個人資料
文章分類
正文

如何通過加密貨幣流為奴役提供資金?殺豬盤的經濟學 (Griffin, John M. and Mei, Kevin)

(2024-03-02 13:49:03) 下一個

如何通過加密貨幣流為奴役提供資金?殺豬盤的經濟學*

約翰·M·格裏芬†       凱文·梅‡

*Translated by Genimi and ChatGPT, 圖表和引用文獻省略, 請參考以下文獻。

Griffin, John M. and Mei, Kevin, How Do Crypto Flows Finance Slavery? The Economics of Pig Butchering (February 29, 2024). Available at SSRN: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4742235

2024 年 2 月 29 日

摘要

通過“殺豬盤”受害者使用的區塊鏈地址,我們追蹤了加密貨幣流並揭露了詐騙者通常用來混淆其活動的方法,包括多次交易、通過 DeFi 智能合約在加密貨幣之間進行互換以及跨區塊鏈橋接。犯罪分子可以自由地與主要加密貨幣交易所互動,發送超過 104,000 筆潛在的誘導性小額付款以建立受害者的信任。資金大量退出加密貨幣網絡,主要以 USDT 的形式通過透明度較低的頭部交易所(幣安、火幣和 OKX)流出。這些犯罪團夥支付的交易費用約為 87 個基點,並且最近似乎已將至少 753 億美元轉移到可疑的交易所存款賬戶,其中包括來自美國投資者常用交易所的 152 億美元。我們的研究結果強調了 “信譽良好的” 加密貨幣行業如何為大量犯罪資金流提供常見的入口和出口點。我們希望這些發現能幫助闡明並最終阻止這些令人發指的罪行。

 

 本文獻給所有殺豬盤受害者,包括被欺詐和被奴役的人,尤其是促使我們撰寫本文的受害者。我們感謝 David Dicks、Gleb Domnenko、Cesare Fracassi、Sophia Hu、Brandon Kirst、Samuel Kruger、Alex Pettyjohn、Alex Priest、Marius Ring、Amin Shams、Michael Sockin、Qinxi Wu以及貝勒大學、Integra FEC、羅切斯特大學、德克薩斯大學奧斯汀分校和德克薩斯大學達拉斯分校的研討會參與者的寶貴意見。我們感謝 Juan Antonio Artero Calvo、其他研究助理,尤其是 Joseph Newcomer 提供的出色編程幫助。我們感謝 Jan Santiago、Raymond Hantho、鏈捕 (Chainbrium) 和美國和平研究所 (USIP) 提供作為 USIP 白皮書的一部分收集的地址。我們進一步感謝 Integra FEC 提供其批量追蹤工具並提供大量加密貨幣研究支持。格裏芬是 Integra FEC 和 Integra 研究集團的所有者,這兩家公司從事與調查金融欺詐相關的各種問題的金融谘詢、研究和追回工作。

 † 德克薩斯大學奧斯汀分校麥克康姆斯商學院

‡ 德克薩斯大學奧斯汀分校麥克康姆斯商學院


加密貨幣的友誼或浪漫騙局激增。隨機社交媒體或短信嚐試發展網絡關係現在已變得司空見慣。在某些情況下,友好的關係會慢慢演變成“殺豬盤”或“沙豬盤”等徹頭徹尾的騙局,這些騙局在極端情況下會讓孤獨、生病和痛苦的受害者(通常對投資和加密貨幣知之甚少)血本無歸。盡管這些騙局性質各異,但其根源往往更加黑暗,因為進行交流的人力通常被奴役在據信關押 22 萬名受害者的東南亞營地。本文將研究這些犯罪組織如何通過加密貨幣獲得資金。

犯罪網絡如何利用加密貨幣轉移受害者的資金?
資金如何進入網絡?
資金流向何處?
采用了哪些混淆方法?
此類活動有多普遍?
如何阻止它?
資金流是組織犯罪的命脈,為當前和未來的非法活動提供資金。如果非法資金流不斷增長且不受幹擾,那麽犯罪網絡將繼續擴大。考慮到這一點,國際金融體係已經製定了一個框架,包括“了解您的客戶 (KYC)”和“反洗錢 (AML)”規定,以打擊跨國組織犯罪的融資活動。然而,隨著比特幣和其他加密貨幣的出現,這些貨幣旨在創建一個匿名的替代金融體係,犯罪網絡現在有了新的途徑來逃避檢測和資金查封。然而,加密貨幣很少被用作購買商品和服務的交換媒介,因此通常需要將其兌換成法定貨幣(例如美元)然後再兌換回法定貨幣。進入和退出加密貨幣生態係統的入口和出口通常是加密貨幣交易所,這些交易所也聲稱遵守旨在減輕非法資金流動的國際法律。
盡管加密貨幣旨在匿名,但交易在區塊鏈上的清算方式提供了一個分類帳,可以跟蹤資金的流動。因此, 交易雖然在某種程度上是匿名的,但通過應用算法和投入大量精力,通常可以確定資金的流向:資金進入何處,如何在不同加密貨幣之間流動、交換,以及如何退出加密貨幣生態係統。
我們利用來自殺豬盤受害者報告的數據來確定詐騙者引導受害者發送資金的加密貨幣地址。我們從 3,256 個以太坊地址、770 個比特幣地址和 702 個波場 Tron 地址開始分析。大多數地址被使用 10 次或更多次,其中 28% 的地址被使用超過 100 次。在這些初始集合中,以太坊地址接收的資金為 58 億美元,而波場 Tron 為 3.89 億美元,比特幣為 3.73 億美元。由於以太坊地址約占總資金的 88%,我們首先通過檢查以太坊區塊鏈上的以太幣 (ETH,以太坊的原生加密貨幣) 和代幣 (通常稱為 ERC-20 代幣) 交易開始。
我們主要方法是跟蹤進入和退出詐騙者地址的資金流,並應用詳細的批量追蹤算法來跟蹤在以太坊區塊鏈上交易的 ETH 和 ERC-20 代幣的路徑, 基於一位來自美國的不幸受害者的區塊鏈信息,該受害者損失了退休金和大約 46.5 萬美元的畢生積蓄,我們首先展示他們的資金如何以 ETH、USDC 和比特幣的形式離開其交易所錢包,被轉發到另一個地址,然後使用一個相對模糊的去中心化交易所 Tokenlon 兌換成其他代幣。這位受害者資金的模式與詐騙網絡連接的許多其他相鄰節點和許多其他報告的受害者案例驚人地相似。

我們批量追蹤受害者資金,並跟蹤其路徑到 2020 年 1 月至 2024 年 2 月的中心化交易所存款地址。圖 1 繪製了追蹤網絡中 3% 樣本節點的結果網絡,並突出顯示了許多特征。首先,該圖顯示了加密貨幣通常如何源自大型交易所,投資者通常會在這些交易所購買加密貨幣賬戶(Coinbase、Crypto.com 和 Binance)並流入網絡。其次,資金經常通過 Tokenlon 換取泰達幣(稱為 USDT)。第三,在網絡中經過各種跳躍後,加密貨幣通過中心化交易所存款地址退出係統。第四,金額超過10萬美元,特別是100萬美元的交易通常將資金轉移到Binance、Huobi 和 OKX 上的存款地址。

 

圖 1. 報告地址和追蹤資金的網絡圖 (以後的圖表略去,請參考英文)

