来源:Chainalysis
编译:白水,金色财经
2024 年,加密货币生态系统取得了许多积极的发展。在美国批准现货比特币和以太坊交易所交易产品(ETP)以及美国财务会计准则委员会(FASB)公平会计规则修订之后,加密货币在许多方面继续获得主流接受。此外,年初至今合法服务的流入量是自 2021 年(上一次牛市高峰)以来的最高水平。事实上,年初至今非法活动总额下降了 19.6%,从 $20.9B 降至 $16.7B,这表明合法活动的增长速度快于链上非法活动。这一令人鼓舞的迹象表明加密货币在全球范围内的持续采用。
这些全球趋势也反映在日本的加密生态系统中。总体而言,日本服务对全球非法实体(例如受制裁实体、暗网市场 (DNM) 和勒索软件服务)的暴露程度普遍较低,因为大多数日本服务主要面向日本用户。然而,这并不意味着日本完全免受与加密货币相关的犯罪的影响。包括日本金融情报机构(FIU)日本金融情报中心(JAFIC)在内的公开报告强调,加密货币构成了重大的洗钱风险。尽管日本与国际非法实体的接触可能有限,但该国并非没有自身的本地挑战。利用加密货币的链下犯罪实体很普遍。
在本文中,我们将探讨日本值得密切关注的两个关键加密货币犯罪问题:洗钱和诈骗。
洗钱和加密货币
首先,让我们探讨一下洗钱和加密货币之间的关系。加密货币背景下的洗钱通常与隐瞒链上犯罪(例如 DNM 和勒索软件)的收益有关。但随着世界继续拥抱加密货币,非法行为者也渴望利用强大的新技术。有了正确的工具和知识,调查人员可以利用区块链的透明度来发现和瓦解链上及链外的非法活动。
加密货币原生洗钱
洗钱在链上获得的资金的过程通常很复杂,因为网络犯罪分子使用各种服务来掩盖资金的来源和动向。加密货币原生洗钱给加密货币服务和执法机构带来了持续的挑战。
加密货币原生洗钱的第一阶段——安置——总是涉及加密货币。尽管区块链具有透明度,但犯罪分子经常选择加密货币进行洗钱,因为创建不需要了解客户 (KYC) 信息的私人钱包通常比通过传统放置策略钱骡洗钱更容易。洗钱的中间阶段(分层)可以采取多种形式。在传统的法定洗钱活动中,这可能涉及通过多个银行账户和 / 或空壳公司发送资金。在加密货币中,这可能涉及:
中间钱包或跳跃:使用多个个人钱包使追踪变得复杂,通常占流经这些洗钱渠道总价值的 80% 以上。对于使用 Chainalysis 的调查人员和合规专业人员来说,检测非法活动并通过中间钱包进行追踪可能相对简单。
加密混淆服务:混淆服务可以采取多种不同的形式,例如混合器、跨链桥和隐私币。虽然这些服务被洗钱者广泛使用,但它们也有合法的隐私用例,但本质上并不违法。
混合器:这些服务混合来自不同用户的加密货币,以混淆资金的来源和所有权。与市场活动普遍回升相一致,混合器将在 2024 年开始复苏。
跨链桥:这些服务和协议促进不同区块链网络之间的资产转移,创建复杂的交易网络。
隐私币:像 Monero 和 Zcash 这样的代币使用先进的加密技术来隐藏交易细节,这使得它们对非法行为者具有吸引力。
稳定币:越来越成为非法资金转移的首选载体,反映出过去几年全球稳定币采用的总体增长。但使用稳定币也增加了洗钱者的风险,因为许多稳定币发行人都会对当局做出反应,并有能力冻结资金。
场外交易 (OTC) 经纪商:场外交易经纪商遍布世界各地,可以在最少的审查下促进大额交易,通常绕过公共订单簿和 KYC 要求。
尽管一些网络犯罪分子可能将其不义之财保存在个人钱包中多年(大概是希望当局将注意力转向其他地方),但大多数不良行为者都希望将资金从加密货币转为现金。在使用混淆技术后,超过 50% 的非法资金直接或间接流入中心化交易所。非法行为者可能会转向中心化交易所进行洗钱,因为它们具有高流动性、易于加密货币到法定货币的转换,以及与传统金融服务的集成,有助于将非法资金与合法活动融合在一起。目前每年都有数百个集中服务机构接收超过 100 万美元的非法资金。
非加密原生洗钱
传统的洗钱者正在使用类似于基于法定策略的方法进入加密货币。与加密货币原生洗钱不同,非加密货币原生洗钱从涉及法币的安置阶段开始。通常,犯罪分子首先会使用银行账户存入法定资金,然后将其转换为加密货币。然后,犯罪分子可以将他们的资金分层,就像加密货币原生洗钱一样。
