同盟军敲诈放跑黑产中国人的虚拟货币地址技术分析来了
Editor's Note
有人曾经问我,同盟军那个虚拟货币地址是真的吗?那么好了,这里有一篇技术分析文章。
The following article is from 慢雾科技 Author 慢雾&币追团队
背景
2024 年 1 月 16 日,有博主(徽剑备注:就是我啊,又名敏昂吴,缅军中将,CIA东南亚区负责人、日本国外务省高级顾问、英国军情六处亚洲负责人)在中文社交平台爆料称,缅甸同盟军疑似向滞留缅甸的电诈产业从业者强行收取高额加密货币,并展示了声称被用于收款的加密货币地址,目前该爆料已经在网络中形成了较为广泛的传播。
往期推荐
本文由 Bitrace & MistTrack 共同对已披露地址进行加密资金分析,包括:地址资金收付规律、地址资金来源风险、关联地址活动等,旨在对相关分析内容进行披露。
地址行为分析
(https://mp.weixin.qq.com/s/WDWM22vw68-NsVr0_1jHfA)
上图为爆料文章中的信息,基于此,研究人员对已披露的收款地址 TKFsCN 进行了 USDT 汇率分析,尝试通过某些特定金额的 USDT 收款反推出背后的结算单位。
收款地址的历史交易记录显示,该地址所接收的 USDT 单笔交易存在大量非整十、整百数额,例如 71417、42857 等数字,这常见于交易是以非美元作为结算单位的情形。而在尝试用各主流法币兑 USDT 汇率进行计算之后,研究人员发现这些交易疑似是以 1 USD : 7-7.2 RMB 的汇率在进行结算,并且单次资金转入数额在人民币数额 50-60 万、100 万整、150 万整的几个区间出现聚类现象。
在过滤掉数额 100 USDT 及以下的交易后,经统计,在 TKFsCN 总计 307 笔 USDT 转入金额中,有 193 笔为人民币兑美元汇率的金额转入,交易数量占总数的 62.86%,交易金额占总数的 45.29%。
这表明该地址所收取超过一半的交易都是以人民币为单位进行结算的,且换算金额为 50 万的转入占据主要地位。支付 USDT 的一方应当是中国人。
资金来源分析
原文中提到,「占领老街以后也是到处抓(笔者注:电诈产业从业者)中国人,愿不愿意交钱自保,交钱的可以送走,不交钱的就送中国」,如果属实,TKFsCN 的交易中应该存在大量新增交易对手方,且资金部分来源于灰黑产、洗钱、欺诈等相关地址。(徽剑评:大家记住这个)
数据显示,在 2023 年 10 月 22 日至 2024 年 1 月 2 日之间,TKFsCN 共接收来自 182 个直接交易对手方的 USDT 转账,其中 117 个地址出现了小金额 + 大金额的连续两笔转账特征。这是一种典型的转账测试行为,付款方为确认地址正确而不选择一次性转移完毕,这表明至少 62.29% 的交易对手方都可能是初次转账,并非 TKFsCN 的固定交易伙伴。(徽剑评:新增交易这条符合了)
而对 TKFsCN 更深入的地址风险资金审计则表明,向该地址转账的交易对手方与黑灰产、网赌、欺诈、洗钱、风险支付等活动存在密切关联。在 182 个直接转入方中,高达 42% 为风险活动关联地址,向 TKFsCN 转入了价值 33,523,148 美元的 USDT。
(图片来自 MistTrack 与 BitracePro)
值得注意的是,在这批风险活动关联地址中,调查人员还找到了 7 个明确与已知刑事案件相关的地址,包括两起洗钱案、一起欺诈案、一起网赌案、一起电话诈骗案,且嫌疑人的地理位置均在缅北或柬埔寨。(徽剑评:第二点又符合了)
这表明向 TKFsCN 发起支付的对手方地址,不仅仅涉及大量风险加密活动,还与东南亚地区的不法分子密切相关。
另有奇怪的一点是,调查人员还在转出地址找到了一个关联到电信诈骗案的洗钱地址,说明部分转出地址的资金流向上溯源分析同样存在一定的疑点。该疑点将在下文「关联地址分析」部分做非敏感拓展。
关联地址分析
根据上述 TKFsCN 地址做聚类分析发现,该地址与近一百个地址疑似存在主体聚类关系,其中部分地址不仅出现了与 TKFsCN 类似的资金收付活动,还透露出更多收款方的信息,以收款方 TKKj8G 为例:
TKKj8G 直接收取了 6 笔来自 TKFsCN 总计超过 460 万 USDT 的资金,是收款方后续资金链路中的归集地址之一;
