文章:慢雾,货币追逐团队
背景
2024 年 1 月 16 日,一位博主在中国社交媒体平台上透露,缅甸盟军涉嫌强迫停留在缅甸的电子欺诈行业从业者收取高数字货币,并显示了声称用于收款的数字货币地址。目前,这一消息已经在互联网上形成了广泛的传播。
本文由 Bitrace & MistTrack 共同对披露地址进行加密资金分析,包括:地址资金收付规则、地址资金来源风险、相关地址活动等,旨在披露相关分析信息。
地址行为分析
(https://mp.weixin.qq.com/s/WDWM2vw68-Nsvr0_1jHFA
上图显示了文章中的信息。基于此,研究人员对公布的收款地址进行了研究 TKFsCN 进行了 USDT 汇率分析,尝试通过某些特定数额的汇率分析 USDT 收款反向推出背后的结算单位。
根据收款地址的历史交易明细,地址收到的 USDT 每笔交易都有很多非整十、整百的金额,比如 71417、42857 等数,这多见于交易以非美元为结算单位的情况。但试着用各种主流法币兑换 USDT 在计算汇率后,研究人员发现这些交易被怀疑是基于 1 USD : 7-7.2 RMB 汇率结算,一次性资金转移金额为人民币 50-60 万、100 万整、150 万整的几个区间出现聚类现象。
过滤掉金额 100 USDT 以下交易结束后,经统计,在 TKFsCN 总计 307 笔 USDT 转到额度,有 193 笔为人民币兑美元汇率金额转入,交易数量占总数 62.86%,交易额占总数 45.29%。
这说明地址收取的交易一半以上是以人民币为单位结算的,换算金额为 50 万的转向占据主导地位。支付。 USDT 一方应该是中国人。
资金来源分析
原文中提到,「占领老街后,中国人也到处抓(笔者注:电子诈骗行业从业者)。如果他们愿意支付自我保护费用,他们可以把钱送走。如果他们不付钱,他们会把钱送到中国」,如果属实,TKFsCN 交易中应有许多新的交易对手,资金部分来自灰黑色生产、洗钱、欺诈等相关地址。
数据显示,在 2023 年 10 月 22 日至 2024 年 1 月 2 日之间,TKFsCN 共接收来自 182 直接交易对手方 USDT 转账,其中 117 一个地址出现了小额度 大数额连续几次转账的特点。这是一种典型的转账检测行为,付款人为了确定正确的地址而不选择一次性转账,这表明至少至少是一次性转账。 62.29% 交易对手可能是第一次转账,而不是 TKFsCN 固定交易伙伴。
而对 TKFsCN 更深入的地址风险基金审计表明,向地址转移的交易对手与黑灰产品、网上赌博、欺诈、洗钱、风险支付等活动密切相关。在 182 直接转到方中,高达 42% 为风险活动相关地址,向风险活动相关地址, TKFsCN 转入了价值 33,523,148 美金的 USDT。
(图片来自 MistTrack 与 BitracePro)
值得注意的是,在这些风险活动的相关地址中,调查人员也找到了 7 与已知刑事案件有关的地址明确,包括多起洗钱案件、欺诈案件、网上赌博案件、电话欺诈案件,嫌疑人的地理位置在缅甸北部或柬埔寨。
这表明向 TKFsCN 支付对手的地址不仅涉及大量的风险加密活动,而且与东南亚的罪犯密切相关。
另一个奇怪的是,调查人员仍在转出地址,找到了一个与电信诈骗案相关的洗钱地址,表明对部分转出地址资金流入的可追溯性分析也存在一定的疑问。这个问题将在下面「相关地址分析」部分进行非敏感扩展。
相关地址分析
依据上述 TKFsCN 地址进行聚类分析发现,该地址涉嫌与近100个地址存在主体聚类关系,部分地址不仅出现和出现,而且出现 TKFsCN 类似的资金收付活动也为收款人提供了更多的信息,用于收款人 TKKj8G 为例:
TKKj8G 直接收取了 6 笔来自 TKFsCN 总计超过 460 万 USDT 资金是收款人后续资金链接中的会计地址之一;
TKKj8G 它是核心收款地址之一,金额超过金额 100 USDT 的 60 在笔收款中,高达 50 存在和存在笔收款 TKFsCN 小额检测行为相似;
TKKj8G 在 2023 年 8 月 18 日本开始活跃,远远超过其他地址,在此期间与汇旺担保存在交易行为 —— 接收汇旺担保地址 16 万 USDT,行为分析为汇旺担保的商户从汇旺担保处取回押金。
这说明了原文所说的话「财经部地址」可能不存在,包括在内 TKFsCN 与 TKKj8G 地址集应归属于缅甸北部或柬埔寨的数字货币承兑人,并因某种原因代为收取这些款项。
异常交易
综上所述,调查人员不难勾勒出一幅典型的支付方肖像——在东南亚从事非法工作,因某种原因不得不向收款地址支付价值 50 一万元人民币 USDT。因为这是第一笔交易,为了避免地址错误,在大量转移之前进行了小测试。用于支付的数字货币要么来自其原有的非法收入,要么来自其他非法实体。
但并非所有支付方都是如此。调查人员还发现了一些不符合或不完全符合这一特点的地址,以便 SFRSSFRSFBhdpoSpoSpsoSpsospssoQFF 例如,上述地址是上述地址。 7 直接涉案地址之一,其他 6 地址分别向 TKFsCN 转移了价值 50 万、50 万、100 万、100 万、270 (150 120) 万、55 数字货币1万元,但数字货币1万元, TYU5ac 转账金额按同等汇率转换为 136 万元,虽然是整数,但这一特殊金额仍与其他地址不同。
调查人员无法知道原因。考虑到该地址的小测试,一个合理的猜测是,该地址背后的交易代表了该地址背后的交易 3 笔价值 50 合并转账1万元,取得1万元,取得 10% 的折扣。
总结
本文从地址资金收付规律、地址资金来源风险、相关地址活动等方面深入分析了公共地址,并披露了相关分析内容。主要结论如下:
分析目标地址收取的交易一半以上以人民币结算,换算金额为 50, 100, 150 万的转向占据主要地位;
将交易对手地址转移到分析目标地址,与黑灰生产、网络赌博、欺诈、洗钱、风险支付等活动密切相关;
目标地址及其相关地址在收取此类资金前已有风险业务活动痕迹。对分析地址进行分类分析后,发现该聚类涉嫌汇旺担保的商家;
支付给分析目标地址的对手地址与缅甸北部或柬埔寨的罪犯密切相关。