該圖顯示了資金流,遵循從部分報告的詐騙者地址移動的軌跡。向上凹的邊代表從左向右移動的流量(例如,曲線移動得好像從 9 點鍾到 3 點鍾)。類似地,向下凹的邊代表從右向左移動的流量(例如,從 3 點鍾到 9 點鍾)。節點按標識符著色,如下麵的圖例所述,其大小與交易總額成比例。邊的顏色由交易大小和標識符決定。綠色邊代表來自交易所的交易,藍色和紫色邊代表到交易所的交易。進入或離開顏色較深的交易所的邊代表更大金額的交易。除了交易所之外,任何給定節點都與其交易最多的其他節點的位置最接近。為了簡潔起見,這裏描繪的節點數量僅占追蹤節點總數的 3%。該樣本是通過隨機選擇一組種子節點,然後從以前的交易所隨機選擇連接這些種子節點到存款地址的路徑來收集的。

 

在所有交易所中,騙子網絡發起了104,460筆向中心化交易所的存款,金額低於10,000美元,最常見的是小額存款,聚集在100美元、200美元或500美元等整數附近。交易模式反映了豬屠宰騙局中誘因支付的特征,這是騙子向受害者發送的小額支付,用於建立信任。其中,31,980筆交易發送到西方交易所的存款地址,包括 Coinbase(15,249筆)和 Crypto.com(15,433筆),而其餘的集中在 Binance、Huobi 和 OKX 上。我們發現有83%的潛在誘因支付來自用於超過十次交易的地址,表明加密貨幣交易所的監控有限。

由於騙子不太可能返還被盜的大額資金,我們認為接收超過10萬美元的存款地址更有可能是騙子的存款地址。這些地址很少與西方交易所有關,但在Binance、Huobi 和 OKX 以及諸如 Kucoin、Bitkub 和 MXC 的交易所中很常見。這些交易所的共同特點是它們的KYC程序較為寬鬆,並被認為在美國的法域之外。為了更全麵地了解網絡的範圍,我們應用了“存款地址聚類“,通過追蹤將資金發送到這些存款地址的地址,並找到與同一用戶相關的其他受款存款地址。為了避免捕捉到由犯罪分子支付的誘因等款項支付,我們排除所有低於10萬美元的連接,隻考慮直接連接。使用這種方法來鏈接可能由騙子控製的額外存款賬戶,我們發現截至2024年2月,通過這些地址流入的基於以太坊的資金總額為753億美元。這個總額的一部分可能捕捉到與其他相關網絡互動的資金,然而,額外的穩健性分析表明這可能是一個保守的下限估計,總規模可能要大得多。

在追蹤被騙資金的過程中揭示的網絡之後,我們還從存款地址向後追蹤,找到資金流動的最大來源。然後,我們收集正向追蹤和反向追蹤中的所有節點,並發現過去四年中來自五家西方交易所的資金總額為152億美元,來自潛在受害者的超過125萬筆交易,平均每筆交易超過12,000美元。由於我們的追蹤過於保守,以避免潛在的錯誤追蹤路徑,這可能低估了來自西方加密貨幣交易所的資金規模。

在追蹤路徑中,我們觀察到網絡圖的許多獨特特征,揭示了浪漫騙局和洗錢者的運作方式。騙子廣泛地在不同的地址和加密貨幣之間循環和交換資金。這些交易會產生成本,但可能有助於混淆他們資金的真實來源。我們估計,作為流向交易所存款地址的資金的一部分,這一規模的網絡的交易成本總計為87個基點。相比之下,Soudijn 和 Reuter(2016)發現將歐洲的實體歐元紙幣從歐洲運往哥倫比亞的成本為7-16%,而洗錢委員會的估計範圍為4-12%(美國財政部,2002年)和10-20%(美國財政部,2007年)。因此,加密貨幣似乎是跨境轉移非法資金的更為經濟有效的途徑。總體而言,自2022年以來,騙子的交換交易可能構成Tokenlon交易的58%以上。我們觀察到2020年潛在的中國受害者有大量資金流入;然而,在中國金融當局於2021年底禁止加密貨幣交易之後,中國受害者似乎急劇減少,轉向美國受害者。總體而言,在犯罪分子觸及的地址集中,我們發現1.172萬億美元的交易量,其中84%為泰達幣。

作為安慰劑測試,我們將殺豬盤地址的跟蹤分析與網絡釣魚詐騙地址進行比較。殺豬盤網絡的交易規模更大,收到的資金也比網絡釣魚詐騙更多。網絡釣魚詐騙中的交易更多地使用 ETH,並流向 Uniswap、Kucoin 和 Binance。這也突出了一種方法,可以將其應用於其他犯罪加密貨幣領域。我們還追蹤了 770 個比特幣地址,發現比特幣詐騙網絡將詐騙資金轉移到 Tokenlon、Binance、Huobi 和 OKX。我們從比特幣追查到以太坊區塊鏈,發現 78% 的比特幣跨鏈路徑與我們的以太坊追查路徑相交,進一步表明以太坊網絡在犯罪活動中的重要性。我們發現詐騙者節點的網絡高度連通,這可能表明存在廣泛使用的服務,為極其龐大和可能相關的犯罪網絡轉移資金。

我們希望這項研究以及其他研究人員和實踐者的研究能夠揭露加密貨幣如何資助這些黑暗活動。? 該項目強調了大規模追蹤汙染資金如何幫助揭露和理解犯罪金融活動,該活動有望在其他犯罪背景下用作路線圖。

我們的研究還有其他幾個實際意義。首先,組織或“合法” 的加密貨幣交易所充當數十億犯罪收益的進出通道。擁有加密貨幣交易所賬戶的用戶應該意識到,加密貨幣交易所用戶經常成為詐騙的目標,他們的資金隻需快速轉賬就會不可挽回地丟失 - 這是傳統投資賬戶遠不常見的風險。其次,我們的研究結果表明,加密貨幣領域的大玩家可能沒有足夠保護客戶免受詐騙。第三,以太坊網絡似乎大幅降低了跨國組織犯罪的非法資金流動的壁壘。第四,浪漫騙子更喜歡將穩定幣 Tether 用於其他加密貨幣,並且更喜歡以太坊網絡而非比特幣。第五,去中心化交易所也作為大型兌換點來兌換加密貨幣並混淆資金。聲稱從事“套利”或“流動性交易”(普華永道,2023 年)的加密貨幣對衝基金和用戶(許多位於美國和歐洲),可能隻是通過促進低成本洗錢來獲利。最後,位於監管環境不透明的司法管轄區的大型中心化加密貨幣交易所(Binance、Huobi、OKX 等)似乎是更優的潛在退出點,可以進一步資助大量犯罪活動。盡管最近采取了嚴厲措施,但截至 2024 年 2 月 16 日,此類活動仍在繼續。

1 相關文獻和殺豬盤與加密貨幣的背景

1.1 相關文獻
我們的論文涉及三個主要的文獻領域。首先,越來越多文獻研究了加密貨幣領域的黑暗市場活動。Meiklejohn 等人 (2013) 展示了如何使用聚類算法識別比特幣交易,這些交易將資金轉移到絲綢之路 (Silk Road) 上,這是一個於 2011 年至 2013 年運營的黑市市場。Foley 等人 (2019) 發現,從 2009 年 1 月 3 日到 2017 年 4 月 20 日,46% 的非交易所相關比特幣活動與暗網網站有關。他們估計,2700 萬比特幣用戶每年進行 760 億美元的活動,據估計是美國毒品貿易規模的四分之三。然而,Makarov 和 Schoar (2021) 使用更保守的假設來解釋潛在的重複計數,並發現從 2015 年到 2021 年更近的時期,非法活動、詐騙和賭博占比特幣交易量的不到 3%。2020 年,他們估計超過 50 億美元用於黑暗市場活動、在線賭博、與比特幣混合器相關的活動和詐騙。Cong 等人 (2023b) 檢查了涉及性勒索、 blackmail 詐騙和勒索軟件的 21,650 個地址。雖然勒索軟件沒有被充分報告,但他們顯示 43 個勒索軟件團夥從 2019 年 5 月到 2021 年 7 月實施了 2,690 次攻擊。Amiran 等人 (2022) 研究了加密貨幣在恐怖主義融資中的作用。學術文獻主要關注比特幣的黑暗市場活動。相比之下,我們詳細描述了以太坊上的活動性質,包括代幣之間互換和多次交易等技術,看似可以逃避檢測。由於我們隻關注網絡中用於一種方案的資金,並且我們追蹤的資金比 2020 年比特幣黑暗市場相關的資金更大 (Makarov 和 Schoar, 2021),因此以太坊上的犯罪活動數量可能比以前估計的高出許多倍。我們還通過展示如何批量追蹤流經網絡的多個資金流(包括從比特幣到以太坊的資金流)來幫助提供更完整的更廣泛加密貨幣網絡地圖,從而做出了方法論貢獻。

