原文作者:BlockSec
轉載:Daisy,火星財經
穩定幣不僅用於洗錢,也頻繁出現在恐怖組織的融資流程中。
引言
穩定幣近年來發展迅猛。隨着其廣泛應用,監管機構也愈發強調建立一套能夠凍結非法資金的機制。我們觀察到,主流穩定幣如 USDT 和 USDC,已經在技術上具備這一能力。在實踐中,已有多個案例表明,這些機制確實在打擊洗錢和其他非法金融活動中發揮了作用。
更進一步,我們的研究表明,穩定幣不僅用於洗錢,也頻繁出現在恐怖組織的融資流程中。因此,本文從兩個角度展開分析:
系統性回顧USDT黑名單地址的凍結行爲;
探索被凍結資金與恐怖融資的關聯。
1. USDT 黑名單地址分析
我們通過鏈上事件監測的方式,對 Tether 黑名單地址進行識別和追蹤。分析方法已通過 Tether 智能合約源碼驗證。核心邏輯如下:
事件識別:
Tether 合約通過兩個事件維護黑名單狀態:
AddedBlackList:新增黑名單地址
RemovedBlackList:移除黑名單地址
數據集構建:
我們對每個被拉黑的地址記錄以下字段:
地址本身
加入黑名單的時間(blacklisted_at)
若地址被移出黑名單,則記錄解除時間(unblacklisted_at)
以下是合約中相關函數的實現:
1.1 核心發現
基於以太坊和波場(Tron)鏈上的 Tether 數據,我們發現如下趨勢:
自 2016 年 1 月 1 日起,共有5,188 個地址被加入黑名單,涉及凍結資金超過29 億美元。
僅在2025 年 6 月 13 日至 30 日期間,就有151 個地址被拉黑,其中90.07%來自 Tron 鏈(地址列表見附錄),凍結金額高達8,634 萬美元。黑名單事件的時間分佈:6 月 15 日、20 日和 25 日爲拉黑高峯,其中 6 月 20 日當天單日拉黑地址數高達 63 個。
凍結金額分佈:金額排名前十的地址共凍結5,345 萬美元,佔總凍結金額的61.91%。平均凍結金額爲57.18 萬美元,但中位數僅爲4 萬美元,表明少量大額地址拉高了整體平均,絕大多數地址被凍結金額較小。
生命週期資金分佈:這些地址累計接收資金8.08 億美元,其中 7.21 億美元在被拉黑前已被轉出,僅有 8,634 萬美元實際被凍結。這表明大部分資金在監管介入前已被成功轉移。此外,有17% 的地址完全沒有出賬記錄,可能作爲臨時存儲或資金聚合點,值得進一步關注。
新創建地址更易被拉黑:41% 的黑名單地址創建時間不足 30 天,27% 存續時間爲 91–365 天,僅有 3% 使用時間超過 2 年,說明新地址更易被用於非法活動。
多數地址實現“凍結前出逃”:約 54%的地址在被拉黑前已轉出其 90% 以上的資金,另有 10%在凍結時餘額爲 0,表明執法行動多數只能凍結資金殘值。
新地址洗錢效率更高:通過 FlowRatio vs. DaysActive 散點圖我們發現,新地址在數量、被拉黑頻率和轉賬效率方面都表現突出,洗錢成功率最高。
1.2 資金流向追蹤
通過 BlockSec 的鏈上追蹤工具MetaSleuth (https://metasleuth.io),我們進一步分析了 6 月 13 日至 30 日間被拉黑的 151 個 USDT 地址的資金流動,從中識別出主要的資金來源與流向。
1.2.1 資金來源分析
內部污染(91 個地址):這些地址的資金來自其他已被拉黑地址,表明存在高度互聯的洗錢網絡。
釣魚標籤(37 個地址):許多上游地址在 MetaSleuth 中被標註爲“Fake Phishing”,可能是掩蓋非法來源的欺騙性標籤。
https://metasleuth.io/result/tron/THpNSa3BMNPPzVNTPZ6aTmRsVzGR6uRmma?source=26599be9-c3a9-42a6-a2ae-b6de72418003
交易所熱錢包(34 個地址):資金來源包括 Binance(20)、OKX(7)和 MEXC(7)等交易所熱錢包,可能與被盜賬戶或“騾子賬戶”相關。
單一主要分發者(35 個地址):同一個黑名單地址多次作爲上游,可能作爲聚合器或混幣器進行資金分發。
跨鏈橋接入口(2 個地址):資金部分來源於跨鏈橋,表明存在跨鏈洗錢操作。
