ETH:通付盾SharkTeam加密貨幣反洗錢（AML）分析_加密貨幣

　　隨著加密貨幣的不斷發展，其匿名性和資金難以收回等特點，以及加密貨幣立法尚不健全的情況，被越來越多的不法分子用來做為洗錢的工具。

　　AML由阻止非法資金流通和洗錢的條例與法律組成。從古至今打擊非法犯罪行為都沒有間斷，而“洗錢”這一概念只有約100多年的歷史。1989年，反洗錢金融行動特別工作組正式成立。該組織是國際金融監管機構為提高加密貨幣在金融市場的合法性，保護消費者利益和防范洗錢犯罪活動而制定的一套標準和指導原則。各國政府都要求對加密貨幣交易所、錢包提供商等加密貨幣金融機構在反洗錢方面加強防范措施。

　　一、加密貨幣洗錢現狀

　　從2015年到2022年，加密貨幣洗錢總數達677億美元之多，洗錢數目令人瞠目。從2020年開始洗錢金額以每年67％的速度不斷增加，到2022年達到238億美元，加密貨幣反洗錢行動勢在必行。

　　2022年發送到鏈上混幣協議的資金總額為77.68億美元，其中被盜資金為66.37億美元，占比達到86％。其中暗網市場和詐騙的金額也較大，分別占到金額總數的6％，5％。

　　二、加密貨幣洗錢方式及流程

　　1、中心化工具洗錢：OTC+嵌套交易所

　　首先，不法分子需要經過OTC服務整理匯總虛擬貨幣。提前在交易所開設賬戶，將所獲得的虛擬貨幣在交易所進行兌換。由于中心化交易所需要KYC認證，因此，不法分子通常使用嵌套交易所。

區塊鏈情報公司Arkham已新增支持Tron網絡:6月20日消息，區塊鏈情報公司Arkham Intelligence已新增支持Tron網絡，支持用戶為Tron上的交易設置實時警報、查看頂級交易員/投資者在Tron上的行為、查看Arkham上任何受支持代幣的鏈上分析和數據指標、跟蹤個人投資組合和歷史表現等等[2023/6/20 21:48:15]

　　所謂嵌套交易所，指的是不需要KYC驗證，注冊地與實際運營地址不同，寄生于主流中心化交易所的虛擬貨幣場外交易經紀商，這些嵌套交易平臺有時被稱作“即時交易平臺”。利用嵌套交易平臺洗錢運作方式如下：

　　不法分子將資金存入嵌套交易平臺。

　　嵌套交易平臺將資金發到他們在宿主交易平臺的賬戶/錢包完成兌換。

　　嵌套交易平臺將新換好的資金返還，交易隨即完成。

　　整個過程嵌套交易所利用主流中心化交易所提供的流動性和低廉的交易費用。在多級托管模式下，賬戶體系層層嵌套，托管鏈條越長、參與者越多，資金鏈源頭便越模糊。

　　嵌套交易所在烏克蘭和俄羅斯非常流行，2021年9月21日，OFAC宣布制裁實際在俄羅斯運營的加密貨幣交易平臺Suex，將它列為了SDN，理由是它涉嫌為網絡攻擊洗錢，為至少八種勒索軟件變體的非法收益提供便利，且超過40％的交易量與已知惡意行為相關地址有關。

　　2020年11月，某公司被詐騙團伙冒充的公司領導詐騙近600萬。經過專案組長達半年的調查，一個利用網絡交易虛擬貨幣為電信網絡詐騙犯罪“洗錢”的團伙逐漸浮出水面。經查實，該犯罪團伙成員在湖南、四川等地，組織數十名“買手”，通過個人手機上下載虛擬貨幣交易平臺，并利用本人或他人身份信息注冊賬戶。注冊完畢后，犯罪嫌疑人將詐騙所得轉入這些賬戶，再通過場外OTC交易購買虛擬貨幣。獲得虛擬貨幣后，犯罪嫌疑人通過逐級提轉，最后匯入境外洗錢犯罪嫌疑人錢包地址，再轉給境內犯罪嫌疑人，在交易平臺上出售進行套現，從而完成非法所得資金到虛擬貨幣，再到法定貨幣資金的“洗白”過程。

Paradigm希望美SEC撤回其“語無倫次”的交易所擬議定義:金色財經報道，加密貨幣風險公司Paradigm的特別顧問Rodrigo Seira和該公司的政策總監Justin Slaughter今天對證券交易委員會對交易所的重新定義發表了評論，聲稱它需要從頭開始。

