來源:Chainalysis����;編譯:鄧通��,喜來順財經(jīng)
洗錢的目的是掩蓋資金的犯罪來源�����,以便可以獲取和使用資金�����。 在基于加密貨幣的犯罪中,這通常意味著將資金轉(zhuǎn)移到可以轉(zhuǎn)換為現(xiàn)金的服務(wù),同時經(jīng)常采取額外措施來隱藏資金的來源����。 因此�,我們對加密貨幣洗錢的鏈上分析重點關(guān)注兩組不同的服務(wù)和鏈上實體:
中介服務(wù)和錢包�����。 該類別包括個人錢包���、混合器�、即時交換器����、各種類型的 DeFi 協(xié)議以及其他合法和非法的服務(wù)。 加密貨幣犯罪分子通常使用此類服務(wù)來持有資金,或通過掩蓋其源地址和當(dāng)前地址之間的鏈上鏈接來混淆其犯罪起源�。
Fiat off-ramping服務(wù)。此類別包括任何將加密貨幣轉(zhuǎn)換為法定貨幣的服務(wù)�����,最常見的是中心化交易所�。但它也可以包括P2P交易所、賭博服務(wù)和加密貨幣自動取款機�����。同樣重要的是考慮到使用中心化交易所基礎(chǔ)設(shè)施并允許進(jìn)行法定貨幣離岸的嵌套服務(wù)�,例如許多場外交易平臺。
重要的是要記住��,在解決洗錢問題時�,所有這些服務(wù)都有不同的功能和選項。 例如�����,中心化交易所擁有更多的控制權(quán)����,因為它們可以凍結(jié)來自可疑或非法來源的資金。 然而�����,DeFi 協(xié)議通常沒有這個選項�����,因為它們自主運行并且不托管用戶的資金����。 當(dāng)然���,DeFi 協(xié)議的去中心化性質(zhì)也意味著區(qū)塊鏈分析師通??梢宰粉欃Y金通過 DeFi 協(xié)議流向下一站�����,而中心化服務(wù)則不然��。 當(dāng)然,故意促進(jìn)洗錢的非法服務(wù)通常只能通過執(zhí)法行動或其他法律程序來制止���。 同樣重要的是要記住,代幣發(fā)行者也可以發(fā)揮積極作用���。 例如,USDT 和 USDC 等穩(wěn)定幣具有凍結(jié)與犯罪相關(guān)地址持有的資產(chǎn)的功能�。
考慮到這一點����,讓我們來看看 2023 年加密貨幣洗錢的主要趨勢�����。
2023 年加密貨幣洗錢:主要趨勢
2023 年�,非法地址發(fā)送了價值 222 億美元的加密貨幣,這比 2022 年發(fā)送的 315 億美元大幅減少��。這種下降的部分原因可能是合法和非法加密貨幣交易量的總體下降�����。 然而�����,與總交易量下降 14.9% 相比�,洗錢活動下降幅度更大,達(dá)到 29.5%���。
總體而言,中心化交易所仍然是從非法地址發(fā)送資金的主要目的地�,其比率在過去五年中保持相對穩(wěn)定�����。 隨著時間的推移,非法服務(wù)的作用已經(jīng)縮小,而流向 DeFi 協(xié)議的非法資金份額卻在增加。 我們將這主要歸因于該時期 DeFi 的總體增長�����,但也必須注意到����,DeFi 固有的透明度通常使其成為混淆資金流動的糟糕選擇。
就用于洗錢的服務(wù)類型細(xì)分而言,2023 年與 2022 年基本相似��,但我們確實看到轉(zhuǎn)向非法服務(wù)類型的非法資金比例略有下降�,轉(zhuǎn)向賭博服務(wù)和橋協(xié)議的資金有所增加。
然而,如果我們放大觀察特定類型的加密犯罪分子如何洗錢,我們可以發(fā)現(xiàn)某些領(lǐng)域?qū)嶋H上發(fā)生了重大變化。 最值得注意的是���,我們看到從與被盜資金相關(guān)的地址發(fā)送到跨鏈橋的資金量大幅增加,我們稍后將更詳細(xì)地研究這一趨勢。 我們還觀察到從勒索軟件發(fā)送到賭博平臺的資金以及從勒索軟件錢包發(fā)送到橋接器的資金大幅增加���。
洗錢集中在法幣出口服務(wù)
