真真假假,鏈上視角看緬北同盟軍「勒索」地址
本文由 Bitrace & MistTrack 共同對已披露地址進行加密資金分析,包括:地址資金收付規律、地址資金來源風險、關聯地址活動等,旨在對相關分析內容進行披露。^撰文:慢霧、幣追團隊^
背景
2024 年 1 月 16 日,有博主在中文社交平台爆料稱,緬甸同盟軍疑似向滯留緬甸的電詐產業從業者強行收取高額加密貨幣,並展示了聲稱被用於收款的加密貨幣地址,目前該爆料已經在網絡中形成了較為廣泛的傳播。
本文由 Bitrace \& MistTrack 共同對已披露地址進行加密資金分析,包括:地址資金收付規律、地址資金來源風險、關聯地址活動等,旨在對相關分析內容進行披露。
地址行為分析
(https://mp.weixin.qq.com/s/WDWM22vw68-NsVr0_1jHfA)
上圖為爆料文章中的信息,基於此,研究人員對已披露的收款地址 TKFsCN 進行了 USDT 匯率分析,嘗試通過某些特定金額的 USDT 收款反推出背後的結算單位。
收款地址的歷史交易記錄顯示,該地址所接收的 USDT 單筆交易存在大量非整十、整百數額,例如 71417、42857 等數字,這常見於交易是以非美元作為結算單位的情形。而在嘗試用各主流法幣兌 USDT 匯率進行計算之後,研究人員發現這些交易疑似是以 1 USD : 7-7.2 RMB 的匯率在進行結算,並且單次資金轉入數額在人民幣數額 50-60 萬、100 萬整、150 萬整的幾個區間出現聚類現象。
在過濾掉數額 100 USDT 及以下的交易後,經統計,在 TKFsCN 總計 307 筆 USDT 轉入金額中,有 193 筆為人民幣兌美元匯率的金額轉入,交易數量占總數的 62.86%,交易金額占總數的 45.29%。
這表明該地址所收取超過一半的交易都是以人民幣為單位進行結算的,且換算金額為 50 萬的轉入佔據主要地位。支付 USDT 的一方應當是中國人。
資金來源分析
原文中提到,「佔領老街以後也是到處抓(筆者注:電詐產業從業者)中國人,願不願意交錢自保,交錢的可以送走,不交錢的就送中國」,如果屬實,TKFsCN 的交易中應該存在大量新增交易對手方,且資金部分來源於灰黑產、洗錢、欺詐等相關地址。
數據顯示,在 2023 年 10 月 22 日至 2024 年 1 月 2 日之間,TKFsCN 共接收來自 182 個直接交易對手方的 USDT 轉帳,其中 117 個地址出現了小金額 + 大金額的連續兩筆轉帳特徵。這是一種典型的轉帳測試行為,付款方為確認地址正確而不選擇一次性轉移完畢,這表明至少 62.29% 的交易對手方都可能是初次轉帳,並非 TKFsCN 的固定交易夥伴。
而對 TKFsCN 更深入的地址風險資金審計則表明,向該地址轉帳的交易對手方與黑灰產、網絡賭博、欺詐、洗錢、風險支付等活動存在密切關聯。在 182 個直接轉入方中,高達 42% 為風險活動關聯地址,向 TKFsCN 轉入了價值 33,523,148 美元的 USDT。
(圖片來自 MistTrack 與 BitracePro)
值得注意的是,在這批風險活動關聯地址中,調查人員還找到了 7 個明確與已知刑事案件相關的地址,包括兩起洗錢案、一起欺詐案、一起網絡賭博案、一起電話詐騙案,且嫌疑人的地理位置均在緬北或柬埔寨。
這表明向 TKFsCN 發起支付的對手方地址,不僅僅涉及大量風險加密活動,還與東南亞地區的不法分子密切相關。
另有奇怪的一點是,調查人員還在轉出地址找到了個關聯到電信詐騙案的洗錢地址,說明部分轉出地址的資金流向上溯源分析同樣存在一定的疑點。該疑點將在下文「關聯地址分析」部分做非敏感拓展。
關聯地址分析
根據上述 TKFsCN 地址做聚類分析發現,該地址與近一百個地址疑似存在主體聚類關係,其中部分地址不僅出現了與 TKFsCN 類似的資金收付活動,還透露出更多收款方的信息,以收款方 TKKj8G 為例:
- TKKj8G 直接收取了 6 筆來自 TKFsCN 總計超過 460 萬 USDT 的資金,是收款方後續資金鏈路中的歸集地址之一;
- TKKj8G 是核心的收款地址之一,在金額超過 100 USDT 的 60 筆收款中,高達 50 筆收款存在與 TKFsCN 雷同的小額測試行為;
- TKKj8G 在 2023 年 8 月 18 日就開始活躍,遠早於其他地址,且在此期間與匯旺擔保存在交易行為 ------ 從匯旺擔保地址接收 16 萬 USDT,行為上分析為匯旺擔保的商戶從匯旺擔保處取回押金。
這表明原文所說的「財經部地址」可能並不存在,包括 TKFsCN 與 TKKj8G 在內的地址集應當隸屬於某個位於緬北或柬埔寨的數字貨幣承兌商,出於某種原因代為收取這些款項。
異常交易
綜上所述,調查人員們不難勾勒出一個典型的支付方畫像------在東南亞地區從事非法工作,出於某個原因不得不向某個代收地址支付價值 50 萬元人民幣的 USDT。因為是首次交易,為防止地址錯誤而在大量轉入前進行了小額測試。而用於支付的加密貨幣,或是來自其原有的非法所得,或是購買自其他非法實體。
但並非所有支付方都是如此,調查人員同樣發現了一些不符合或者不完全符合這類特徵的地址,以 TYU5acSGRwsYJfBhdpQc3broSpfsjs8QFF 為例,該地址是前文所述的 7 個直接涉案地址之一,其他 6 個地址分別向 TKFsCN 轉移了價值 50 萬、50 萬、100 萬、100 萬、270 (150 + 120) 萬、55 萬元人民幣的加密貨幣,但 TYU5ac 的轉帳金額按照同等匯率換算為 136 萬元人民幣,儘管是整數,可這一特別的金額仍然迥異於其他地址。
調查人員無從得知其中原因,考慮到該地址存在小額測試行為,一種合理的猜測是,該地址背後的交易代表了 3 筆價值 50 萬人民幣的合併轉帳,並獲取了 10% 的折扣。
總結
本文對已公開地址從地址資金收付規律、地址資金來源風險、關聯地址活動進行了深度分析,並對相關分析內容進行了披露。主要結論如下:
- 該分析目標地址所收取超過一半的交易都是以人民幣為單位進行結算的,且換算金額為 50, 100, 150 萬的轉入佔據主要地位;
- 向該分析目標地址轉帳的交易對手方地址,與黑灰產、網絡賭博、欺詐、洗錢、風險支付等活動存在密切關聯;
- 目標地址及其關聯地址在密集收取這類資金前,就已經存在風險業務活動痕跡,對該分析地址進行聚類分析後發現,該聚類疑似匯旺擔保的某個商戶;
- 向該分析目標地址發起支付的對手方地址,與緬北或柬埔寨地區的不法分子密切相關。