其次,越來越多的文獻涉及其他類型的加密貨幣惡意交易活動,包括價格操縱、 pump-and-dump 計劃和清洗交易。Cong 等人 (2023a) 研究了常見的加密貨幣詐騙,包括投資、ICO、rug pull、網絡釣魚、 blackmail 和龐氏騙局。Gandal 等人 (2018) 展示了 2014 年比特幣的價格操縱行為。Griffin 和 Shams (2020) 顯示,比特幣價格通過部分未得到支持的 Tether 印刷向上操縱,這幫助推動了 2017 年和 2018 年比特幣和其他加密貨幣的價格上漲。Li 等人 (2018) 和 Hamrick 等人 (2021) 提供了詳細證據證明加密貨幣代幣的 pump-and-dump 計劃。Phua 等人 (2022) 估計來自 5,935 個 ICO 的 38.7% 或 120 億美元資金可能是騙局。Pennec 等人 (2021) 和 Cong 等人 (2023b) 研究了加密貨幣清洗交易。Cong 等人 (2023b) 表明,清洗交易占了數萬億美元的虛假交易和超過 70% 的中心化交易所交易量,不同交易所的比例各異。

第三,我們為有關犯罪團夥的文獻做出貢獻。在對文獻的調查中,Levi (2015) 指出,缺乏獲得資金的途徑以及合法和非法經濟之間幾乎沒有重疊,使得犯罪企業依賴利潤再投資才能增長。El Siwi (2018) 指出,認識到“金錢是犯罪團夥的命脈”導致意大利采用了反洗錢 (AML) 製度。Conrad 和 Meyer (1958) 展示了奴隸製的強大經濟利益意味著如果沒有政治幹預,這種活動可能會持續下去。犯罪團夥經常購買合法企業進行洗錢 (Mirenda 等人,2022) 或利用現金和各種空殼公司來混淆進入銀行係統的交易。總而言之,考察傳統銀行係統或通過現金轉移的犯罪資金流主要局限於已起訴的案件記錄.
1.2 殺豬盤的背景
愛情騙局和相關的友誼騙局以各種形式出現。在本節中,我們將描述紀錄片、調查報告和在線博客討論的常見變種。愛情騙局通常以看似隨機的消息開始,例如短信、WhatsApp 消息或社交媒體平台上發送給錯誤收信人的消息。詐騙者尋找孤獨、正經曆艱難時期(例如醫療狀況或離婚)且擁有足夠現金的受害者。首先,存在一個建立友誼或信任的階段,通常跨越數月,也可能包括浪漫潛力的錯覺。在詐騙者贏得受害者信任後,投資話題將會出現。受害者通常對加密貨幣幾乎沒有了解,他們將被鼓勵在合法且知名的加密貨幣交易所開設賬戶,受害者可以核實、信任並輕鬆將資金轉移到該賬戶。詐騙者會聲稱自己在另一個看似專業的平台上擁有優勢,並鼓勵受害者將加密貨幣資金轉移到提供的加密貨幣地址;但是,這個第二個平台是假的或欺騙性的,加密貨幣地址實際上歸詐騙者所有。在虛假平台上,看起來受害者會迅速獲得巨額回報。通常會鼓勵受害者將資金從該平台提取回合法加密貨幣交易所的原始賬戶以建立信任。這被稱為誘導支付,因為它誘使受害者發送更多資金。通過這個過程,詐騙者可以利用加密貨幣作為一種可行的新技術以及連接傳統金融係統和加密貨幣生態係統的基礎設施來輕鬆轉移資金,從而從中獲利。一旦受害者更確信投資機會是真的,他們往往會投入更大的資金。一些受害者耗盡了他們的儲蓄和投資賬戶,借貸至信用卡額度上限,支付罰款以轉換退休金,向朋友和家人借錢,或者為房屋再次抵押貸款。在受害者尋求提取資金的最後階段,他們通常會被要求在提取資金之前支付虛構利潤的“稅費”。ultimately 騙局不會結束,直到受害者切斷聯係,或者詐騙者確信受害者已經彈盡糧絕。詐騙者有時會引導受害者度過財務損失。

殺豬盤是一種具有全球影響力且在許多國家擁有大量舉報受害者的騙局。美國聯邦貿易委員會 (FTC) 表示,2022 年美國報告了近 70,000 起愛情騙局受害者,損失金額為 13 億美元。在全球範圍內,由於大多數消費者欺詐受害者不會向執法部門舉報,因此案件可能嚴重漏報,全球估計值的差異凸顯了這些活動規模的不確定性。殺豬盤依賴於更黑暗的犯罪。許多基層犯罪者本身就是人口販賣和現代奴役的受害者。被高薪工作的前景所吸引,人們會前往柬埔寨、老撾、緬甸、泰國和菲律賓等國家 (聯合國,2023 年)。他們的護照被沒收,他們被迫每天在圍牆的院子裏工作 12 個小時以上。高級工人通常沒有被奴役,但他們也可能麵臨風險。據報道,在柬埔寨,關押大量奴隸的人員之一的建築物靠近一個警察局,該建築物的負責人是該國最富有的商人之一,與柬埔寨首相有政治聯係。目前尚不清楚有多少人被關押在這種條件下,一些估計數字將柬埔寨和緬甸的人數定為 220,000,其他估計數字則高達東南亞的 500,000。許多犯罪者被認為與“佤邦人民軍”有聯係,“佤邦人民軍”是“東南亞最強大的販毒組織”,也是中國當局近期打擊的目標(所羅門,2023 年)。詐騙操作的變種似乎在世界範圍內越來越流行。例如,在尼日利亞,據報道多達“數十萬”年輕人從事愛情騙局,被稱為“雅虎男孩”(巴拉甘,2023 年)。

1.3 加密貨幣流和關鍵定義的背景

首次使用加密貨幣的用戶通常會通過中心化交易所訪問該生態係統,該交易所的功能類似於典型的零售經紀商。提供給美國客戶的熱門交易所包括 Coinbase 和 Crypto.com。其他曆史悠久的亞洲熱門交易所包括幣安 (Binance)、火幣 (Huobi) 和 OKX。用戶可以使用將加密貨幣交易所連接到銀行係統的傳統金融基礎設施為他們的賬戶注資。交易所將新資金記入用戶賬戶,但仍將其存儲在中心化交易所錢包中。用戶可以在其指定中心化交易所的生態係統內完全交易加密貨幣。整個過程都是在 “鏈下” 發生,或者僅在加密貨幣交易所的記錄中發生。如果用戶嚐試將加密貨幣發送到交易所之外的另一個實體,他們必須提供接收地址,類似於傳統銀行轉賬。交易所將扣除用戶的賬戶並使用中央交易所錢包完成交易。

