真真假假，鏈上視角看緬北同盟軍「勒索」地址

本文對(duì)已公開地址從地址資金收付規(guī)律、地址資金來(lái)源風(fēng)險(xiǎn)、關(guān)聯(lián)地址活動(dòng)進(jìn)行了深度分析，并對(duì)相關(guān)分析內(nèi)容進(jìn)行了披露。

撰文：慢霧、幣追團(tuán)隊(duì)

背景

2024 年 1 月 16 日，有博主在中文社交平臺(tái)爆料稱，緬甸同盟軍疑似向滯留緬甸的電詐產(chǎn)業(yè)從業(yè)者強(qiáng)行收取高額加密貨幣，并展示了聲稱被用于收款的加密貨幣地址，目前該爆料已經(jīng)在網(wǎng)絡(luò)中形成了較為廣泛的傳播。

本文由 Bitrace & MistTrack 共同對(duì)已披露地址進(jìn)行加密資金分析，包括：地址資金收付規(guī)律、地址資金來(lái)源風(fēng)險(xiǎn)、關(guān)聯(lián)地址活動(dòng)等，旨在對(duì)相關(guān)分析內(nèi)容進(jìn)行披露。

地址行為分析

(https://mp.weixin.qq.com/s/WDWM22vw68-NsVr0_1jHfA)

上圖為爆料文章中的信息，基于此，研究人員對(duì)已披露的收款地址 TKFsCN 進(jìn)行了 USDT 匯率分析，嘗試通過(guò)某些特定金額的 USDT 收款反推出背后的結(jié)算單位。

收款地址的歷史交易記錄顯示，該地址所接收的 USDT 單筆交易存在大量非整十、整百數(shù)額，例如 71417、42857 等數(shù)字，這常見于交易是以非美元作為結(jié)算單位的情形。而在嘗試用各主流法幣兌 USDT 匯率進(jìn)行計(jì)算之后，研究人員發(fā)現(xiàn)這些交易疑似是以 1 USD : 7-7.2 RMB 的匯率在進(jìn)行結(jié)算，并且單次資金轉(zhuǎn)入數(shù)額在人民幣數(shù)額 50-60 萬(wàn)、100 萬(wàn)整、150 萬(wàn)整的幾個(gè)區(qū)間出現(xiàn)聚類現(xiàn)象。

在過(guò)濾掉數(shù)額 100 USDT 及以下的交易后，經(jīng)統(tǒng)計(jì)，在 TKFsCN 總計(jì) 307 筆 USDT 轉(zhuǎn)入金額中，有 193 筆為人民幣兌美元匯率的金額轉(zhuǎn)入，交易數(shù)量占總數(shù)的 62.86%，交易金額占總數(shù)的 45.29%。

這表明該地址所收取超過(guò)一半的交易都是以人民幣為單位進(jìn)行結(jié)算的，且換算金額為 50 萬(wàn)的轉(zhuǎn)入占據(jù)主要地位。支付 USDT 的一方應(yīng)當(dāng)是中國(guó)人。

資金來(lái)源分析

原文中提到，「占領(lǐng)老街以后也是到處抓（筆者注：電詐產(chǎn)業(yè)從業(yè)者）中國(guó)人，愿不愿意交錢自保，交錢的可以送走，不交錢的就送中國(guó)」，如果屬實(shí)，TKFsCN 的交易中應(yīng)該存在大量新增交易對(duì)手方，且資金部分來(lái)源于灰黑產(chǎn)、洗錢、欺詐等相關(guān)地址。

數(shù)據(jù)顯示，在 2023 年 10 月 22 日至 2024 年 1 月 2 日之間，TKFsCN 共接收來(lái)自 182 個(gè)直接交易對(duì)手方的 USDT 轉(zhuǎn)賬，其中 117 個(gè)地址出現(xiàn)了小金額 + 大金額的連續(xù)兩筆轉(zhuǎn)賬特征。這是一種典型的轉(zhuǎn)賬測(cè)試行為，付款方為確認(rèn)地址正確而不選擇一次性轉(zhuǎn)移完畢，這表明至少 62.29% 的交易對(duì)手方都可能是初次轉(zhuǎn)賬，并非 TKFsCN 的固定交易伙伴。

而對(duì) TKFsCN 更深入的地址風(fēng)險(xiǎn)資金審計(jì)則表明，向該地址轉(zhuǎn)賬的交易對(duì)手方與黑灰產(chǎn)、網(wǎng)賭、欺詐、洗錢、風(fēng)險(xiǎn)支付等活動(dòng)存在密切關(guān)聯(lián)。在 182 個(gè)直接轉(zhuǎn)入方中，高達(dá) 42% 為風(fēng)險(xiǎn)活動(dòng)關(guān)聯(lián)地址，向 TKFsCN 轉(zhuǎn)入了價(jià)值 33,523,148 美元的 USDT。

（圖片來(lái)自 MistTrack 與 BitracePro）

值得注意的是，在這批風(fēng)險(xiǎn)活動(dòng)關(guān)聯(lián)地址中，調(diào)查人員還找到了 7 個(gè)明確與已知刑事案件相關(guān)的地址，包括兩起洗錢案、一起欺詐案、一起網(wǎng)賭案、一起電話詐騙案，且嫌疑人的地理位置均在緬北或柬埔寨。

這表明向 TKFsCN 發(fā)起支付的對(duì)手方地址，不僅僅涉及大量風(fēng)險(xiǎn)加密活動(dòng)，還與東南亞地區(qū)的不法分子密切相關(guān)。