非加密货币原生洗钱涉及链下犯罪活动,例如毒品贩运和欺诈。识别新颖的链上洗钱模式通常反映了对基于法币的异常交易和模式的检测。在非加密原生洗钱中,链上分析通常从中心化交易所开始,因此,在没有其他背景信息的情况下很难识别非法交易。尽管由于证据匮乏,追踪这些资金的流动可能具有挑战性,但数据科学技术可以标记潜在的非加密货币原生洗钱的指标。
识别非加密货币原生洗钱的一种方法是在报告阈值以下进行重复转账,我们在 2024 年加密货币洗钱报告中对此进行了更详细的讨论。虽然这些阈值因国家 / 地区而异,但金融行动特别工作组 (FATF)——制定 AML/CFT 标准的国际机构——建议超过 1,000 美元 / 欧元的加密货币交易应遵守旅行规则。当局将这一门槛设定为 3,000 美元。此外,美国《银行保密法》(BSA) 要求报告超过 10,000 美元的现金交易。
超过这些值的交易会引发额外的审查,而低于这些阈值的交易,即使只有一美元,也不会面临同样级别的检查。
下图显示了 2024 年年初至今按转移规模转移到集中交易所的资金价值。它显示转账金额显著激增,略低于 1,000 美元、3,000 美元和 10,000 美元的报告阈值,也略高于该阈值。略高于这些阈值的转移可能归因于汇率的舍入差异。这种激增是不良行为者的典型表现,他们通过调整付款方式来避免触发报告要求。略低于报告要求的交易是 FATF 在虚拟资产服务提供商 (VASP) 指南中强调的危险信号指标之一,以帮助识别可疑行为。
整合资金
交易所还可能受益于监控与其服务交互的合并钱包。当洗钱者通过许多中间钱包将资金分层时,交易流程通常并不简单和线性。相反,洗钱者可能会将资金分成许多不同的钱包,然后在多次交易后重新整合资金。
合并钱包接收并合并来自多个钱包或来源的资金。如果资金通过多个独立的中间钱包转移,然后合并在一个地址,这可能表明试图避免检测。
下面的 Chainalysis 加密货币调查图展示了一个针对老年人的已知诈骗团伙中的此类行为。在这种情况下,诈骗者可能指示受害者使用特定服务 Exchange 1 购买加密资产。然后,每个受害者都被指示将资金发送到诈骗者控制的不同钱包中。诈骗者随后将这些资金合并到一个钱包中,然后在 Exchange 2 兑现。
Exchange 1 的合规团队很难直接将受害者与诈骗者联系起来,特别是如果中间地址是一次性的且之前没有非法关系的话,除非他们将交易追溯到合并钱包。在整合之前使用许多中介机构是一种众所周知的策略,可以防止 Exchange 1 的合规团队了解所有发送资金的受害者之间的联系。
虽然上面的例子相对简单,但更复杂的洗钱网络具有整合钱包的功能,可以聚合来自数十个甚至数百个中间钱包的资金。查询 Chainalysis 数据可以让调查人员找到主要的整合钱包,这些钱包通常可以作为有用的线索。例如,2024 年年初至今排名前 100 的比特币整合钱包——所有这些钱包都从交易所进行了两跳交易——从超过 14,970 个不同地址接收了价值近 10 亿美元(9.68 亿美元)的比特币。
进一步扩大范围,我们发现超过 1,500 个合并钱包在 2024 年收到了总计价值 $2.6B 的比特币;其中每个人都从至少十个不同的钱包收到资金。同样,我们不能肯定地说这代表洗钱——事实上,其中大部分可能代表合法资金流入。但这一活动可能需要额外的审查。
日本的非法活动:洗钱和诈骗
在日本,根据我们与主要行业参与者的对话以及地方当局发布的统计数据和文件,我们一直观察到,最常见的加密货币非法用途是从非加密货币本土犯罪和诈骗中洗钱。我们将讨论日本如何认识这些问题,并探讨如何估算此类犯罪造成的损害程度。
非加密货币犯罪的洗钱
如前所述,在没有背景的情况下很难大规模追踪非加密原生犯罪案件——通常只有执法部门、金融机构、加密服务和 / 或受害者知道。尽管如此,我们的一些客户向我们提供了解决归因问题的信息,使我们能够更好地了解日本非加密货币洗钱的状况。根据我们迄今为止收到的信息,中心化交易所中的许多非法账户都是为了从传统形式的欺诈活动和网络钓鱼活动中接收法定资金,从网上银行账户窃取资金。我们去年发表了一篇博客,讨论了对一起以非加密货币本土犯罪为起点的日本洗钱案件的链上分析。
根据日本警察厅(JNPA)公布的 2023 年统计数据,2023 年,日本共报告诈骗案件 19,038 起,总损失达 45.26B 日元(约 3 亿美元)。这些数字超过了 2022 年的数字,表明此类欺诈活动仍在增长,并且仍然是一个严重问题。尽管这些统计数据并未涉及转换为加密货币的法定货币数量,但正如我们稍后探讨的那样,我们评估其中很大一部分是基于加密货币的洗钱活动。