用戶還可以從中心化交易所將代幣從他們控製的外部地址轉移到外部地址,或者直接從交易所轉移到另一個交易所上其他用戶的賬戶。外部地址可以將加密貨幣轉移到其他地址,包括智能合約。例如,最常見的合約類型之一是互換,通過 Uniswap 等服務將一種類型的 ERC-20 代幣換成另一種 ERC-20 代幣。Cong 和 He (2019)、Harvey 等人 (2022) 和 Makarov 和 Schoar (2022) 描述了智能合約和去中心化金融領域的各個方麵。地址之間的交易記錄在區塊鏈上。重要的是,如果加密貨幣用戶打算在現實世界的法定經濟體中花費他們的加密貨幣,代幣通常需要通過中心化交易所離開區塊鏈。例如,要在幣安將以太坊轉換成美元,用戶需要創建一個幣安賬戶,驗證他們的身份,並生成一個以太坊區塊鏈存款地址,該地址與其幣安賬戶唯一綁定。然後,發送到該地址的任何資金都將記入他們的幣安賬戶。

2 數據和方法

在本節中,我們首先討論用於識別詐騙者地址的數據。然後,我們描述跟蹤資金的方法,討論相關的區塊鏈細節,並為我們的方法提供依據。第三部分描述了來自單個受害者報告的兩個詐騙者地址的跟蹤,第四部分提供了所有報告的詐騙者地址的匯總統計數據。

2.1 數據

我們對網絡的理解依賴於三種主要類型的數據:受害者對殺豬盤的報告數據、區塊鏈交易級別數據和區塊鏈地址身份數據。我們從在線留言板、專門的加密貨幣詐騙報告網站和第一手個人賬戶中收集了總共 1,065 個地址。此外,美國和平研究所 (USIP) 分享了一組用於殺豬盤騙局的大量其他地址。我們通過 Etherscan 上收集的信息進行篩選,以刪除任何可能與殺豬盤無關的地址。最終數據集包括 4,728 個據報告與殺豬盤詐騙者相關的地址(以太坊上的 3,256 個、比特幣上的 770 個和波場鏈上的 702 個)。

我們使用交易級別數據來識別比特幣和以太坊區塊鏈上的資金流動。每個交易的數據字段包括交易哈希(或唯一標識符)、發送地址、接收地址、正在交易的代幣、時間戳和轉移的代幣數量。我們還使用來自 CoinMarketCap.com 的代幣價格信息將數量轉換為美元價值,使用比特幣、以太坊和 Wrapped Bitcoin 等貨幣的當天收盤價。我們從 Etherscan.com(此類數據最流行的來源)收集有關地址哈希和代幣哈希的加密貨幣身份數據。我們通過 Ciphertrace 和網絡搜索進行補充說明。

2.2 追蹤方法

我們的第一次分析通過跟蹤不同地址之間資金的流動來追蹤資金流向。此過程首先識別所有已進入或退出報告的詐騙者地址的資金(這些是受害者被指示發送其加密貨幣的地址),然後跟蹤被汙染資金的路徑。我們使用 Integra FEC 開發的 Ether、ERC-20 代幣和比特幣批量追蹤工具的變體來同時追蹤多個路徑。我們的方法設計上並不是捕獲所有流量,而是專注於捕獲極有可能由詐騙者控製的流量。此工具包含專有標準,如果資金到達不太可能是詐騙者的地址,則會終止追蹤路徑。我們追蹤進入詐騙者地址的所有以太坊和代幣,並遵循追蹤路徑,直到滿足以下任何終止條件:(i) 路徑遇到已識別的交易所錢包;(ii) 路徑達到五跳;或 (iii) 路徑到達似乎參與任何其他類型非殺豬盤活動的地址。第一個標準會終止跟蹤任何已識別的交易所錢包,並確保我們不會跟蹤離開交易所的虛假流量。此篩選是最常觸發的標準,因此我們將我們的結果解讀為描述資金如何進入交易所。

2.3 受害者報告的詐騙者地址和網絡示例

我們首先檢查與一位受害者相關的加密貨幣流,該受害者向我們講述了他的故事和加密貨幣信息,希望能幫助他人。受害者大約 60 歲男性。在建立關係後,詐騙者指導他完成投資過程,包括為其交易所賬戶注資並向虛假交易所轉賬約 70,000 美元的比特幣、25,000 美元的以太坊和 370,000 美元的 USDC。總而言之,這位勤奮儲蓄的中產階級受害者損失了他的退休金和大約 465,000 美元的畢生積蓄。圖 2 報告了以太坊網絡上受害者報告地址周圍的加密貨幣流細節。紅色和深紅色節點是受害者報告的地址。離開 Coinbase 的藍色和灰色線條表示受害者以 USDC 和以太坊發送了資金。然後在 Tokenlon 進行互換。Tokenlon 是新加坡一家相對默默無聞的去中心化交易所,作為其他互換服務的包裝。為了進一步了解這個網絡,我們追蹤詐騙者地址並遵循他們的路徑。我們發現許多其他資金路徑退出 Coinbase 和 Crypto.com 後很快就會被定向到深紅色節點,通常在 12 小時內完成。每次轉賬還需要支付以太坊的交易費用,稱為 Gas 費。深紅色節點似乎為上遊節點提供以太坊,稍後用於支付 Gas 費。大多數追蹤路徑也指向 Tokenlon,在那裏 USDC 或以太坊經常被換成 USDT 或 DAI。DAI 的一個有趣之處在於它被認為不受執法部門的控製。被騙資金經常在許多節點之間循環。最終,大多數資金都以 Tether 的形式進入幣安,大量交易也進入 OKX 和火幣。較小的金額會到達 Coinbase 和 Crypto.com。正如我們稍後將看到的,這些向 Coinbase 和 Crypto.com 的大多數付款都符合誘導支付的特征。

2.4 報告的詐騙者地址

圖 3 顯示了符合上述標準的受害者報告的 3,256 個以太坊地址、702 個波場鏈地址和 770 個比特幣地址。值得注意的是,受害者可能在同一份報告中包含多個地址,例如詐騙者向受害者提供不同地址的情況。橫軸是節點的總交易次數,縱軸是總美元流入量。大多數節點的流入量在 10,000 美元以上,1,000 萬美元以下。根據我們對報告的詐騙者地址的調查,在所有可能的加密貨幣中,活動集中在以太坊和以太坊內的一些 ERC-20 代幣上,包括 Tether、USDC、DAI 和 Wrapped Bitcoin。其他代幣偶爾會進行交易,但除非另有說明,否則我們關注這些加密貨幣。一些以太坊地址的使用次數不到十次,而大多數地址的使用次數超過二十次。比特幣地址通常流動的資金總量較少,交易次數也略少。波場鏈地址的交易次數比比特幣地址多,但每個交易的美元價值較低。交易所將停止流出到已知與犯罪活動相關的地址,但一些客戶可能也不希望交易所監控他們的活動。如果交易所監控流入和流出,詐騙者可能會選擇使用新的地址。地址被如此頻繁地使用這一事實表明,監控過程並不健全,並且詐騙者對交易所禁止此類活動並不太擔心。以太坊的總金額為 58.35 億 美元,波場鏈為 3.89 億 美元,比特幣為 3.73 億 美元。表格 I 顯示了以太坊詐騙者地址的匯總統計數據。這些地址大小各異,交易次數和總流入量的中位數分別為 21 到 197 筆交易和 7.6 萬美元到 140 萬美元。在所有報告的以太坊地址中,平均流入量為 190 萬美元。由於轉發資金和定期切換地址的普遍做法,流出量與流入量緊密匹配。中間地址的活動時間為 68 天。