法定貨幣出口服務(wù)很重要,因為犯罪分子可以在其中將加密貨幣轉(zhuǎn)換成現(xiàn)金,這是洗錢過程的高潮。 盡管有數(shù)千個出口服務(wù)正在運營�����,但大多數(shù)洗錢活動都集中在少數(shù)幾個服務(wù)中��。 2023 年��,在流向出口服務(wù)的所有非法資金中,71.7% 僅流向 5 種服務(wù),略高于 2022 年的 68.7%�。
我們還可以更深入地檢查存款地址層面的洗錢集中度����。 存款地址是與個人用戶相關(guān)的集中服務(wù)地址——您可以將它們視為類似于銀行賬戶����。 因此����,在存款地址方面檢查洗錢活動可以讓我們更好地了解對大多數(shù)加密貨幣洗錢活動最直接負(fù)責(zé)的個人或嵌套服務(wù)。 從這個角度來看��,我們可以看到��,2023 年洗錢實際上不再那么集中在存款地址層面����,盡管洗錢在服務(wù)層面的集中程度略有提高�����。
上圖顯示了按 2023 年每個地址單獨收到的非法加密貨幣總額劃分的服務(wù)存款地址�。每個灰色條代表存儲桶中的存款地址數(shù)量����,而每個藍(lán)色條代表收到的非法加密貨幣總價值存儲桶中的所有充值地址。 以第一個存儲桶為例����,我們看到 2,235,329 個存款地址收到了價值 5 至 100 美元之間的非法加密貨幣�����,所有這些存款地址總共收到了價值 6940 萬美元的非法加密貨幣����。
2023 年�,109 個交易所存款地址各自收到了價值超過 1000 萬美元的非法加密貨幣�����,總共收到了 34 億美元的非法加密貨幣���。 盡管這仍然代表著高度集中��,但到 2022 年,只有 40 個地址收到了超過 1000 萬美元的非法加密貨幣���,總金額略低于 20 億美元。 2022 年�����,只有 542 個存款地址收到了超過 100 萬美元的非法加密貨幣��,總計 63 億美元��,占當(dāng)年中心化交易所收到的所有非法價值的一半以上。 2023 年��,1,425 個存款地址收到了超過 100 萬美元的非法加密貨幣��,總計 67 億美元���,僅占當(dāng)年交易所收到的所有非法價值的 46%�����。
然而,還值得注意的是�����,洗錢集中度因犯罪類型而異���。 例如�,CSAM 廠商和勒索軟件運營商的集中度很高����,僅僅 7 個充值地址就占到了交易所從 CSAM 廠商獲得的總價值的 51.0%,而對于勒索軟件來說,僅僅 9 個地址就占到了 50.3%���。 另一方面,詐騙和暗網(wǎng)市場的集中度要低得多。 顯示出較高集中度的加密貨幣犯罪形式可能更容易受到執(zhí)法部門的攻擊,因為他們的洗錢活動依賴于相對較少的可中斷服務(wù)。
總體而言��,加密犯罪分子可能正在通過更多嵌套服務(wù)或存款地址來實現(xiàn)洗錢活動多樣化����,以便更好地向執(zhí)法和交易所合規(guī)團(tuán)隊隱瞞行蹤。 將活動分散到更多地址也可能是減輕任何一個存款地址因可疑活動而被凍結(jié)的影響的一種策略����。 因此�����,通過針對洗錢基礎(chǔ)設(shè)施打擊加密貨幣犯罪可能需要比過去更加勤奮和對鏈上活動互聯(lián)性的理解,因為活動更加分散�。
洗錢策略發(fā)生變化:最老練的加密貨幣犯罪分子利用橋接器和混合器
大部分加密貨幣洗錢活動相對簡單����,由不良行為者直接將資金發(fā)送到交易所��。 我們可以在下面的 Chainalysis Reactor 圖上看到這一點��,該圖顯示了現(xiàn)已不復(fù)存在的電話號碼欺騙服務(wù) iSpoof�����,該服務(wù)在被執(zhí)法部門關(guān)閉之前促成了超過 1 億英鎊的詐騙活動�����,將數(shù)百萬比特幣直接發(fā)送到一組中心化交易所的存款地址�。
