北京鏈安追蹤了 OFAC 公佈的兩位中國公民涉案的 20 個 BTC 地址,發現 3800 BTC 來源於多起黑客盜幣事件。

相關閱讀:《兩名中國比特幣 OTC 兌換商被美國司法部起訴,不久前曾被美財政部制裁》、《美國製裁兩名中國比特幣 OTC 兌換商,理由爲協助黑客組織 Lazarus 洗錢

原文標題:《日韓交易所被盜,美國製裁中國 OTC 兌換商?3800BTC 交易揭示背後過程》
撰文:北京鏈安

近日,美國財政部外國資產控制辦公室(OFAC)宣佈,兩名中國公民因爲通過比特幣場外兌換(OTC)業務幫助朝鮮 Lazarus 黑客團隊洗錢而遭受制裁,據 OFAC 公開的信息,涉案金額達到了 9100 萬美元。而被制裁的一位中國公民表示,自己對此並不知情,他從被指控的另一中國公民在可盈可樂場外交易平臺購買比特幣後,資產因此於 2018 年末被平臺凍結,所以他也是受害者。

揭露美國起訴的中國 OTC 兌換商背後 3800 BTC 盜幣洗錢交易

據公開消息,本次案件涉及了 Lazarus 竊取的價值 2.5 億美元的數字資產,黑客將相關比特幣資產轉入四個交易所,而涉案的兩位中國公民正是在這些交易所通過 OTC 服務參與到了洗錢過程中。

自然的,人們紛紛猜測涉案的數字資產盜竊案件是哪一起,在向媒體披露的文章中,OFAC 儘管沒有提及具體交易所名稱,但是提及了相關過程,2018 年 4 月,某交易所員工下載了郵件中的 Lazarus 分發的惡意程序,從而讓黑客侵入系統,並被盜取密鑰。接着,該交易所價值 2.5 億美元的數字資產被竊取,佔到了當年 Lazarus 預計竊取的數字資產總量的一半,而 2018 年也被認爲是該黑客組織最活躍的一年。

揭露美國起訴的中國 OTC 兌換商背後 3800 BTC 盜幣洗錢交易

根據公開披露的信息,2018 年 4 月後對外承認被盜取數字資產數額較大的交易所主要有 Coinrail、Bithumb、ZAIF,這些日韓交易所被盜都曾經被猜測認爲與 Lazarus 相關。當然,我們也不排除一些交易所儘管被盜,但是並未對外披露,而是直接向執法部門報案。

根據相關信息,北京鏈安通過 ChainsMap 鏈上追溯系統試圖對相關過程進行一定程度的還原,並揭示當前行業在數字貨幣非法活動反洗錢方面面對的挑戰。

OFAC 在其官網上公佈了兩位中國公民涉案的 20 個地址,其中 LI, Jiadong (以下簡稱 LI)涉及地址 12 個,TIAN, Yinyin (以下簡稱 TIAN)涉及 8 個地址,通過我們的地址標籤庫可以查詢到它們屬於 coincola、LocalBitcoins 等至少四家交易所。這些地址首筆交易最早發生於 2017 年 7 月,最晚發生於 2018 年 10 月,目前相關地址都已經不再活躍。

我們進一步統計了相關地址流入的比特幣數量,需要注意這只是一個單向交易量的概念,不排除有重複來回的進出。儘管 LocalBitcoins 在涉案的 20 個地址中佔了至少 9 個地址,但是這些地址大都只是使用一兩次,涉及的歷史金額加起來也只有 67 枚。coincola 成爲了涉案兩人主要的 OTC 交易的交易所,LI 在該交易所的一個地址歷史流入比特幣金額達到了 1449 BTC,而 TIAN 在 coincola 的 5 個地址涉及的歷史流入比特幣總額更超過了 8000 BTC,在這裏我們再次強調這裏提及的 BTC 流入量是一個歷史交易記錄累積的概念。同時,這些比特幣數額也是相關地址第一筆交易後的總額,本次 OFAC 指控的洗錢交易也只是其中的一部分。

那麼,涉及 Lazarus 的交易又有什麼特點呢?我們根據這些地址的歷史交易,經過回溯和關聯發現了一批相關交易,這裏我們僅舉一例。

揭露美國起訴的中國 OTC 兌換商背後 3800 BTC 盜幣洗錢交易

2018 年月 12 日,一筆 3800 BTC 的相關大額比特幣 UTXO 開始不斷轉賬並分出一些比特幣流入交易所,圖中我們可以看到即包括了 OFAC 公開的涉案地址,每次流入 30 BTC。

從這 3800 BTC 的來源來看,絕大部分來自於 2018 年 6 月 25 日到 7 月 5 日由 HitBTC 轉出的數額大多以數十枚比特幣爲單位的轉賬。那麼是不是 HitBTC 被黑客攻擊了呢?從這些交易來看可以排除這種可能,因爲它們都是由熱錢包發起的同時向多個無關聯地址發起的數額差別較大的交易,即典型的交易所滿足用戶提幣需求的出幣交易。而在涉案的 LocalBitcoins 地址中,接收的比特幣更是大都直接來源於一些交易所的提幣。

由於 Lazarus 此前攻擊的交易所盜取的數字資產不僅僅是比特幣,還涉及多類幣種,所以我們可以推測在其洗錢過程中存在進入一些交易所將其他幣種在場內交易兌換成比特幣後,再轉移到其它交易所場外交易變現的過程。同時,根據披露的信息,相關比特幣變現後不單單進入銀行賬戶,甚至 140 萬美元流入蘋果 iTunes 的禮品卡中,更讓數字貨幣洗錢已經跟傳統的多種洗錢方式緊密結合。

綜合來看,儘管 OFAC 公佈的信息涉及的是一起具體的交易所被盜案,但是實際涉案的數字資產很可能來源於多起黑客盜幣事件,且中間經過了場內交易,並流向了更多行業和服務的資金渠道。北京鏈安認爲,當前的數字資產洗錢已經是跨交易所、跨幣種、跨行業的複雜過程,無論從行業還是政府監管角度,都急需專業的技術手段、法律法規,以及行業的共識和協作。

來源鏈接:mp.weixin.qq.com