3 追蹤網絡

我們現在展示我們的主要分析:來自批量追蹤報告的詐騙者地址的目的地。圖 1 展示了以太坊追蹤路徑樣本,這些樣本說明了我們在詐騙者網絡中發現的許多特征。框代表交易所,其大小與左側交易所流出資金的量和右側進入交易所的資金成比例。代表交易所流出交易的邊框呈綠色陰影,其中最深的陰影代表大額交易,較淺的顏色代表較小的交易。紅色三角形是報告的詐騙者地址。所有其他圓形節點都是跟蹤中遇到的地址,其中粉紅色表示外部擁有的地址,藍色陰影表示交易所控製的存款地址。每個詐騙者節點的尺寸與接收到的金額成比例,並且與他們交易最多的節點的位置最接近,因此較短的邊長表示較大的交易金額。該圖顯示了報告的詐騙者地址周圍許多未識別節點的集群。網絡內部和進入 Tokenlon 的邊緣呈淺紫色,離開 Tokenlon 的交易呈紫紅色。進入交易所的邊緣呈藍色陰影。極淺的顏色是小額交易(可能是誘導支付)低於 10,000 美元,淺藍色介於 10,000 美元和低於 100,000 美元之間,藍色介於 100,000 美元到 100 萬美元之間,黑色為 100 萬美元及以上。此顏色約定例的綠色對應部分適用於從交易所開始的邊緣。 

該圖顯示了加密貨幣如何從小額和中等規模的交易中從大型加密貨幣交易所(例如 Coinbase、Crypto.com 和 Binance)進入網絡。相關節點經常相互進行交易並通過 Tokenlon 進行互換。超過 100,000 美元(尤其是 100 萬美元)的資金通常流向幣安、火幣和 OKX 的存款地址。Coinbase、Crypto.com 和 Binance 也收到大量小額交易。圖 4 展示了 3,256 個詐騙者地址的整個批量追蹤結果的匯總視圖。在麵板 A 中,邊緣粗細與交易金額成正比,邊緣顏色對應於使用的加密貨幣。Crypto.com 的 4.47 億 美元進入詐騙者地址,Coinbase 的 4.18 億 美元,Binance 的 2.48 億 美元,然後是來自其他交易所的較小金額。這些資金主要以 Tether 形式存在,盡管 Coinbase 和 Crypto.com 會發送以太坊和 USDC。麵板 B 匯總了這些地址與所有交易所之間交易的流入和流出情況,並顯示了來自所有交易所進入這些地址的 23 億 美元的綜合細目分類。然而,報告的地址涉及了超過 50 億 美元的資金。其中許多資金可能是通過係統流動的其他資金,因為資金被發送到第一跳、第二跳、第三跳以及 Tokenlon 並返回。這種大規模的重新流通是一種混淆資金的一種方式。正如麵板 A 中的加密貨幣互換和麵板 B 中的大量資金流入 USDC 和以太坊,然後又返回為 DAI 和 Tether 所表明的那樣,Tokenlon 在網絡中扮演著重要角色。最終,Tether 是重新進入交易所時最常用的加密貨幣。我們追蹤了 43 億 美元到交易所。重要出口點包括發送到幣安的 9.52 億 美元、OKX 的 4.38 億 美元、火幣的 1.55 億 美元。隻有 6750 萬美元(或 1.5%)被發送到 Coinbase 和 Crypto.com。麵板 B 表明超過 10 億 美元在三跳內進入交易所。交易似乎會在三跳內轉移到 OKX,而交易甚至會在五跳或更多跳之後繼續發生在幣安。對於早期跳躍,資金以 ETH、USDC 和 Wrapped BTC 出現,但在後期階段,資金幾乎完全以 Tether 和一些 DAI 出現。總體而言,加密貨幣通常是從西方的 Crypto.com 和 Coinbase 轉移到以東方為中心的幣安、火幣和 OKX。

我們還檢查了交易所來源是否從 2021 年 1 月到 2024 年 2 月隨時間發生了變化。正如圖 IA.4 的麵板 A 所示,大部分資金在 2021 年初從幣安、火幣和 OKX 進入網絡。2021 年 5 月,來自 Coinbase 的資金流開始出現.

4 網絡流出

我們現在關注這些詐騙者網絡流出到存款地址的資金。我們根據中心化交易所通常必須采用“了解你的客戶”協議這一背景來解釋這些結果,這意味著每個存款地址都鏈接到一個特定的可識別交易所客戶。一些客戶地址可能與殺豬盤受害者相關聯,我們研究交易所是否有機會減輕這種騙局。其他客戶地址可能是詐騙者用於“套現”法幣的賬戶,為我們提供了一個衡量整個交易成本和詐騙操作收益的途徑。

 4.1 存款地址

我們沿著追蹤路徑追蹤到 14,350 個用戶存款地址。圖 5 根據追蹤路徑中接收的資金量將存款地址分為四組。超過 8,000 個存款地址接收的資金少於 10,000 美元,總計 1,510 萬美元。這些小額支付符合誘導支付的特征,我們將在下一節中更詳細地討論。這些小額支付也可以解釋為詐騙資金較小的一部分與其他實體交互,然後這些實體的小額交易又回到了交易所。總而言之,Coinbase 和 Crypto.com 收到的少量流入資金通常低於 10,000 美元,但幾乎總是低於 100,000 美元。相比之下,接收超過 100,000 美元??的存款地址往往是非西方交易所,例如幣安、火幣、OKX、Gate.io、MXC 和 Bitkub,這些交易所被認為更加匿名。我們將這些更大的資金流解釋為可能的詐騙者擁有的存款地址。表格 II 的麵板 A 和 B 將存款地址分解為從詐騙網絡追蹤到該地址以及每個單獨地址的金額少於或多於 100,000 美元的地址。值得注意的是,總流入量和總流出量應該幾乎完全匹配,因為它們對應於交易所持有的用戶賬戶,這些賬戶會將所有資金從這些賬戶中轉出到交易所錢包。我們將少於 100,000 美元的地址解釋為可能的受害者存款地址。他們平均收到來自五個地址的轉賬(即入度為五)。36 如果這些資金流向受害者,那麽這也意味著交易所可能有多次機會阻止詐騙者和受害者之間的互動,但卻沒有這樣做。圖 IA.6 檢查了所有從詐騙者那裏收到超過 100,000 美元的存款地址的資金時間序列。火幣似乎在 2022 年上半年和中期是主要的交易所,但在 2022 年年中之後交易量輸給了幣安。OKX 在 2022 年底和 2023 年普遍存在,並且像 Bitkub 和 Gate.io 這樣規模較小的交易所也出現,表明此類騙局操作在各個交易所的普遍性。我們對接收的原始資金數量不太關注,因為這些可能更多地取決於受害者地址何時被收集和激活的時間序列。圖 IA.6 的麵板 B 顯示了整個期間的大額流入匯總,並表明幣安 (9.25 億 美元) 是迄今為止最大的交易所,其次是 OKX (3.91 億 美元) 和火幣 (1 億 美元)。這再次重申了大部分資金都流向了非西方交易所。圖 IA.7 總結了我們之前發現的平均交易規模,顯示退出和進入交易所的交易規模。雖然退出 Coinbase 和 Crypto.com 的資金平均交易規模分別為 12,000 美元和 14,000 美元,但進入這些交易所的資金平均交易規模為 2,000-5,000 美元。我們將這些解釋為大額交易,美國受害者被欺騙,然後是潛在的誘導支付,正如下一節所討論的。相比之下,離開幣安、火幣和 OKX 的交易平均分別為 9,000 美元、10,000 美元和 13,000 美元,但進入這些交易所的交易甚至比離開美國交易所的資金還要多。我們將小額 outbound 交易視為來自這些交易所的非西方受害者的小額交易,而大額 inbound 交易被解釋為詐騙者在聚集和洗錢其收藏品並準備交易成法幣貨幣後的最終存款。

