柬埔寨匯旺集團遭泰達凍結 2962 萬 USDT 事件分析

WEEX 唯客博客， 作者： Bitrace 泰達幣（Tether USD，以下簡稱 USDT）是由泰達公司發行，在區塊鏈網路中通過智能合約進行約束，幣值錨定美元的中心化穩定代幣。USDT 除了具備其他加密貨幣的匿名轉移、無許可使用特性外，也賦予了發行方巨大的調度許可權，使得開發者能夠定向增發、銷毀某個地址的 USDT 代幣，或者限制特定地址對 USDT 的操作許可權，也即業界所稱的「泰達凍結」。 這類中心化的凍結活動通常由全球各國政府部門的執法請求，或臨時性的特大加密安全事故所觸發，旨在對已知的利用 USDT 進行的違法犯罪活動進行阻止，並對受損資產進行攔截，防止損害擴大化。而隨著 USDT 在現實金融體系的採用度提升，涉幣違法犯罪活動事件頻發，導致泰達凍結活動愈發普遍，對大量正常展業但不慎收取風險加密資金的 web3 企業造成了較大業務負面影響，甚至帶來法律風險。 本文將以柬埔寨匯旺集團被泰達凍結 2962 萬 USDT 事件為例，對此進行分析說明。 匯旺業務規模概覽 匯旺集團是一家位於柬埔寨的大型金融集團，旗下擁有包括加密貨幣錢包、支付、交易擔保、保險、加密貨幣交易所等在內的業務板塊。其最核心的支付與擔保業務大量採用了 USDT，根據 Bitrace 旗下 DeTrust 鏈上風險資金監測管理平台的地址標記數據，HuionePay、HuioneGuarantee 的官方及用戶地址數超 18 萬個，是當地規模最大的加密企業，影響力輻射至整個東南亞乃至東亞地區。 據 Bitrace 監測，2022 年 6 月至 2024 年 6 月之間，所有已知 HuionePay 與 Huione Guarantee 業務地址的月度資金規模一直維持上升趨勢，從 2022 年 6 月最低 10.3 億 USDT，到 2024 年 4 月最高 83.9 億 USDT，兩年間總資金規模達到 1023.97 億 USDT。 在此期間，Huione 相關業務地址也一直保持著較大數量的準備金。在 2022 年 6 月到 2024 年 6 月之間，所有已知 HuionePay 與 HuioneGuarantee 業務地址的日均餘額達到 3568 萬 USDT。 因東南亞系不法分子利用加密貨幣進行非法活動的高發區域，Huione 的業務地址在一定程度上遭到波及。以 HuioneGuarantee 正在使用的核心業務地址 TL8TBp 為例，據 Bitrace 監測，2023 年 7 月 1 日至 2024 年 6 月 30 日期間，該地址總共流入 21.58 億 USDT，其中網賭高風險資金 0.35 億，佔比 1.62%，黑灰產交易高風險資金 3.39 億，佔比 15.71%，洗錢高風險資金 0.54 億，佔比 2.50%，欺詐高風險資金 0.02 億，佔比 0.09%。 匯旺遭凍結地址資金分析 2024 年 7 月 13 日，Tronscan 顯示波場網路地址 TNVaKW 遭到泰達公司限制，其中高達 2962 萬 USDT 被凍結無法轉移，Bitrace 第一時間介入調查。 初步調查結果顯示， TNVaKW 創建僅五天後，總資金交易規模便超過 10 億 USDT，收取了來自大量被標記為 HuionePayUser 的波場地址的存款，同時也收取來自其他 HuionePay 官方地址及 HuioneGuarantee 官方地址的資金。因此 Bitrace 確認該地址系 Huione 官方業務地址，並判斷凍結原因為收取較大金額被盜加密資金。 次日，知名鏈上偵探 ZachXBT 在社交平台進一步表示，早前發生的日本交易所 DMM 被盜事件中，相關被盜資產已經通過跨鏈兌換的形式進入了 HuionePay。 根據 ZachXBT 公開的地址，Bitrace 挖掘到了更多清洗活動有關地址並對整個資金鏈路進行了復盤。