隨著加密貨幣的不斷發(fā)展，其匿名性和資金難以收回等特點，以及加密貨幣立法尚不健全的情況，被越來越多的不法分子用來做為洗錢的工具。

　　AML（反洗錢）由阻止非法資金流通和洗錢的條例與法律組成。從古至今打擊非法犯罪行為都沒有間斷，而“洗錢”這一概念只有約100多年的歷史。1989年，反洗錢金融行動特別工作組(FATF)正式成立。該組織是國際金融監(jiān)管機構(gòu)為提高加密貨幣在金融市場的合法性，保護消費者利益和防范洗錢犯罪活動而制定的一套標準和指導(dǎo)原則。各國政府都要求對加密貨幣交易所、錢包提供商等加密貨幣金融機構(gòu)在反洗錢方面加強防范措施。

　　一、加密貨幣洗錢現(xiàn)狀

　　從2015年到2022年，加密貨幣洗錢總數(shù)達677億美元之多，洗錢數(shù)目令人瞠目。從2020年開始洗錢金額以每年67%的速度不斷增加，到2022年達到238億美元，加密貨幣反洗錢行動勢在必行。

　　2022年發(fā)送到鏈上混幣協(xié)議（如Tornado Cash）的資金總額為77.68億美元，其中被盜資金為66.37億美元，占比達到86%。其中暗網(wǎng)市場和詐騙的金額也較大，分別占到金額總數(shù)的6%，5%。

　　二、加密貨幣洗錢方式及流程

　　1、中心化工具洗錢：OTC+嵌套交易所

　　首先，不法分子需要經(jīng)過OTC服務(wù)整理匯總虛擬貨幣。提前在交易所開設(shè)賬戶，將所獲得的虛擬貨幣在交易所進行兌換。由于中心化交易所需要KYC認證，因此，不法分子通常使用嵌套交易所。

　　所謂嵌套交易所，指的是不需要KYC驗證，注冊地與實際運營地址不同，寄生于主流中心化交易所的虛擬貨幣場外交易(OTC)經(jīng)紀商，這些嵌套交易平臺有時被稱作“即時交易平臺”。利用嵌套交易平臺洗錢運作方式如下：

　　不法分子將資金存入嵌套交易平臺。

　?。?）嵌套交易平臺將資金發(fā)到他們在宿主交易平臺的賬戶/錢包完成兌換。

　　（3）嵌套交易平臺將新?lián)Q好的資金返還，交易隨即完成。

　　整個過程嵌套交易所利用主流中心化交易所提供的流動性和低廉的交易費用。在多級托管模式下，賬戶體系層層嵌套，托管鏈條越長、參與者越多，資金鏈源頭便越模糊。

　　嵌套交易所在烏克蘭和俄羅斯非常流行，2021年9月21日，OFAC宣布制裁實際在俄羅斯運營的加密貨幣交易平臺Suex，將它列為了SDN，理由是它涉嫌為網(wǎng)絡(luò)攻擊洗錢，為至少八種勒索軟件變體的非法收益提供便利，且超過40%的交易量與已知惡意行為相關(guān)地址有關(guān)。

　　2020年11月，某公司被詐騙團伙冒充的公司領(lǐng)導(dǎo)詐騙近600萬。經(jīng)過專案組長達半年的調(diào)查，一個利用網(wǎng)絡(luò)交易虛擬貨幣為電信網(wǎng)絡(luò)詐騙犯罪“洗錢”的團伙逐漸浮出水面。經(jīng)查實，該犯罪團伙成員在湖南、四川等地，組織數(shù)十名“買手”，通過個人手機上下載虛擬貨幣交易平臺，并利用本人或他人身份信息注冊賬戶。注冊完畢后，犯罪嫌疑人將詐騙所得轉(zhuǎn)入這些賬戶，再通過場外OTC交易購買虛擬貨幣。獲得虛擬貨幣后，犯罪嫌疑人通過逐級提轉(zhuǎn)，最后匯入境外洗錢犯罪嫌疑人錢包地址，再轉(zhuǎn)給境內(nèi)犯罪嫌疑人，在交易平臺上出售進行套現(xiàn)，從而完成非法所得資金到虛擬貨幣，再到法定貨幣資金的“洗白”過程。