4.2 潛在誘導支付

誘導支付可能有助於詐騙者贏得受害者的信任。我們將低於 10,000 美元的交易視為潛在的誘導支付。為了了解這些付款的全部規模,我們收集了追蹤網絡中所有誘導支付發送者的列表,並將我們的數據擴展到考慮這些誘導支付發送者到任何交易所存款地址的任何金額不超過 10,000 美元的交易。圖 6 檢查了潛在誘導支付的規模,發現大多數都少於或等於 1,000 美元。我們發現有 98,509 筆支付金額為 500 美元或以下,這些支付更多地傾向於 Coinbase 和 Crypto.com。還有一些小額支付流向幣安、火幣和 OKX,這表明這些平台上也可能有許多受害者。有趣的是,這些支付似乎集中在整數上,這可能是因為詐騙者將虛假收益發送為整數或鼓勵受害者提取資金。圖 7 繪製了地址在一段時間內被重複使用的次數。我們針對四個最大的交易所製作了這些圖表:Coinbase、Crypto.com、Binance 和 Huobi。發送多個連續交易的地址將顯示為向右傾斜的點列。有趣的是,根據表格 IA.II 中的呈現,具有超過 10 筆交易的地址的中位活動跨度為 114 天,第 75 個百分位數為 218 天或 4-8 個月,這可以解釋為詐騙者切換地址之前的時間。總而言之,我們觀察到 104,460 筆潛在誘導支付,其中包括 23,627 筆支付給幣安、28,692 筆支付給火幣、13,892 筆支付給 OKX,以及 31,980 筆支付給 5 家西方交易所,其中大部分集中在 Crypto.com (15,433) 和 Coinbase (15,249)。在許多情況下,幹淨的或以前未使用過的地址會發送潛在的誘導支付,例如 409 個發送到 Coinbase 的地址和 313 個發送到 Crypto.com 的地址。然而,隻有 60 個地址負責超過 7,198 筆交易到 Coinbase,而 78 個地址負責 9,359 筆交易到 Crypto.com。頻繁重複使用表明交易所的監控相對不嚴格。 

圖 IA.8 繪製了我們記錄的 56,688 個獨特的交易所存款地址,這些地址接收來自潛在誘導支付發送者的金額高達 10,000 美元的交易,我們將其解釋為接收誘導支付的地址數量的下限。大多數新的存款地址在 2021 年之前都集中在幣安和火幣,而 OKX、Coinbase 和 Crypto.com 在 2021 年下半年到 2023 年期間更常見。綜上所述,我們發現可能有 12,146 個幣安、12,355 個火幣、5,676 個 OKX、12,792 個 Coinbase 和 11,381 個 Crypto.com 存款地址收到誘導支付。

4.3 交易成本

我們在表 III 中計算了跟蹤過程中產生的總交易成本(也稱為 gas 費用),並提供了匯總統計數據。以太坊和 ERC-20 代幣轉賬通常對轉賬金額不敏感。在我們的樣本中,我們看到每次交易的平均 gas 費用為 6.07 美元,中位數為 2.70 美元。作為轉賬金額的百分比,中位數為 9 個基點,平均值為 6.06%。兌換與更高的 gas 費用相關,每次交易的中位數為 20.03 美元,占最終金額的 32 個基點。兌換也可能因價差而盈利或虧損。中位數虧損為 25 個基點。在圖 8 中,我們將代幣兌換費用分為四個部分:gas 費用(美元和百分比)、兌換虧損或收益(美元和百分比)。交易成本是網絡匯總支付、一次移動大量資金並最小化成本的激勵因素。例如,低於 10,000 美元的交易平均 gas 費用為轉賬金額的 9.89%,平均兌換虧損為 -0.87%,而超過一百萬美元的交易 gas 費用為 0.0003%,兌換虧損為 -0.02%。總而言之,該網絡包括 580 萬美元的 ETH 和代幣 gas 費用、190 萬美元的 swap gas 費用以及 swap 費用總計 640 萬美元的虧損,總交易成本為 1400 萬美元。這代表了用於跨多個跳躍轉移數億美元的總費用。如果我們保守地認為從 1300 萬美元作為將 16 億 美元轉移到擁有超過 100,000 美元流入量的最大存款地址所需的總交易成本,那麽交易成本占流向詐騙者存款地址的 0.87%。

5 評估詐騙網絡規模

我們現在考察可能詐騙者存款地址的總流量。

5.1 評估方法

我們收集了在四個跟蹤步驟中總共收到超過 10 萬美元的以太坊存款地址:(i) 從報告的詐騙者地址找到的初始路徑; (ii) 通過查找與 Tokenlon 交互的代幣的後交換路徑進行回溯; (iii) 可以通過 WBTC 橋梁跟蹤的比特幣路徑; (iv) 對 (ii) 和 (iii) 的第二次回溯。我們關注圖 IA.9 中繪製的 2,787 個潛在詐騙者存款地址。圖 IA.10 按時間順序描繪了流入這些存款地址的 258 億 美元資金。大部分資金流入幣安,其次是少量流入火幣和 OKX。下麵圖表 1 中的這組路徑表示為路徑 1。我們遵循 Victor (2020) 的方法,使用稱為“存款地址集群”的方法識別其他相關地址。如果任何地址向存款地址發送資金,那麽隻能使用交易所平台上的用戶帳戶再次訪問該資金。因此,如果一個地址向兩個存款地址發送資金,那麽這兩個地址很可能是由同一個地址擁有的。該啟發式方法將任何給定地址與相同的存款地址相關聯,然後考慮其他相關的存款地址。我們通過遵循圖表 1 中的路徑 2 和路徑 3 並計算總流入量來確定詐騙者網絡的總收入。

5.2 評估結果

這些確定的存款地址可能是交易所的詐騙者存款地址,網絡退出的資金無法在鏈上追溯。圖 9 描繪了從 2020 年 1 月到 2024 年 2 月的這些發現的結果,並強調了兩個結果。我們將所有流入這些地址的資金相加,發現總計 753 億 美元,其中大部分集中在通常被認為不在美國司法管轄區內的交易所。在這些交易所中,幣安是總體上最大的目的地。火幣在 2020-2021 年流行,而 OKX 在 2021-2023 年更流行。作為穩健性分析,我們在圖 IA.11 中分解了我們的步驟。原始存款蹤跡以較深的顏色顯示,而增量金額則通過存款集群啟發式和回溯進行追蹤。該啟發式方法有效地捕獲了 2021 年之前更多的活動。為了進一步衡量相關資金的潛在規模,我們可以將存款集群啟發式再次應用於更大的存款地址集以查看是否存在更多相關的存款地址。此步驟將我們的估計從 753 億 美元增加到 2376 億 美元。我們預計這個更大的數字可能包含更鬆散的聯係。盡管如此,該計算表明有大量資金與這些網絡密切互動。