根据 JNPA 网络事务局发布的一份报告,在这种情况下,所报告的网上银行账户被盗资金中近一半(总计 8.73B 日元(5789 万美元))被发送到加密货币交易所的银行账户。这些资金流向表明,加密货币现在被用作欺诈者洗钱的常用工具。
影响日本的诈骗趋势
正如我们的加密货币犯罪报告所述,诈骗是加密货币中最严重的非法类别之一。我们之前已经发现了在日本有接触点的著名加密货币诈骗集群,但今天,日本执法机构也在密切关注诈骗的新趋势——基于社交媒体的投资诈骗和爱情诈骗。
最近的投资诈骗经常在主要社交媒体平台上投放招揽投资的广告,以吸引潜在受害者的注意力。诈骗者冒充著名经济学家或名人来吸引更多关注者,并通过广告上的 URL 引导他们进入流行消息应用程序的群组频道,其中许多假冒会员积极发表评论并为频道主持人鼓掌。受害者被吸引与诈骗者(他们通常自称为渠道所有者或助手)进行对话,并最终被指示在虚假投资网站上进行交易。
浪漫骗局,也被称为「杀猪骗局」,因为不良行为者称他们「养肥」受害者以获取最大可能的价值,这是一个与加密货币关系重大且日益严重的问题。杀猪盘诈骗者首先与受害者建立一段时间的关系(通常是浪漫的,顾名思义),通常通过假装发错号码的短信或通过约会应用程序来发起联系。随着关系的加深,诈骗者最终会促使受害者将资金(有时是加密货币,有时是法定货币)投资到一个虚假的投资机会中,并继续这样做,直到最终切断联系。
JNPA 针对此类诈骗的最新统计数据显示,今年 1 月至 8 月的数字如下,明显高于去年:
投资诈骗:已报告 6,868 起案件,总额 641.4 亿日元(4.2497 亿美元)——其中 9.9% 是加密货币
浪漫诈骗:已报告 4,639 起案件,总额 236.5 亿日元(1.567 亿美元)——其中 17.7% 是加密货币
日本政府认识到这是对日本公民的重大威胁后,内阁召开会议讨论对策和政策,包括加强对加密货币的调查能力、防止非法银行提款以及建立法律框架以全力支持资产扣押和追回。
我们对日本欺诈和诈骗案件的链上分析
虽然大规模追踪链外洗钱活动很困难,但当我们的客户提醒我们这一活动并提供所涉及的地址和交易时,我们可以追踪资金流向,就像我们去年所做的那样。随着我们继续与日本的客户和合作伙伴密切合作以加强我们的数据,特别是链下洗钱活动的数据,我们还可以分析日本涉及加密货币的欺诈和诈骗状况。
以下是 2023 年和 2024 年(截至 6 月)被报告为欺诈账户和诈骗的集群的总接收价值。
被报告为欺诈(非加密原生)(从日本交易所接收的总价值) – 美元
被报告为诈骗(从日本交易所收到的总价值)- 美元
与往常一样,我们必须提醒注意,这些数字是估计下限,尤其是对于链下犯罪而言,因为许多诈骗和欺诈行为并未得到报告。
尽管如此,这些活动都有一个共同的模式:使用整合钱包。尽管直接从交易所接收资金的初始地址是分布式的且短暂的,但来自这些地址的资金最终会被发送到交易所中数量少得多的私人钱包和 / 或存款地址。
当我们缩小涉及 ETH 的案例时,我们发现整合钱包经常使用去中心化交易所(DEX)或桥接器将 ETH 兑换成 USDT。
如何阅读此图:
– 蓝色:资金从日本交易所流向可疑诈骗地址
– 红色:资金从初始地址到第一个盘整点
– 绿色:资金从第一盘整点到第二盘整点
– 紫色:从第二个整合点到 DEX 的资金(ETH<->USDT)
考虑到洗钱者使用新钱包地址的速度之快,实时单独追踪它们并不容易,但我们仍然可以从我们已识别的集群中识别出共同的整合点,以估计这些非法活动的规模。在这种情况下,我们按照以下流程估算了与日本案件相关的潜在非法资金数额:
追踪已被归为日本非法集群的资金,以找到整合点;
在合并点上,汇总来自日本标记集群和日本交易所集群的接收暴露金额。
这是我们发现的:
非加密货币原生洗钱活动的估计价值 – 美元
日本诈骗的估计价值 – 美元
如前所述,这些估计与日本当局公布的估计一致。
我们从众多威胁行为者那里看到的洗钱策略的变化提醒我们,最老练的非法行为者正在不断调整他们的洗钱策略并利用新型加密服务。通过研究这些新的链上洗钱方法和模式,并学习如何破坏它们,执法和合规团队可以更加有效。
