柬埔寨汇旺集团遭泰达冻结2962万USDT事件分析
泰达币(Tether USD,以下简称 USDT)是由泰达公司发行,在区块链网络中通过智能合约进行约束,币值锚定美元的中心化稳定代币。USDT 除了具备其他加密货币的匿名转移、无许可使用特性外,也赋予了发行方巨大的调度权限,使得开发者能够定向增发、销毁某个地址的 USDT 代币,或者限制特定地址对 USDT 的操作权限,也即业界所称的「泰达冻结」。
这类中心化的冻结活动通常由全球各国政府部门的执法请求,或临时性的特大加密安全事故所触发,旨在对已知的利用 USDT 进行的违法犯罪活动进行阻止,并对受损资产进行拦截,防止损害扩大化。而随着 USDT 在现实金融体系的采用度提升,涉币违法犯罪活动事件频发,导致泰达冻结活动愈发普遍,对大量正常展业但不慎收取风险加密资金的 web3 企业造成了较大业务负面影响,甚至带来法律风险。
本文将以柬埔寨汇旺集团被泰达冻结 2962 万 USDT 事件为例,对此进行分析说明。
汇旺业务规模概览
汇旺集团是一家位于柬埔寨的大型金融集团,旗下拥有包括加密货币钱包、支付、交易担保、保险、加密货币交易所等在内的业务板块。其最核心的支付与担保业务大量采用了 USDT,根据 Bitrace 旗下 DeTrust 链上风险资金监测管理平台的地址标记数据,HuionePay、HuioneGuarantee 的官方及用户地址数超 18 万个,是当地规模最大的加密企业,影响力辐射至整个东南亚乃至东亚地区。
据 Bitrace 监测,2022 年 6 月至 2024 年 6 月之间,所有已知 HuionePay 与 Huione Guarantee 业务地址的月度资金规模一直维持上升趋势,从 2022 年 6 月最低 10.3 亿 USDT,到 2024 年 4 月最高 83.9 亿 USDT,两年间总资金规模达到 1023.97 亿 USDT。
在此期间,Huione 相关业务地址也一直保持着较大数量的准备金。在 2022 年 6 月到 2024 年 6 月之间,所有已知 HuionePay 与 HuioneGuarantee 业务地址的日均余额达到 3568 万 USDT。
因东南亚系不法分子利用加密货币进行非法活动的高发区域,Huione 的业务地址在一定程度上遭到波及。以 HuioneGuarantee 正在使用的核心业务地址 TL8TBp 为例,据 Bitrace 监测,2023 年 7 月 1 日至 2024 年 6 月 30 日期间,该地址总共流入 21.58 亿 USDT,其中网赌高风险资金 0.35 亿,占比 1.62%,黑灰产交易高风险资金 3.39 亿,占比 15.71%,洗钱高风险资金 0.54 亿,占比 2.50%,欺诈高风险资金 0.02 亿,占比 0.09%。
汇旺遭冻结地址资金分析
2024 年 7 月 13 日,Tronscan 显示波场网络地址 TNVaKW 遭到泰达公司限制,其中高达 2962 万 USDT 被冻结无法转移,Bitrace 第一时间介入调查。
初步调查结果显示, TNVaKW 创建仅五天后,总资金交易规模便超过 10 亿 USDT,收取了来自大量被标记为 HuionePayUser 的波场地址的存款,同时也收取来自其他 HuionePay 官方地址及 HuioneGuarantee 官方地址的资金。因此 Bitrace 确认该地址系 Huione 官方业务地址,并判断冻结原因为收取较大金额被盗加密资金。
次日,知名链上侦探 ZachXBT 在社交平台进一步表示,早前发生的日本交易所 DMM 被盗事件中,相关被盗资产已经通过跨链兑换的形式进入了 HuionePay。
根据 ZachXBT 公开的地址,Bitrace 挖掘到了更多清洗活动有关地址并对整个资金链路进行了复盘。其中——
< >165 BTC 通过 Avalanche Bridge 跨链至 Avalanche
< > 182 BTC 通过 ThorChain Bridge 跨链至 Ethereum
< > 263 BTC 通过 Threshold Birdge 跨链至 Ethereum
所获取 tBTC、BTC.b等资产在avalanche、ethereum等链兑换为价值相当于 3182 万美金的 USDT、USDC、DAI等资产后,经SWFT跨链兑换至TRON 网络,最终其中大约 1400 万进入TNVaKW。
值得注意的是 DMM 只是资金流入 Huione 地址的公开安全事件中的一个,我们在调查其他事件时发现 Poloniex 交易所被盗事件中的部分资金也与 Huione 有关。2024 年 6 月 5 日至 7 日之间,至少有 105 万涉案 USDT 流入 HuionePay 用户地址,并接连流入包括 TLmktr、TR5F41、TNVaKW 在内的多个 HuionePay 官方业务地址。
目前并无直接证据表明 TNVaKW 的被冻结与这两起安全事件的资金有关,但考虑到 Huione 其他业务地址并没有遭到冻结,这至少表明这次冻结行动并非针对 Huione 集团本身。
汇旺支付遭挤兑分析
如前文所述,所有已知 HuionePay 与 HuioneGuarantee 业务地址的日均余额为 3568 万 USDT,而在冻结事件发生前三个月,该数值则一直维持在 4000 万 USDT 左右,被冻结的 2963 万 USDT 相当于其准备金的 75%,存在一定的提款压力。
对最新的 HuionePay 业务地址 TQuFSv 展开分析——
该地址在 TNVaKW 遭冻结 2.5 小时后启用,开始处理 HuionePay 用户的充值、提现需求,并接收来自 TNVaKW 的 11.48 万 USDC 遗产,截至 2024/7/16 9:34:39 其交易规模已达到 7.33 亿 USDT。
以小时为时间单位对 TQuFSv 的收入、支出情况进行统计,并未发现明显的资金异常现象,且该地址当前仍存有 1288 万 USDT 余额。
对 TQuFSv 的交易对手方进行分析,资金转入量前十的对手方总共转入 1.47 亿 USDT,其中有两个地址被标记为 HuioneGuarantee 地址,分别向 TQuFSv 转入 0.73 亿 USDT 与 0.15 亿 USDT,占总转入的 23.64%;资金转出量前十的对手方总共从 TQuFSv 获取 0.80 亿 USDT,其中有三个地址被标记为 HuioneGuarantee 地址,获取资金量分别为 0.14 亿 USDT、0.08 亿 USDT、0.06 亿,占总转出的 7.76%。
表明 HuionePay 在冻结事件发生后,经历了较大规模的资金流出,但官方及时从其他业务地址补充了准备金,能够满足用户的提币请求。
KYT 重要
对于类似 Huione 的大体量采用 Crypto 的企业而言,充足的资金吞吐量往往会吸引洗钱团伙的注意,在全球范围内日渐完善的涉币案件执法行动下,缺乏对平台用户地址资金风险的识别能力,可能会对平台业务造成影响,甚至导致经营者陷入被调查的风险。
因此,如何采用专业的 KYT 工具以精准识别风险加密资金,并基于必要的风控程序对平台风险事件进行处理,已经成为涉币企业不得不考虑的事务。