然而�����,擁有更復(fù)雜的鏈上洗錢技能的加密犯罪分子——例如與 Lazarus Group 等黑客團(tuán)伙相關(guān)的臭名昭著的朝鮮網(wǎng)絡(luò)犯罪分子——往往會使用更多種類的加密服務(wù)和協(xié)議����。 下面�����,我們將通過 Lazarus Group 的示例來了解老練的不良分子調(diào)整洗錢策略的兩種重要方式:
在 Sinbad 被取締并被 OFAC 指定后使用新的混合器���;
通過跨鏈橋進(jìn)行鏈跳轉(zhuǎn)����。
下面我們來看看��。
新混合器:YoMix 接替 Sinbad
總體而言�����,2023 年從非法地址發(fā)送到混合器的資金有所下降,從 2022 年的 10 億美元減少到 2023 年的 5.043 億美元。
這在很大程度上可能是由于執(zhí)法和監(jiān)管努力,例如 2023 年 11 月對混合器 Sinbad 的制裁和關(guān)閉��。但 Lazarus Group 等復(fù)雜的網(wǎng)絡(luò)犯罪組織已經(jīng)調(diào)整了混合器的使用方式�。 正如我們在去年的《加密貨幣犯罪報告》中所報道的那樣��,在 Tornado Cash 受到制裁后不久��,Sinbad 在 2022 年成為了朝鮮相關(guān)黑客的首選混合者,而 Tornado Cash 此前一直是這些老練的網(wǎng)絡(luò)犯罪分子的首選����。 隨著 Sinbad 的退出�,基于比特幣的混合器 YoMix 成為了替代者�。 我們可以在下面的 Reactor 圖上看到一個這樣的例子,其中顯示了一個與朝鮮黑客活動相關(guān)的錢包從 YoMix 接收資金�,而它之前曾從 Sinbad 接收資金�。
總體而言�,YoMix 在 2023 年實現(xiàn)了巨大增長,全年資金流入增長了 5 倍以上���。
根據(jù) Chainalysis 數(shù)據(jù),大約三分之一的 YoMix 資金流入來自與加密貨幣黑客相關(guān)的錢包�����。 YoMix 的發(fā)展及其受到 Lazarus Group 的歡迎是一個典型的例子�,說明當(dāng)以前流行的混合服務(wù)被關(guān)閉時,成熟的參與者有能力適應(yīng)并找到替代的混合服務(wù)��。
使用跨鏈橋
跨鏈橋允許用戶將資金從一個區(qū)塊鏈轉(zhuǎn)移到另一個區(qū)塊鏈�����。 一般來說�����,任何人都可以訪問這些智能合約,盡管理論上橋可以實現(xiàn)黑名單���。 所有這些活動都發(fā)生在鏈上���,這意味著區(qū)塊鏈分析師可以通過橋追蹤資金��,因為沒有中心化實體托管轉(zhuǎn)移到橋的資金�。
如前所述,2023 年�,非法行為者利用橋接協(xié)議進(jìn)行洗錢的情況大幅增加�,尤其是在加密貨幣盜竊中�����。
總體而言�,橋接協(xié)議在 2023 年從非法地址接收了 7.438 億美元的加密貨幣�����,而 2022 年僅為 3.122 億美元����。
與朝鮮有關(guān)的黑客是最常利用跨鏈橋進(jìn)行洗錢的黑客之一�,我們可以在下面的 Reactor 圖上看到此活動的示例。
在這種情況下����,與 2022 年 Harmony 黑客攻擊相關(guān)的資金于 2023 年 5 月轉(zhuǎn)移到流行的橋接協(xié)議����,從比特幣區(qū)塊鏈轉(zhuǎn)移到 Avalanche 區(qū)塊鏈�。 然后這些資金被交易為穩(wěn)定幣,然后使用不同的協(xié)議再次橋接��,這次是從 Avalanche 區(qū)塊鏈到 TRON 區(qū)塊鏈����。
老練的黑客常調(diào)整洗錢策略
我們從 Lazarus Group 等加密貨幣犯罪分子那里看到的洗錢策略的變化提醒我們,最老練的非法行為者總是在調(diào)整他們的洗錢策略并利用新型加密服務(wù)����。 通過研究這些新的洗錢方法并熟悉與其相關(guān)的鏈上模式,執(zhí)法和合規(guī)團(tuán)隊可以提高效率。
喜來順財經(jīng)