Seira和Slaughter在聲明中寫道，“委員會達成有效的DeFi監管方法的唯一途徑是撤回其擬議的修正案，并從頭開始，在與DeFi行業進行真正的接觸、對其在這一領域的權力的法定限制進行清晰的評估，以及對國會實際授權其采取的替代方法的成本和效益進行全面分析之后，提出明確描述其擬議監管方法的擬議規則制定通知。如果不這樣做，就是讓一個受了傷的規則制定過程蹣跚前進，對委員會、加密貨幣行業和委員會負責保護的投資者不利。”[2023/6/9 21:25:40]

　　從上述案例可以總結出虛擬貨幣洗錢的過程大致可分為三步：

　　整合贓款：不法分子通過場外OTC交易購買虛擬貨幣，將非法所得整合后注入洗錢渠道中。

　　清洗贓款：利用虛擬貨幣的匿名性進行復雜交易，以掩蓋資金來源。

　　歸集提現。在經過清洗后，不法分子持有的虛擬貨幣已相對“安全”，隨后將所有被洗過的虛擬貨幣歸集到某一地址上完成提現。這樣就基本上完成洗錢操作了。

　　2、去中心化工具洗錢

　　據ChainAegis平臺統計，鏈上混幣平臺TornadoCash的資金量自2020年1月以來一直保持著高速增長，目前已經有近362萬個ETH存款于這個資金池中，存入總額達78億美元，TornadoCash已然變成以太坊最大的洗錢中心。但隨著2022年8月份美國財政部發文制裁TornadoCash，從下圖我們可以明顯看到，TornadoCash每周的存取款數成倍下跌，但因為TornadoCash的去中心化屬性，導致無法從源頭制止，依舊還是有資金不斷涌入該系統進行混幣。

國務院辦公廳：探索擴大區塊鏈技術應用，提升現代供應鏈運行效率:金色財經報道，國務院辦公廳關于印發“十四五”現代物流發展規劃的通知，其中提到要提升現代供應鏈運行效率，加強數字化供應鏈前沿技術、基礎軟件、先進模式等研究與推廣，探索擴大區塊鏈技術應用，提高供應鏈數字化效率和安全可信水平。[2022/12/15 21:46:49]

　　為了增強隱匿性，TornadoCash存在4個存儲ETH池合約，分別用來接收和提幣0.1、1、10、100ETH的單筆交易。2021年TornadoCash四個額度的ETH提款數量均為最高，年度總提款量分別達953.6ETH、24574ETH、200760ETH、1501500ETH。

　　據ChainAegis鏈上監測數據顯示，自2020年9月起，每月TornadoCash的提款次數整體呈現上漲態勢。其中，額度為10ETH以上的提款數呈現持續上升趨勢，并于2022年3月提款次數最高，為2704次；2022年4月次之，為2606次。

　　結合上下兩圖來看，受美國財政部制裁的影響，2022年提款量主要分布于1月份至8月份，占全年總提款次數的93.1％。

加密貨幣分析師：根據MVRV比率數據，比特幣已經達到了與之前熊市相同的水平:金色財經報道，加密貨幣分析師Michael van de Poppe在一條推文中分享了比特幣的市場價值與實現價值（MVRV比率）數據。根據MVRV比率數據，比特幣已經達到了與之前熊市相同的水平。從歷史上看，BTC價格已從2018年11月、2015年1月和2011年11月的這些水平恢復。雖然比特幣大多遵循其歷史圖表模式，但大多數人認為比特幣這次不會遵循數據。由于加密貨幣市場仍面臨壓力，人們預計比特幣將進一步下跌。但是，MichaelvandePoppe建議在短期和長期內在當前水平增持和持有比特幣。

鏈上數據顯示，1周到1個月購買的BTC占比近期達到了UXTO總量的3%。這是基于這種下降趨勢的最低點，但自FTX危機以來一直在增加。這表明有些人正在為長期觀點增持比特幣。[2022/11/27 20:56:58]

　　TonadoCash先后進行兩個版本的整改，隱匿性也隨之增強。但是在監管和市場沒準備好的情況下卻被不法分子濫用，成為洗錢工具，其隱匿性也為反洗錢帶來了較大難度。2022年6月23日，Harmony鏈和以太坊之間的Horizon跨鏈橋遭受多次惡意攻擊。由于所有者私鑰泄漏，導致Harmony鏈上將近1億美元等值的虛擬資產被盜。

　　ChainAegis于6月28日監測到，攻擊者地址開始分批次、分步驟轉換轉移盜取的資金，已有過半數資金轉移至黑客常用混幣協議：Tornado.Cash中。按照監測流程，ChainAegis使用圖譜工具對資金流向鏈路進行追蹤，發現攻擊Harmony黑客的洗錢模式與攻擊RoninNetwork黑客的洗錢模式存在高度一致性，攻擊者可能來自朝鮮黑客組織Lazarus。兩個攻擊事件后續的洗錢模式高度一致，均包含三個步驟：

