이는 TKFsCN에 대한 지불을 시작한 상대방 주소가 단순히 많은 위험 암호화 활동에 관련되어 있을 뿐만 아니라, 동남아시아 지역의 불법 인물들과 밀접하게 관련되어 있음을 나타냅니다.

또한 이상한 점은, 조사자들이 송금 주소에서 전자 사기 사건과 관련된 세탁 주소를 발견했으며, 이는 일부 송금 주소의 자금 흐름 추적 분석에서도 의심스러운 점이 존재함을 의미합니다. 이 의심은 아래 "관련 주소 분석" 부분에서 비민감하게 확장될 것입니다.

관련 주소 분석

위의 TKFsCN 주소에 대한 클러스터 분석에 따르면, 해당 주소는 거의 100개의 주소와 주체 클러스터 관계가 의심되며, 그 중 일부 주소는 TKFsCN과 유사한 자금 수입 및 지출 활동을 보일 뿐만 아니라, 수금자에 대한 더 많은 정보를 드러냅니다. 수금자 TKKj8G를 예로 들면:

• TKKj8G는 TKFsCN으로부터 총 460만 USDT 이상의 자금을 직접 수령했으며, 이는 수금자의 후속 자금 체인에서의 집계 주소 중 하나입니다;
• TKKj8G는 핵심 수금 주소 중 하나로, 100 USDT를 초과하는 60건의 수금 중 50건이 TKFsCN과 유사한 소액 테스트 행동이 존재합니다;
• TKKj8G는 2023년 8월 18일부터 활동을 시작했으며, 다른 주소보다 훨씬 이른 시점이며, 이 기간 동안 汇旺担保와 거래가 있었습니다 ------ 汇旺担保 주소에서 16만 USDT를 수령했으며, 이는 汇旺担保의 상인이 汇旺担保에서 보증금을 회수한 것으로 분석됩니다.

이는 원문에서 언급한 "재무부 주소"가 존재하지 않을 가능성이 있음을 나타내며, TKFsCN과 TKKj8G를 포함한 주소 집합은 미얀마 북부 또는 캄보디아에 위치한 디지털 화폐 환전업체에 속하며, 어떤 이유로 인해 이러한 금액을 대신 수령하고 있음을 시사합니다.

비정상 거래

이상의 내용을 종합하면, 조사자들은 동남아시아 지역에서 불법적인 일을 하는典型적인 지불자 이미지를 그릴 수 있습니다. 어떤 이유로 인해 특정 수금 주소에 50만 인민폐에 해당하는 USDT를 지불해야 했습니다. 이는 최초 거래이기 때문에 주소 오류를 방지하기 위해 대량 송금 전에 소액 테스트를 진행했습니다. 그리고 지불에 사용된 암호화폐는 그들의 기존 불법 소득에서 나왔거나 다른 불법 실체로부터 구매한 것일 수 있습니다.

하지만 모든 지불자가 이러한 특성을 가진 것은 아닙니다. 조사자들은 또한 이러한 특성과 일치하지 않거나 완전히 일치하지 않는 주소를 발견했습니다. 예를 들어 TYU5acSGRwsYJfBhdpQc3broSpfsjs8QFF 주소는 앞서 언급한 7개의 직접 관련 주소 중 하나로, 다른 6개 주소는 TKFsCN에 각각 50만, 50만, 100만, 100만, 270(150 + 120)만, 55만 인민폐의 암호화폐를 송금했지만, TYU5ac의 송금 금액은 동일한 환율로 환산하면 136만 인민폐가 되며, 비록 정수이지만 이 특별한 금액은 여전히 다른 주소와는 다릅니다.

조사자들은 그 이유를 알 수 없으며, 해당 주소에서 소액 테스트 행동이 존재하는 점을 고려할 때, 합리적인 추측은 해당 주소 뒤의 거래가 3건의 50만 인민폐의 합병 송금을 나타내며, 10%의 할인을 받았다는 것입니다.

결론

본 문서는 공개된 주소에 대해 주소 자금 수입 및 지출 규칙, 주소 자금 출처 위험, 관련 주소 활동에 대한 심층 분석을 수행하고, 관련 분석 내용을 공개했습니다. 주요 결론은 다음과 같습니다:

1. 해당 분석 대상 주소가 수취한 거래의 절반 이상이 인민폐 단위로 결제되고 있으며, 50만, 100만, 150만의 환산 금액이 주요한 위치를 차지하고 있습니다;
2. 해당 분석 대상 주소로 송금한 거래 상대방 주소는 검은 산업, 도박, 사기, 세탁, 위험 결제 등 활동과 밀접하게 연관되어 있습니다;
3. 대상 주소 및 그 관련 주소는 이러한 자금을 집중적으로 수취하기 전에 이미 위험 비즈니스 활동의 흔적이 존재하며, 해당 분석 주소에 대한 클러스터 분석 결과, 이 클러스터는 汇旺担保의 특정 상인으로 의심됩니다;
4. 해당 분석 대상 주소에 대한 지불을 시작한 상대방 주소는 미얀마 북부 또는 캄보디아 지역의 불법 인물들과 밀접하게 관련되어 있습니다.