1.2.2 資金去向分析
流向其他黑名單地址(54 個):黑名單地址之間存在“內部循環鏈”的結構。
流向中心化交易所(41 個):這些地址將資金轉入如 Binance(30)、Bybit(7)等 CEX 的充值地址,實現“下車”。
流向跨鏈橋(12 個):表明部分資金試圖逃離 Tron 生態,繼續跨鏈洗錢。
https://metasleuth.io/result/tron/TBqeWc1apWjp5hRUrQ9cy8vBtTZSSnqBoY?source=ddea74a3-fb52-4203-846a-c7be07fbb78d
值得注意的是,Binance 和 OKX 同時出現在資金流入(熱錢包)和流出(充值地址)兩端,進一步凸顯其在資金鍊中的核心位置。當前交易所對 AML/CFT 的執行不足以及資產凍結滯後,可能讓不法分子在監管介入前完成資產轉移。
我們建議各大加密交易平臺作爲資金的核心通道,應加強實時監測與風險攔截機制,防患於未然。
https://metasleuth.io/result/tron/TFjqBgossxvtfrivgd6mFVhZ1tLqqyfZe9?source=7ba5d0da-d5b5-41ab-b54c-d784fb57f079
2. 恐怖融資分析
爲了進一步理解 USDT 在恐怖融資中的使用情況,我們分析了以色列國家反恐融資局(NBCTF)發佈的行政扣押令(Administrative Seizure Orders)。儘管我們採用的單一數據源難以還原全貌,但將其作爲代表性樣本,用於評估 USDT 涉恐交易的保守分析和估計。
2.1 核心發現
發佈時點:自 2025 年 6 月 13 日以色列-伊朗衝突升級後,僅新增 1 份扣押令(6 月 26 日)。而上一份文件停留在 6 月 8 日,顯示出在地緣緊張時期執法響應存在滯後。
目標組織:自 2024 年 10 月 7 日衝突爆發以來,NBCTF 共發佈 8 份扣押令,其中 4 份明確提到“哈馬斯”,而最新一份則首次提到“伊朗”。
扣押令涉及到的地址和資產:
76 個 USDT(Tron)地址
16 個 BTC 地址
2 個以太坊地址
641 個 Binance 賬戶
8 個 OKX 賬戶
我們對 76 個 USDT (Tron) 地址的鏈上追蹤揭示了 Tether 在響應這些官方指令時的兩種行爲模式:
主動凍結:Tether 在扣押令發佈前就已將其中 17 個 Hamas 相關地址加入黑名單,平均提前 28 天,最早甚至提前了45 天。
快速響應:對其餘地址,Tether 在扣押令公佈後平均僅用 2.1 天即完成凍結,顯示出良好的執法配合能力。
這些跡象表明,Tether 與一些國家執法機構之間存在密切,甚至前置性的合作機制。
3. 總結與 AML/CFT 面臨的挑戰
我們的研究顯示,雖然穩定幣如 USDT 爲交易可控性提供了技術手段,但在實踐中 AML/CFT 仍面臨以下挑戰:
3.1 核心挑戰
滯後執法 vs 主動防控:目前多數執法行爲仍依賴事後處理,留給不法分子轉移資產的空間。
交易所的監管盲區:中心化交易所作爲進出金樞紐,往往監測不足,難以及時識別異常行爲。
跨鏈洗錢愈發複雜:多鏈生態和跨鏈橋的使用,使得資金轉移更隱蔽,監管追蹤難度倍增。
3.2 建議
我們建議穩定幣發行方、交易所及監管機構:
加強鏈上情報共享;
投資實時行爲分析技術;
建立跨鏈合規框架。
只有在及時、協同、技術成熟的 AML/CFT 體系下,穩定幣生態系統的合法性和安全性才能得到真正保障。
4. BlockSec 的努力
在 BlockSec,我們致力於推動加密行業的安全性與合規性建設,專注於爲 AML 和 CFT 提供可落地、可操作的鏈上解決方案。我們推出了兩項關鍵產品:
4.1 Phalcon Compliance
專爲交易所、監管機構、支付項目和 DEX 設計,支持:
多鏈地址風險評分
實時交易監控
黑名單識別與告警
幫助用戶滿足日益嚴格的合規要求。
4.2 MetaSleuth
我們的可視化鏈上追蹤平臺,已被全球 20 多家監管與執法機構採用。它支持:
可視化資金追蹤
多鏈地址畫像
複雜路徑還原與分析
這兩款工具共同體現了我們的使命——守護去中心化金融系統的秩序與安全。