V神：ERC721s隱形地址可以為NFT生態系統提高隱私:8月8日消息，以太坊聯合創始人Vitalik Buterin發推表示有一個想法，即ERC721s的隱形地址，這是一種為NFT生態系統增加大量隱私的低技術方法。例如，當用戶向vitalik.eth發送一個NFT，除了vitalik.eth（新主人）之外的任何人都無法看到這個NFT的新主人是誰。[2022/8/8 12:09:41]

　　被盜資金整理兌換：發起攻擊后整理原始被盜代幣，通過dex等方式將多種代幣swap成ETH。這是規避資金凍結的常用方式。

　　被盜資金歸集：將整理好的ETH歸集到數個一次性錢包地址中。Ronin事件中黑客一共用了9個這樣的地址，而Harmony使用了14個。

　　被盜資金轉出：使用歸集地址通過Tornado.Cash將錢洗出。這便完成了全部的洗錢過程。

　　除了具備相同的洗錢模式，在洗錢的細節上二者也有高度的一致性：

　　攻擊者非常有耐心，均使用了長達一周的時間進行洗錢操作，均在事件發生幾天后開始后續洗錢動作。

　　洗錢流程中均采用了自動化交易，大部分資金歸集的動作交易筆數多，時間間隔小，模式統一；

圖:RoninNetworkbreathfirst視圖

圖:Harmonybreathfirst視圖

　　類似TornadoCash的去中心化工具還有很多，像umbra，aztecNetwork，門羅幣等，它們均具有隱匿性強的特征，未來可能還有更多的隱私賽道產生，需要注意使用新的監管技術為去中心化社區帶來合規屬性，產生正向價值。

　　三、ChainAegis加密貨幣反洗錢分析

　　如何利用ChainAegis鏈上分析平臺對混幣過的地址進行反洗錢分析，我們以Nomad事件為例進行分析。

　　找到Nomad事件攻擊地址

　　0x65760288f19cFf476B80A36a61F9DEDAb16Bab49

　　通過分析發現，該地址還有一個關聯地址：

　　0x72ccbb2002254bd8a0485d13a3a2faa9b0f992c6

　　該地址在2022-08-0208:13:40~2022-08-0208:23:22向合約Tornado.Router轉入了3100枚ETH。查看最后一筆交易哈希，我們可以發現這個合約又將ETH轉到了合約Torando.Cash:100ETH。最后通過合約Tornado.Router向地址3586轉了3000枚ETH。在2022-08-0215:55:04,2022-08-0814:53:23這兩個時間段，地址3586分別向Aave：WETH：Gateway轉出了2000ETH，999.7ETH。

　　經過核對我們可以看到地址：0x35869B5fACa988519681Bb16CbB9E193Ed574aA3中的轉出資金數額與黑客分批存入Tornado.Router中的資金數額基本一致，與我們的分析吻合。

　　Nomad的另一個攻擊地址

　　0xC9943f94142D81790eCf8EEE2C879d47730cf599分別將1205枚ETH和2580枚ETH轉移到中間地址。最后轉入Tornado.Router。

　　地址0x7a98和地址0x8d5d最后將資金轉入Tornado.Router。

　　按照上述地址的分析方法，我們可以找到兩個主要地址：

　　0xA89DB320721f517c36b1256314aD4575F12342e8接收了來自Tornado.Router的1960枚ETH。

　　0xae40379049d22D7CB780D3a908ddED0c30be46EA接收了來自Tornado.Router的740枚ETH。

　　根據資金轉出記錄的時間線索我們可以分析出以上兩個地址中的資金是黑客分批存入Tornado.Router中的，以此對加密貨幣洗錢行為進行有效分析和偵查。

　　AboutUs

　　SharkTeam的愿景是全面保護Web3世界的安全。團隊由來自世界各地的經驗豐富的安全專業人士和高級研究人員組成，精通區塊鏈和智能合約的底層理論，提供包括智能合約審計、鏈上分析、應急響應等服務。已與區塊鏈生態系統各個領域的關鍵參與者，如Polkadot、Moonbeam、polygon、OKC、HuobiGlobal、imToken、ChainIDE等建立長期合作關系。

本文源自：南早網

Tags：ETH加密貨幣ChainETH錢包地址ETH挖礦app下載Etherael指什么寓意加密貨幣是什么意思啊加密貨幣市場還有未來嗎知乎全球十大加密貨幣Chain幣是什么幣

TUSD