另有奇怪的一點(diǎn)是，調(diào)查人員還在轉(zhuǎn)出地址找到了一個(gè)關(guān)聯(lián)到電信詐騙案的洗錢地址，說(shuō)明部分轉(zhuǎn)出地址的資金流向上溯源分析同樣存在一定的疑點(diǎn)。該疑點(diǎn)將在下文「關(guān)聯(lián)地址分析」部分做非敏感拓展。

關(guān)聯(lián)地址分析

根據(jù)上述 TKFsCN 地址做聚類分析發(fā)現(xiàn)，該地址與近一百個(gè)地址疑似存在主體聚類關(guān)系，其中部分地址不僅出現(xiàn)了與 TKFsCN 類似的資金收付活動(dòng)，還透露出更多收款方的信息，以收款方 TKKj8G 為例：

• TKKj8G 直接收取了?6 筆來(lái)自 TKFsCN 總計(jì)超過(guò) 460 萬(wàn) USDT 的資金，是收款方后續(xù)資金鏈路中的歸集地址之一；
• TKKj8G 是核心的收款地址之一，在金額超過(guò) 100 USDT 的 60 筆收款中，高達(dá) 50 筆收款存在與 TKFsCN 雷同的小額測(cè)試行為；
• TKKj8G 在 2023 年 8 月 18 日就開始活躍，遠(yuǎn)早于其他地址，且在此期間與匯旺擔(dān)保存在交易行為 —— 從匯旺擔(dān)保地址接收 16 萬(wàn) USDT，行為上分析為匯旺擔(dān)保的商戶從匯旺擔(dān)保處取回押金。

?

這表明原文所說(shuō)的「財(cái)經(jīng)部地址」可能并不存在，包括 TKFsCN 與 TKKj8G 在內(nèi)的地址集應(yīng)當(dāng)隸屬于某個(gè)位于緬北或柬埔寨的數(shù)字貨幣承兌商，出于某種原因代為收取這些款項(xiàng)。

異常交易

綜上所述，調(diào)查人員們不難勾勒出一個(gè)典型的支付方畫像——在東南亞地區(qū)從事非法工作，出于某個(gè)原因不得不向某個(gè)代收地址支付價(jià)值 50 萬(wàn)元人民幣的 USDT。因?yàn)槭鞘状谓灰祝瑸榉乐沟刂峰e(cuò)誤而在大量轉(zhuǎn)入前進(jìn)行了小額測(cè)試。而用于支付的加密貨幣，或是來(lái)自其原有的非法所得，或是購(gòu)買自其他非法實(shí)體。

但并非所有支付方都是如此，調(diào)查人員同樣發(fā)現(xiàn)了一些不符合或者不完全符合這類特征的地址，以 TYU5acSGRwsYJfBhdpQc3broSpfsjs8QFF 為例，該地址是前文所述的 7 個(gè)直接涉案地址之一，其他 6 個(gè)地址分別向 TKFsCN 轉(zhuǎn)移了價(jià)值 50 萬(wàn)、50 萬(wàn)、100 萬(wàn)、100 萬(wàn)、270 (150 + 120) 萬(wàn)、55 萬(wàn)元人民幣的加密貨幣，但 TYU5ac 的轉(zhuǎn)賬金額按照同等匯率換算為 136 萬(wàn)元人民幣，盡管是整數(shù)，可這一特別的金額仍然迥異于其他地址。

調(diào)查人員無(wú)從得知其中原因，考慮到該地址存在小額測(cè)試行為，一種合理的猜測(cè)是，該地址背后的交易代表了 3 筆價(jià)值 50 萬(wàn)人民幣的合并轉(zhuǎn)賬，并獲取了 10% 的折扣。

總結(jié)

本文對(duì)已公開地址從地址資金收付規(guī)律、地址資金來(lái)源風(fēng)險(xiǎn)、關(guān)聯(lián)地址活動(dòng)進(jìn)行了深度分析，并對(duì)相關(guān)分析內(nèi)容進(jìn)行了披露。主要結(jié)論如下：

1. 該分析目標(biāo)地址所收取超過(guò)一半的交易都是以人民幣為單位進(jìn)行結(jié)算的，且換算金額為 50, 100, 150 萬(wàn)的轉(zhuǎn)入占據(jù)主要地位；
2. 向該分析目標(biāo)地址轉(zhuǎn)賬的交易對(duì)手方地址，與黑灰產(chǎn)、網(wǎng)賭、欺詐、洗錢、風(fēng)險(xiǎn)支付等活動(dòng)存在密切關(guān)聯(lián)；
3. 目標(biāo)地址及其關(guān)聯(lián)地址在密集收取這類資金前，就已經(jīng)存在風(fēng)險(xiǎn)業(yè)務(wù)活動(dòng)痕跡，對(duì)該分析地址進(jìn)行聚類分析后發(fā)現(xiàn)，該聚類疑似匯旺擔(dān)保的某個(gè)商戶；
4. 向該分析目標(biāo)地址發(fā)起支付的對(duì)手方地址，與緬北或柬埔寨地區(qū)的不法分子密切相關(guān)。

綜上所述，《同盟軍虛擬貨幣賬戶被曝光，勒索北國(guó)人數(shù)億元的虛擬幣》一文中爆料的部分內(nèi)容與鏈上事實(shí)相符合，的確存在大量位于緬北或柬埔寨的中國(guó)電詐產(chǎn)業(yè)從業(yè)者集體向某個(gè)地址集轉(zhuǎn)移整數(shù)人民幣金額的 USDT 資產(chǎn)，但該組地址可能并非所謂的「財(cái)經(jīng)部地址」，而是當(dāng)?shù)氐臄?shù)字貨幣承兌商地址，與原文所述不同。