作者: Bitrace

泰达币(Tether USD,以下简称 USDT)是由泰达公司发行,在区块链网络中通过智能合约进行约束,币值锚定美元的中心化稳定代币。USDT 除了具备其他加密货币的匿名转移、无许可使用特性外,也赋予了发行方巨大的调度权限,使得开发者能够定向增发、销毁某个地址的 USDT 代币,或者限制特定地址对 USDT 的操作权限,也即业界所称的“泰达冻结”。

这类中心化的冻结活动通常由全球各国政府部门的执法请求,或临时性的特大加密安全事故所触发,旨在对已知的利用 USDT 进行的违法犯罪活动进行阻止,并对受损资产进行拦截,防止损害扩大化。而随着 USDT 在现实金融体系的采用度提升,涉币违法犯罪活动事件频发,导致泰达冻结活动愈发普遍,对大量正常展业但不慎收取风险加密资金的 web3 企业造成了较大业务负面影响,甚至带来法律风险。

本文将以柬埔寨汇旺集团被泰达冻结 2962 万 USDT 事件为例,对此进行分析说明。

汇旺业务规模概览

汇旺集团是一家位于柬埔寨的大型金融集团,旗下拥有包括加密货币钱包、支付、交易担保、保险、加密货币交易所等在内的业务板块。其最核心的支付与担保业务大量采用了 USDT,根据 Bitrace 旗下 DeTrust 链上风险资金监测管理平台的地址标记数据,HuionePay、HuioneGuarantee 的官方及用户地址数超 18 万个,是当地规模最大的加密企业,影响力辐射至整个东南亚乃至东亚地区。

据 Bitrace 监测,2022 年 6 月至 2024 年 6 月之间,所有已知 HuionePay 与 Huione Guarantee 业务地址的月度资金规模一直维持上升趋势,从 2022 年 6 月最低 10.3 亿 USDT,到 2024 年 4 月最高 83.9 亿 USDT,两年间总资金规模达到 1023.97 亿 USDT。

在此期间,Huione 相关业务地址也一直保持着较大数量的准备金。在 2022 年 6 月到 2024 年 6 月之间,所有已知 HuionePay 与 HuioneGuarantee 业务地址的日均余额达到 3568 万 USDT。

因东南亚系不法分子利用加密货币进行非法活动的高发区域,Huione 的业务地址在一定程度上遭到波及。以 HuioneGuarantee 正在使用的核心业务地址 TL8TBp 为例,据 Bitrace 监测,2023 年 7 月 1 日至 2024 年 6 月 30 日期间,该地址总共流入 21.58 亿 USDT,其中网赌高风险资金 0.35 亿,占比 1.62%,黑灰产交易高风险资金 3.39 亿,占比 15.71%,洗钱高风险资金 0.54 亿,占比 2.50%,欺诈高风险资金 0.02 亿,占比 0.09%。

汇旺遭冻结地址资金分析

2024 年 7 月 13 日,Tronscan 显示波场网络地址 TNVaKW 遭到泰达公司限制,其中高达 2962 万 USDT 被冻结无法转移,Bitrace 第一时间介入调查。

初步调查结果显示, TNVaKW 创建仅五天后,总资金交易规模便超过 10 亿 USDT,收取了来自大量被标记为 HuionePayUser 的波场地址的存款,同时也收取来自其他 HuionePay 官方地址及 HuioneGuarantee 官方地址的资金。因此 Bitrace 确认该地址系 Huione 官方业务地址,并判断冻结原因为收取较大金额被盗加密资金。

次日,知名链上侦探 ZachXBT 在社交平台进一步表示,早前发生的日本交易所 DMM 被盗事件中,相关被盗资产已经通过跨链兑换的形式进入了 HuionePay。

根据 ZachXBT 公开的地址,Bitrace 挖掘到了更多清洗活动有关地址并对整个资金链路进行了复盘。其中——

< >165 BTC 通过 Avalanche Bridge 跨链至 Avalanche

< > 182 BTC 通过 ThorChain Bridge 跨链至 Ethereum

< > 263 BTC 通过 Threshold Birdge 跨链至 Ethereum

所获取 tBTC、BTC.b等资产在avalanche、ethereum等链兑换为价值相当于 3182 万美金的 USDT、USDC、DAI等资产后,经跨链兑换至TRON 网络,最终其中大约 1400 万进入TNVaKW。