　　從上述案例可以總結(jié)出虛擬貨幣洗錢的過程大致可分為三步：

　?。?）整合贓款：不法分子通過場外OTC交易購買虛擬貨幣，將非法所得整合后注入洗錢渠道中。

　　（2）清洗贓款：利用虛擬貨幣的匿名性進行復(fù)雜交易，以掩蓋資金來源。

　?。?）歸集提現(xiàn)。在經(jīng)過清洗后，不法分子持有的虛擬貨幣已相對“安全”，隨后將所有被洗過的虛擬貨幣歸集到某一地址上完成提現(xiàn)。這樣就基本上完成洗錢操作了。

　　2、去中心化工具洗錢

　　據(jù)ChainAegis平臺統(tǒng)計，鏈上混幣平臺Tornado Cash的資金量自2020年1月以來一直保持著高速增長，目前已經(jīng)有近362萬個ETH存款于這個資金池中，存入總額達78億美元，Tornado Cash已然變成以太坊最大的洗錢中心。但隨著2022年8月份美國財政部發(fā)文制裁Tornado Cash，從下圖我們可以明顯看到，Tornado Cash每周的存取款數(shù)成倍下跌，但因為Tornado Cash的去中心化屬性，導(dǎo)致無法從源頭制止，依舊還是有資金不斷涌入該系統(tǒng)進行混幣。

　　為了增強隱匿性，Tornado Cash存在4個存儲ETH池合約(Pools)，分別用來接收和提幣0.1、1、10、100 ETH的單筆交易。2021年Tornado Cash四個額度的ETH提款數(shù)量均為最高，年度總提款量分別達953.6ETH、24574ETH、200760ETH、1501500ETH。

　　據(jù)ChainAegis鏈上監(jiān)測數(shù)據(jù)顯示，自2020年9月起，每月Tornado Cash的提款次數(shù)整體呈現(xiàn)上漲態(tài)勢。其中，額度為10ETH以上的提款數(shù)呈現(xiàn)持續(xù)上升趨勢，并于2022年3月提款次數(shù)最高，為2704次；2022年4月次之，為2606次。

　　結(jié)合上下兩圖來看，受美國財政部制裁的影響，2022年提款量主要分布于1月份至8月份，占全年總提款次數(shù)的93.1%。

　　Tonado Cash先后進行兩個版本的整改，隱匿性也隨之增強。但是在監(jiān)管和市場沒準備好的情況下卻被不法分子濫用，成為洗錢工具，其隱匿性也為反洗錢帶來了較大難度。2022年6月23日，Harmony鏈和以太坊之間的Horizon跨鏈橋遭受多次惡意攻擊。由于所有者私鑰泄漏，導(dǎo)致Harmony鏈上將近1億美元等值的虛擬資產(chǎn)被盜。

　　ChainAegis于6月28日監(jiān)測到，攻擊者地址開始分批次、分步驟轉(zhuǎn)換轉(zhuǎn)移盜取的資金，已有過半數(shù)資金轉(zhuǎn)移至黑客常用混幣協(xié)議：Tornado.Cash中。按照監(jiān)測流程，ChainAegis使用圖譜工具對資金流向鏈路進行追蹤，發(fā)現(xiàn)攻擊Harmony黑客的洗錢模式與攻擊Ronin Network黑客的洗錢模式存在高度一致性，攻擊者可能來自朝鮮黑客組織Lazarus。兩個攻擊事件后續(xù)的洗錢模式高度一致，均包含三個步驟：