5.3 逆向追蹤

需要注意的是,這些估計包括進入存款地址的所有資金。如果一個網絡從 OKX 發送資金到幣安,這會導致資金的重複計算。此外,這些資金可能與犯罪網絡的其他活動有關。為了了解更多關於資金來源的信息,我們類似於第 2 節描述的前向追蹤,進行五步逆向追蹤以找到所有進入這些存款地址的路徑。我們檢查後來進入這些潛在詐騙者存款地址的資金來源,發現 753 億 美元中的 402 億 美元可以歸因於交易所。識別退出交易所的資金流量提供了一種評估殺豬盤對受害者造成的經濟損失程度的方法。如果我們考慮在正向和反向跟蹤中都找到的所有地址,並應用與論文前麵一致的一組篩選條件,那麽我們可以檢查所有直接從交易所轉移到這些節點的資金,這些節點可能由詐騙者或附屬機構控製。在圖 10 中,我們繪製了流出每個主要交易所並進入詐騙者網絡的資金流量,並按交易規模進行分割。由於我們想了解從西方受害者那裏竊取的潛在資金規模,因此我們檢查了所有小於 500,000 美元的加密貨幣從交易所流出的情況。我們將此解釋為更有可能是來自受害者的新資金,特別是因為可能損失更大金額的受害者仍然分批交易。詐騙網絡可能會從交易所發送少於 500,000 美元的金額,但如圖 1 所示,詐騙者向西方交易所進行的大額交易很少見。在所有地址中,詐騙者網絡從西方交易所收到了 152 億 美元的交易,金額少於 50 萬美元,我們將其解釋為使用西方交易所欺騙受害者的總金額的下限。這通過總計 1,257,088 筆交易進入詐騙者網絡,平均每筆交易超過 12,000 美元。總計包括來自 Coinbase 的 31 億 美元、Crypto.com 的 45 億 美元和 Kraken 的 52 億 美元。

先前??的分析主要描繪了從交易所到網絡或從網絡到交易所的資金流動。此外,我們現在計算了網絡內每筆交易的總和。如圖 IA.14 所示,網絡內的所有交易總額為 11720 億 美元,按加密貨幣劃分。我們發現其中 84% 是 USDT。來自西方交易所的流入資金更多地以 USDC 和 ETH 形式存在,但當發送到非西方交易所的潛在詐騙者存款地址時,它們通常會兌換成 USDT。

6 網絡特征

我們識別出的網絡有助於揭示跨國有組織犯罪的運作方式。圖 2 中展示了一些突出特征,例如廣泛的混合和過度轉發代幣。資金經常在網絡中流通並在循環中連接。在網絡圖中,我們還看到了“清 dust” 交易的示例,即向許多地址發送少量代幣,從而為任何潛在調查人員製造更多死胡同路徑。這些努力對犯罪分子來說可能代價高昂:每筆交易都會產生交易費用,清 dust 的代幣基本上是損失的收入。混淆資金流動的策略可能是邪惡意圖的跡象。其他三個實證例子揭示了這些犯罪網絡的運作方式:首先,政府鎮壓後資金來源的轉移,其次,廣泛使用代幣兌換,第三,整個網絡及其子集的高度連接性。

6.1 加密貨幣監管打擊的影響

2021 年 6 月 21 日,中國金融當局要求銀行和支付機構切斷與加密貨幣渠道的聯係,並於 2021 年 9 月 24 日禁止所有加密貨幣交易。為了檢查 2021 年之前資金流和潛在資金來源的轉移,圖 11 麵板 A 按月份按一天中的活躍小時數繪製了從交易所到地址的資金流(按組)。每個正方形的大小與總量成比例,顏色表示流入網絡的交易所流量中來自西方交易所的百分比。紅線對應於中國的加密貨幣禁令。在此線之前,活動似乎集中在中國上班時間和非美國交易所。然而,在宣布之後,活動開始減少,到 2021 年 12 月,我們看到美國上班時間的活動有所增加。這提供了受害者基礎從東方受害者轉移到西方受害者的佐證證據。我們感興趣的是詐騙者的存款是否受到執法行動的影響。圖 11 麵板 B 按時間順序繪製了三大交易所(幣安、火幣和 OKX)的存款地址的每周流量。垂直紅線表示亞洲發生的六個與加密貨幣禁令、警察突襲以及與加密貨幣詐騙相關的逮捕和指控的關鍵日期。最重要的是,我們用樣本不完整並且由於數據收集和驗證過程可能滯後於總詐騙活動的情況來解釋這一點。一些事件似乎很有效,例如中國禁止加密貨幣與火幣存款減少同時發生。但是,對於大多數後續事件,即使在這些突襲、逮捕和指控之後,詐騙者的活動仍然存在。這與一些傳聞證據相符,即盡管受到國際壓力,詐騙者仍然活躍。

6.2 使用 Tokenlon 兌換

詐騙網絡使用 Uniswap 和 Tokenlon 等去中心化交易所來在不同加密貨幣之間進行兌換。類似於過度的資金混合,此交易會產生交易費用;但是,對於可能正在尋找洗錢渠道的人來說,去中心化交易所可能比在中心化交易所進行兌換更便宜,並且可以讓一些流行的追蹤工具更難以追蹤資金路徑。雖然 Uniswap可以說是最流行的去中心化交易所,但 Tokenlon 相對不為人所知,可能是殺豬盤詐騙的一個顯著特征。

6.2 使用 Tokenlon 兌換

詐騙網絡使用 Uniswap 和 Tokenlon 等去中心化交易所來在不同加密貨幣之間進行兌換。類似於過度的資金混合,此交易會產生交易費用;但是,對於可能正在尋找洗錢渠道的人來說,去中心化交易所可能比在中心化交易所進行兌換更便宜,並且可以讓一些流行的追蹤工具更難以追蹤資金路徑。雖然 Uniswap可以說是最流行的去中心化交易所,但 Tokenlon 相對不為人所知,可能是殺豬盤詐騙的一個顯著特征。

圖 12 麵板 A 中,我們繪製了向前或向後追蹤中找到的 Tokenlon 交易數量隨時間的變化。這表明每月有成千上萬的交易將資金從 ETH、USDC、WBTC 和 DAI 轉換為 USDT,然後將 USDT 存入各種存款地址。更引人注目的是,這些與詐騙者進行交易的交易占每月所有 Tokenlon 掉期交易的 58% 以上。這表明,如果給定的加密貨幣用戶選擇使用 Tokenlon 進行掉期,他們的交易將幫助詐騙者混淆資金流。由於我們僅追蹤可以識別的網絡部分,因此我們的數字可能被低估。如前所述(圖 IA.5),大多數資金流會相對迅速地轉移到 Tokenlon。我們還繪製了我們追蹤的四個主要途徑中看到的最常見掉期轉換矩陣(圖 12 麵板 B)。我們看到 USDT 是所有代幣對的主要目的地。例如,最常見的交易是對 ETH 進行 USDT 兌換。USDC 是 Coinbase 上首選的穩定幣,但我們看到大多數 USDC 會兌換成 USDT 或 DAI。DAI 可能是一個受歡迎的代幣,因為它被認為超出了執法機構的查封範圍。有趣的是,很少有交易量兌換成 USDC。最後,我們還看到大量 WBTC 兌換成 USDT 和 DAI。“其他”到 WBTC 對包括我們作為 WBTC 追蹤到以太坊區塊鏈的比特幣。

6.3 連通性

我們希望了解詐騙網絡是否相互連接。在圖 IA.16 中,我們繪製了數據中不同分區的數量以及每次追蹤添加的地址數量。最初的 3,256 個節點開始於網絡的 3,256 個獨立分區。當僅考慮這些節點的入站和出站關係,忽略與交易所地址的任何連接時,我們發現大約有 1,504 個分區,這個數字較小,因為許多地址之間都存在邊。在沿著蹤跡僅考慮進一步之後,分區的數量下降到大約 180 個。五跳後的分區總數為 118。更重要的是,我們發現超過 99% 的節點都連接在一個龐大的互聯網絡中。如此大一部分殺豬盤觸及這個更廣泛的網絡這一事實表明網絡是:(a) 幾個犯罪網絡使用相同的常見前端服務,例如用於欺騙交易所平台的服務,(b) 幾個犯罪網絡使用同一組前端服務,或 (c) 主要是一個犯罪網絡。鑒於有報道稱詐騙活動存在於多個國家,我們認為 (b) 是最可能的。