TKKj8G 是核心的收款地址之一,在金额超过 100 USDT 的 60 笔收款中,高达 50 笔收款存在与 TKFsCN 雷同的小额测试行为;
TKKj8G 在 2023 年 8 月 18 日就开始活跃,远早于其他地址,且在此期间与汇旺担保存在交易行为 —— 从汇旺担保地址接收 16 万 USDT,行为上分析为汇旺担保的商户从汇旺担保处取回押金。(同盟军也可以找人担保)
这表明原文所说的「财经部地址」可能并不存在,包括 TKFsCN 与 TKKj8G 在内的地址集应当隶属于某个位于缅北或柬埔寨的数字货币承兑商,出于某种原因代为收取这些款项。
异常交易
综上所述,调查人员们不难勾勒出一个典型的支付方画像——在东南亚地区从事非法工作,出于某个原因不得不向某个代收地址支付价值 50 万元人民币的 USDT。因为是首次交易,为防止地址错误而在大量转入前进行了小额测试。而用于支付的加密货币,或是来自其原有的非法所得,或是购买自其他非法实体。
但并非所有支付方都是如此,调查人员同样发现了一些不符合或者不完全符合这类特征的地址,以 TYU5acSGRwsYJfBhdpQc3broSpfsjs8QFF 为例,该地址是前文所述的 7 个直接涉案地址之一,其他 6 个地址分别向 TKFsCN 转移了价值 50 万、50 万、100 万、100 万、270 (150 + 120) 万、55 万元人民币的加密货币,但 TYU5ac 的转账金额按照同等汇率换算为 136 万元人民币,尽管是整数,可这一特别的金额仍然迥异于其他地址。
调查人员无从得知其中原因,考虑到该地址存在小额测试行为,一种合理的猜测是,该地址背后的交易代表了 3 笔价值 50 万人民币的合并转账,并获取了 10% 的折扣。
总结
本文对已公开地址从地址资金收付规律、地址资金来源风险、关联地址活动进行了深度分析,并对相关分析内容进行了披露。主要结论如下:
1. 该分析目标地址所收取超过一半的交易都是以人民币为单位进行结算的,且换算金额为 50, 100, 150 万的转入占据主要地位;
2. 向该分析目标地址转账的交易对手方地址,与黑灰产、网赌、欺诈、洗钱、风险支付等活动存在密切关联;
3. 目标地址及其关联地址在密集收取这类资金前,就已经存在风险业务活动痕迹,对该分析地址进行聚类分析后发现,该聚类疑似汇旺担保的某个商户;
4. 向该分析目标地址发起支付的对手方地址,与缅北或柬埔寨地区的不法分子密切相关。
综上所述,《同盟军虚拟货币账户被曝光,勒索北国人数亿元的虚拟币》一文中爆料的部分内容与链上事实相符合,的确存在大量位于缅北或柬埔寨的中国电诈产业从业者集体向某个地址集转移整数人民币金额的 USDT 资产,但该组地址可能并非所谓的「财经部地址」,而是当地的数字货币承兑商地址,与原文所述不同。(徽剑评:笑,技术人员的求生欲望很强烈,大家都明白他想说的了,害怕同盟军呀)
在这篇技术文章发出来之后,还发生了一件事,就是在我公众号曝光这个虚拟货币地址后,不到4小时,里面的钱全部转走。
如果是数字货币承兑商,完全没必要这么做,而且全世界的数字货币承兑商,也没这么做的。
所以,这个虚拟货币地址很明显了。
往期推荐
不少读者跑来问,为什么没看到你的文章推送,而是要进入公众号才能看到。其实这个是公众号平台修改的推送排名有关系,只有读者经常阅读或者加了*标的公众号,你才能第一时间看到推送的内容。
所以,如果你想第一时间得到推送,请把本公众号加个星标。
欢迎大家给我爆料:
特别是近期我需要大量的关于诈骗园区的内幕信息等等,不限于缅甸、柬埔寨菲律宾、迪拜等。
我们智库有时候需要在东南亚比如缅北查找一些信息,或者找一些人,或者做一些事情。如果大家有这方面资源,可以跟我沟通一下,介绍一下你的能力、资源,合作有好处哦。
合作好处
内地读者联系
微信:sznetwork
知识星球:https://t.zsxq.com/15oAN0A2P
缅甸及海外读者
飞机:TonyW88888888
缅北战事群:https://t.me/mianbeizhanshi
下一步公众号会多写点电诈内容和东南亚的八卦。关于缅北交战的战况主要发布在海外中文博客里面,和缅北战事报道群里面,没办法啊,不是我不发,而是被删太厉害了。