值得注意的是 DMM 只是资金流入 Huione 地址的公开安全事件中的一个,我们在调查其他事件时发现 Poloniex 交易所被盗事件中的部分资金也与 Huione 有关。2024 年 6 月 5 日至 7 日之间,至少有 105 万涉案 USDT 流入 HuionePay 用户地址,并接连流入包括 TLmktr、TR5F41、TNVaKW 在内的多个 HuionePay 官方业务地址。

目前并无直接证据表明 TNVaKW 的被冻结与这两起安全事件的资金有关,但考虑到 Huione 其他业务地址并没有遭到冻结,这至少表明这次冻结行动并非针对 Huione 集团本身。

汇旺支付遭挤兑分析

如前文所述,所有已知 HuionePay 与 HuioneGuarantee 业务地址的日均余额为 3568 万 USDT,而在冻结事件发生前三个月,该数值则一直维持在 4000 万 USDT 左右,被冻结的 2963 万 USDT 相当于其准备金的 75%,存在一定的提款压力。

对最新的 HuionePay 业务地址 TQuFSv 展开分析——

该地址在 TNVaKW 遭冻结 2.5 小时后启用,开始处理 HuionePay 用户的充值、提现需求,并接收来自 TNVaKW 的 11.48 万 USDC 遗产,截至 2024/7/16 9:34:39 其交易规模已达到 7.33 亿 USDT。

以小时为时间单位对 TQuFSv 的收入、支出情况进行统计,并未发现明显的资金异常现象,且该地址当前仍存有 1288 万 USDT 余额。

对 TQuFSv 的交易对手方进行分析,资金转入量前十的对手方总共转入 1.47 亿 USDT,其中有两个地址被标记为 HuioneGuarantee 地址,分别向 TQuFSv 转入 0.73 亿 USDT 与 0.15 亿 USDT,占总转入的 23.64%;资金转出量前十的对手方总共从 TQuFSv 获取 0.80 亿 USDT,其中有三个地址被标记为 HuioneGuarantee 地址,获取资金量分别为 0.14 亿 USDT、0.08 亿 USDT、0.06 亿,占总转出的 7.76%。

表明 HuionePay 在冻结事件发生后,经历了较大规模的资金流出,但官方及时从其他业务地址补充了准备金,能够满足用户的提币请求。

KYT 重要

对于类似 Huione 的大体量采用 Crypto 的企业而言,充足的资金吞吐量往往会吸引洗钱团伙的注意,在全球范围内日渐完善的涉币案件执法行动下,缺乏对平台用户地址资金风险的识别能力,可能会对平台业务造成影响,甚至导致经营者陷入被调查的风险。

因此,如何采用专业的 KYT 工具以精准识别风险加密资金,并基于必要的风控程序对平台风险事件进行处理,已经成为涉币企业不得不考虑的事务。

Bitrace 基于对加密犯罪产业链的长期跟踪研究,建立了独家数据采集处理体系,构建了针对典型加密犯罪形态和产业链的分析模型,通过机器学习和模式识别算法建模进行数据标签动态拓展,目前积累了超过4亿的地址标签库,其中包括实体标签(交易所、钱包、OTC、支付平台、矿池、DeFi 等)和独家风险标签(洗钱、网赌、黑灰产、诈骗、黑客、制裁、冻结、恐怖主义融资、毒品买卖等)。

同时旗下 DeTrust 链上风险资金监测管理平台也能够帮助涉币企业对重要业务地址进行全天候交易监测,实时对其新发生的每一笔交易及每一个对手方进行 KYT、KYA,支持自定义策略,以实现对其交易风险的动态评估。

合规是企业经营之本,企业通过建立合适的 KYT、KYC 程序,将能够更好地满足当地监管部门的要求,并实现市场竞争优势。