7 其他分析

由於我們識別出的詐騙網絡的規模和複雜性,我們進行了額外的分析來評估結果的穩健性,包括安慰劑比較、評估對受害者報告地址的敏感性以及額外的第三方驗證。

7.1 安慰劑比較

我們希望了解殺豬盤網絡與以太坊上其他詐騙活動有何不同。我們通過跟蹤 1,000 個被釣魚詐騙受害者和潛在受害者報告的地址來構建安慰劑測試。釣魚詐騙地址通常處理小額資金,通常少於 10,000 美元(如圖 IA.15 所示)。相比之下,殺豬盤地址通常會收到超過 100 萬美元的資金。釣魚詐騙通常與 Uniswap 等 DeFi 交易所互動,並將資金轉移到 Uniswap、Kucoin、幣安和其他去中心化交易所。殺豬盤則更多地直接從 Crypto.com 和 Coinbase 等交易所提取資金,並以更高的費率將資金轉移到幣安、火幣和 OKX(圖 IA.17)。最後,殺豬盤騙徒更傾向於使用 Tether,而釣魚詐騙騙徒則更多地按比例使用以太幣和其他 ERC20 代幣(圖 IA.18)。

7.2 路徑敏感性

詐騙者地址的報告可能不準確。我們通過過濾要追蹤的地址來最小化這些錯誤,排除潛在有問題的地址或明顯錯誤,例如刪除大型地址和智能合約。我們不知道數據的驗證過程,但我們的一個來源據報道對許多受害者報告實施了驗證。在較早的版本中,我們還使用這個數量大大減少的 1,065 個地址實現了結果,發現大多數發現都性質相似,盡管總網絡規模為 290 億 美元。

7.3 對存款地址的進一步分析

我們還對存款地址進行了廣泛檢查,包括檢查第三方來源是否識別出任何地址。例如,如果潛在的詐騙者存款地址被識別為屬於對衝基金,則這將意味著資金的真正流動會發生重大偏差,以至於我們追蹤到後來轉移到該對衝基金的資金。在 Ciphertrace 上檢查了 630 個存款地址後,所有 630 個結果都被返回為未知來源。我們檢查我們的結果是否由幾個錯誤的存款地址驅動。在圖 13 中,我們根據導致每個存款地址的被舉報詐騙者地址數量繪製存款地址。我們發現我們最大的地址連接到多個受害者報告,這減少了它們與受害者鬆散連接的擔憂。我們還手動檢查了大型地址資金路徑,看看路徑上是否有任何異常節點。此外,為了考慮大型存款地址的影響,我們將存款地址按總流入量進行排序,發現一個地址收到了超過 10 億 美元,但絕大多數收到的金額要少得多(如圖 IA.19 所示)。我們 14,350 個存款地址中的排名前 100 個占我們流入大型詐騙者存款地址總數 753 億 美元中的 190 億 美元。我們考慮符合上述標準的前向追蹤和反向追蹤中的地址,並檢查它們流向存款地址的流量。在我們研究的網絡最寬泛的定義中,我們對可能流入犯罪存款地址的金額進行了穩健性檢查。我們發現總共有超過 10 萬美元的交易流向存款地址,總計 736 億 美元,這類似於我們之前發現的總退出量。這種穩健性分析表明網絡是受限的,似乎不會無限分支到其他終端存款地址。最終,當考慮到大多數大型存款地址都集中在幣安時,我們認為這與我們之前的結果一致,表明這是一個高度互聯的網絡集,促進了資金從西方交易所流向 KYC/AML 程序較弱的交易所。

7.4 比特幣追蹤和兌換

圖 IA.20 展示了單個地址的比特幣交易活動情況。比特幣交易經常源自 Coinbase 或 Square Cash App。這些交易通常會通過多次交易轉發到詐騙者的收集點。收集網絡還使用“清 dust”交易,這些交易是小額比特幣交易,旨在通過使不相關的實體聚集在一起來混淆標準追蹤算法。正如我們在第 2 節中更詳細討論的那樣,我們擴展了已報告的地址列表,並依賴於通用輸入啟發式方法來識別與每個地址相關聯的更廣泛的集群。我們在圖 IA.21 中展示了目的地,發現這些跟蹤路徑指向類似的目的地:6500 萬美元到 Tokenlon,4700 萬美元到幣安,3200 萬美元到火幣,1200 萬美元到 OKX。鑒於這兩個是不同的區塊鏈,我們無法確定這些 Huobi 和 OKX 地址是否與以太坊中發現的存款地址相關。然而,Tokenlon 的突出地位仍然是一個Distinct的發現,並提供了將這些資金追蹤到以太坊區塊鏈的機會。Tokenlon 是一個非托管的去中心化交易所,因此不會直接存儲任何用戶資金。當用戶將比特幣發送到 Tokenlon 存儲賬戶時,他們實際上是將其轉移到一個名為 imBTC 的 Tokenlon 關聯的以太坊 ERC-20 代幣中,然後可以將其兌換為第三方 Wrapped Bitcoin。有趣的是,在與此對應的 129 個獨特以太坊地址的 1,192 筆此類交易中,其中 101 個地址已經出現在我們原始的以太坊追蹤中,這表明我們收集的比特幣地址與我們的以太坊地址相關。

8 結論與影響

我們的研究有幾個實際意義。首先,像幣安、火幣和 OKX 這樣的大型加密貨幣交易所充當了 753 億 美元犯罪所得的退出點。其次,也許是因為其相對穩定性和不透明性,Tether 成為退出係統的首選加密貨幣,去中心化交易所也成為混淆資金的大型兌換點。第三,為這些 DeFi 平台提供流動性的用戶(其中一些是美國和歐洲的加密貨幣“對衝基金”)以及之前列出的 KYC/AML 規定較弱的交易所通過促進洗錢活動獲利。第四,地址之間一致的模式和大量交叉感染表明存在一個大型協調網絡,或者多個共享類似服務的網絡。因此,與執法部門通常的做法不同,這些詐騙行為不應該僅僅被視為個體犯罪。第五,像 Coinbase 和 Crypto.com 這樣的西方交易所是受害者進入詐騙網絡的常見入口點。用戶應該意識到他們在加密貨幣交易所賬戶中的資金隻需一次轉賬就會消失。第六,由於這些詐騙網絡還會將數千筆小額誘導付款返還給這些主要交易所,因此大多數加密貨幣交易所可能沒有充分監控和保護其客戶免受這些網絡的侵害。類似於信用卡公司根據位置和其他交易細節標記欺詐交易,加密貨幣交易所可以監控殺豬盤網絡及其誘導付款以阻止正在進行的詐騙行為。更一般而言,我們的分析表明,“合法”的加密貨幣領域通常充當非法領域的入口和出口,因此它促進了廉價和便捷的資金流動,這是支持殺豬盤和現代奴隸製的命脈。總體而言,我們的研究結果表明,犯罪網絡正在廉價地轉移大量資金,幾乎沒有被發現的恐懼。我們可以采取許多措施來加強對為這些大型犯罪網絡提供資金的控製。我們的方法也可以用於揭露其他犯罪網絡的性質。

[ 打印 ]
閱讀 ()評論 (0)
評論
目前還沒有任何評論
登錄後才可評論.