其中—— 165 BTC 通過 Avalanche Bridge 跨鏈至 Avalanche  182 BTC 通過 ThorChain Bridge 跨鏈至 Ethereum  263 BTC 通過 Threshold Birdge 跨鏈至 Ethereum 所獲取 tBTC、BTC.b等資產在avalanche、ethereum等鏈兌換為價值相當於 3182 萬美金的 USDT、USDC、DAI等資產後，經跨鏈兌換至TRON 網路，最終其中大約 1400 萬進入TNVaKW。 值得注意的是 DMM 只是資金流入 Huione 地址的公開安全事件中的一個，我們在調查其他事件時發現 Poloniex 交易所被盜事件中的部分資金也與 Huione 有關。2024 年 6 月 5 日至 7 日之間，至少有 105 萬涉案 USDT 流入 HuionePay 用戶地址，並接連流入包括 TLmktr、TR5F41、TNVaKW 在內的多個 HuionePay 官方業務地址。 目前並無直接證據表明 TNVaKW 的被凍結與這兩起安全事件的資金有關，但考慮到 Huione 其他業務地址並沒有遭到凍結，這至少表明這次凍結行動並非針對 Huione 集團本身。 匯旺支付遭擠兌分析 如前文所述，所有已知 HuionePay 與 HuioneGuarantee 業務地址的日均餘額為 3568 萬 USDT，而在凍結事件發生前三個月，該數值則一直維持在 4000 萬 USDT 左右，被凍結的 2963 萬 USDT 相當於其準備金的 75%，存在一定的提款壓力。 對最新的 HuionePay 業務地址 TQuFSv 展開分析—— 該地址在 TNVaKW 遭凍結 2.5 小時后啟用，開始處理 HuionePay 用戶的充值、提現需求，並接收來自 TNVaKW 的 11.48 萬 USDC 遺產，截至 2024/7/16 9:34:39 其交易規模已達到 7.33 億 USDT。 以小時為時間單位對 TQuFSv 的收入、支出情況進行統計，並未發現明顯的資金異常現象，且該地址當前仍存有 1288 萬 USDT 餘額。 對 TQuFSv 的交易對手方進行分析，資金轉入量前十的對手方總共轉入 1.47 億 USDT，其中有兩個地址被標記為 HuioneGuarantee 地址，分別向 TQuFSv 轉入 0.73 億 USDT 與 0.15 億 USDT，佔總轉入的 23.64%；資金轉出量前十的對手方總共從 TQuFSv 獲取 0.80 億 USDT，其中有三個地址被標記為 HuioneGuarantee 地址，獲取資金量分別為 0.14 億 USDT、0.08 億 USDT、0.06 億，佔總轉出的 7.76%。 表明 HuionePay 在凍結事件發生后，經歷了較大規模的資金流出，但官方及時從其他業務地址補充了準備金，能夠滿足用戶的提幣請求。 KYT 重要 對於類似 Huione 的大體量採用 Crypto 的企業而言，充足的資金吞吐量往往會吸引洗錢團伙的注意，在全球範圍內日漸完善的涉幣案件執法行動下，缺乏對平台用戶地址資金風險的識別能力，可能會對平台業務造成影響，甚至導致經營者陷入被調查的風險。 因此，如何採用專業的 KYT 工具以精準識別風險加密資金，並基於必要的風控程序對平颱風險事件進行處理，已經成為涉幣企業不得不考慮的事務。 Bitrace 基於對加密犯罪產業鏈的長期跟蹤研究，建立了獨家數據採集處理體系，構建了針對典型加密犯罪形態和產業鏈的分析模型，通過機器學習和模式識別演算法建模進行數據標籤動態拓展，目前積累了超過4億的地址標籤庫，其中包括實體標籤（交易所、錢包、OTC、支付平台、礦池、DeFi 等）和獨家風險標籤（洗錢、網賭、黑灰產、詐騙、黑客、制裁、凍結、恐怖主義融資、毒品買賣等）。 同時旗下 DeTrust 鏈上風險資金監測管理平台也能夠幫助涉幣企業對重要業務地址進行全天候交易監測，實時對其新發生的每一筆交易及每一個對手方進行 KYT、KYA，支持自定義策略，以實現對其交易風險的動態評估。 合規是企業經營之本，企業通過建立合適的 KYT、KYC 程序，將能夠更好地滿足當地監管部門的要求，並實現市場競爭優勢。 WEEX唯客交易所官網：weex.com