　?。?）被盜資金整理兌換：發(fā)起攻擊后整理原始被盜代幣，通過dex等方式將多種代幣swap成ETH。這是規(guī)避資金凍結(jié)的常用方式。

　?。?）被盜資金歸集：將整理好的ETH歸集到數(shù)個一次性錢包地址中。Ronin事件中黑客一共用了9個這樣的地址，而Harmony使用了14個。

　?。?）被盜資金轉(zhuǎn)出：使用歸集地址通過Tornado.Cash將錢洗出。這便完成了全部的洗錢過程。

　　除了具備相同的洗錢模式，在洗錢的細節(jié)上二者也有高度的一致性：

　　（1）攻擊者非常有耐心，均使用了長達一周的時間進行洗錢操作，均在事件發(fā)生幾天后開始后續(xù)洗錢動作。

　?。?）洗錢流程中均采用了自動化交易，大部分資金歸集的動作交易筆數(shù)多，時間間隔小，模式統(tǒng)一；

　　圖： Ronin Network breathfirst視圖

　　圖： Harmony breathfirst視圖

　　類似Tornado Cash的去中心化工具還有很多，像umbra，aztec Network，門羅幣等，它們均具有隱匿性強的特征，未來可能還有更多的隱私賽道產(chǎn)生，需要注意使用新的監(jiān)管技術(shù)為去中心化社區(qū)帶來合規(guī)屬性，產(chǎn)生正向價值。

　　三、ChainAegis加密貨幣反洗錢分析

　　如何利用ChainAegis鏈上分析平臺對混幣過的地址進行反洗錢分析，我們以Nomad事件為例進行分析。

　?。?）找到Nomad事件攻擊地址

　　0x65760288f19cFf476B80A36a61F9DEDAb16Bab49

　　通過分析發(fā)現(xiàn)，該地址還有一個關(guān)聯(lián)地址：

　　0x72ccbb2002254bd8a0485d13a3a2faa9b0f992c6

　　該地址在2022-08-02 08：13：40~2022-08-02 08：23：22向合約Tornado.Router轉(zhuǎn)入了3100枚ETH。查看最后一筆交易哈希（0xd156），我們可以發(fā)現(xiàn)這個合約又將ETH轉(zhuǎn)到了合約Torando.Cash：100ETH。最后通過合約Tornado.Router向地址3586轉(zhuǎn)了3000枚ETH。在2022-08-02 15：55：04，2022-08-08 14：53：23這兩個時間段，地址3586分別向Aave：WETH：Gateway轉(zhuǎn)出了2000 ETH，999.7 ETH。

　　經(jīng)過核對我們可以看到地址：0x35869B5fACa988519681Bb16CbB9E193Ed574aA3中的轉(zhuǎn)出資金數(shù)額與黑客分批存入Tornado.Router中的資金數(shù)額基本一致，與我們的分析吻合。

　?。?）Nomad的另一個攻擊地址

　　0xC9943f94142D81790eCf8EEE2C879d47730cf599分別將1205枚ETH和2580枚ETH轉(zhuǎn)移到中間地址（0x7a98開頭和0x8d5d開頭）。最后轉(zhuǎn)入Tornado.Router。

　　地址0x7a98和地址0x8d5d最后將資金轉(zhuǎn)入Tornado.Router。

　　按照上述地址的分析方法，我們可以找到兩個主要地址：

　　0xA89DB320721f517c36b1256314aD4575F12342e8接收了來自Tornado.Router的1960枚ETH。

　　0xae40379049d22D7CB780D3a908ddED0c30be46EA接收了來自Tornado.Router的740枚ETH。

　　根據(jù)資金轉(zhuǎn)出記錄的時間線索我們可以分析出以上兩個地址（0xA89D開頭和0xae40開頭）中的資金是黑客分批存入Tornado.Router中的，以此對加密貨幣洗錢行為進行有效分析和偵查。

　　About Us

　　SharkTeam的愿景是全面保護Web3世界的安全。團隊由來自世界各地的經(jīng)驗豐富的安全專業(yè)人士和高級研究人員組成，精通區(qū)塊鏈和智能合約的底層理論，提供包括智能合約審計、鏈上分析、應(yīng)急響應(yīng)等服務(wù)。已與區(qū)塊鏈生態(tài)系統(tǒng)各個領(lǐng)域的關(guān)鍵參與者，如Polkadot、Moonbeam、polygon、OKC、Huobi Global、imToken、ChainIDE等建立長期合作關(guān)系。

免責(zé)聲明：以上內(nèi)容為本網(wǎng)站轉(zhuǎn)自其它媒體，相關(guān)信息僅為傳遞更多信息之目的，不代表本網(wǎng)觀點，亦不代表本網(wǎng)站贊同其觀點或證實其內(nèi)容的真實性。如稿件版權(quán)單位或個人不想在本網(wǎng)發(fā)布，可與本網(wǎng)聯(lián)系，本網(wǎng)視情況可立即將其撤除。