【#區(qū)塊鏈# #揭秘涉及中美受害人的跨國加密貨幣殺豬盤騙局#】
我們成功找到了一個(gè)龐大的����、歷史悠久且仍在活躍的跨國欺詐團(tuán)伙。
撰文:Bitrace�����、ChainArgos
這篇論文由來自中國的區(qū)塊鏈數(shù)據(jù)分析公司 Bitrace 與來自新加坡的區(qū)塊鏈情報(bào)公司 ChainArgos 完成,我們根據(jù)美國佛羅里達(dá)州地方法院在某起加密貨幣殺豬盤案件的判決中披露的地址���,進(jìn)行了深層挖掘����,并成功找到了一個(gè)龐大的����、歷史悠久且仍在活躍的跨國欺詐團(tuán)伙。本文旨在披露這一研究成果�����,并試圖引起行業(yè)與政府部門的警覺——我們需要在加密貨幣反欺詐領(lǐng)域投入更多關(guān)注����。
1 簡介
網(wǎng)絡(luò)詐騙猶如一場巨大的流行病在世界各地肆虐,數(shù)十個(gè)國家至少因此損失了數(shù)百億美元(4)����。一種名為「殺豬盤」的加密騙局正在急劇增長,該騙局通常使用加密貨幣這一工具從受害人處騙取資金后進(jìn)行鏈上清洗���。(6)本文中�,我們將基于中華人民共和國和美利堅(jiān)合眾國的受害者情況,探討加密貨幣在殺豬盤騙局中的使用��,并證明那些事先看起來毫不相干的案件背后具有顯著的相似性����。
*「殺豬」騙局是一種信任騙局和投資欺詐,在與之打交道的一方消失跑路之前��,受害者逐漸被誘導(dǎo)����,對(duì)看似合理的加密貨幣投入越來越多的資金��。
本文將通過——列示這兩個(gè)國家的騙子共用的加密貨幣地址����,使用同一地址進(jìn)行洗錢服務(wù)等事實(shí),推斷出他們很可能是同一團(tuán)伙��;從案件報(bào)告注明的受害者來源和詐騙錢包地址�����,通過加密貨幣鏈上追蹤系統(tǒng)追蹤詐騙款項(xiàng),以證明其中的聯(lián)系�;最后,通過鏈上和文獻(xiàn)研究相結(jié)合的方式�����,確定一系列交易所和其他服務(wù)提供商��,以展示現(xiàn)今不法分子利用加密貨幣進(jìn)跨境犯罪的現(xiàn)狀���,并強(qiáng)調(diào)全球執(zhí)法機(jī)構(gòu)在涉及此類騙局時(shí)面臨的挑戰(zhàn)�����。
1.1 關(guān)于報(bào)告和文獻(xiàn)的說明
為了便于討論����,并提供有參考價(jià)值的數(shù)字�,附錄中列出了所有錢包地址的詳細(xì)信息。我們鼓勵(lì)有專業(yè)知識(shí)的各方人士檢查和復(fù)制這部作品�,當(dāng)然我們知道,絕大多數(shù)讀者對(duì)這一細(xì)節(jié)不感興趣�。
這并不是試圖混淆,或以其他方式使讀者核驗(yàn)我們的結(jié)論變得困難����。相反�����,它確保所有的流程圖都是可讀的�,并且檢查它們所需的所有長字符串都可以很容易從文檔中復(fù)制出來���。附錄包含驗(yàn)證本文結(jié)論所需要的數(shù)據(jù)���。
此外,為了本文的結(jié)論���,我們對(duì)所有提交的文件進(jìn)行了表面評(píng)估,在它們之間賦予同等的權(quán)重�,并認(rèn)為它們所包含的信息是可靠的。值得注意的是��,這項(xiàng)分析并不是為了比較兩國的法律制度或警察程序,而是為了證明中美兩國活躍的騙局之間存在顯著的重疊和相似性。
2 受害者
在這里���,我們探討 4 種不同的受害者:
- 佛羅里達(dá)州的一個(gè)案例:佛羅里達(dá)州案例
- 一個(gè)涉及加利福尼亞州和佛羅里達(dá)州受害者的案件案例:加利福尼亞州案例
- 來自中國的兩個(gè)案例:中國案例
* 本案由佛羅里達(dá)州的一家法院出于管轄權(quán)原因處理,盡管加利福尼亞州的受害者損失了更多的錢。選擇這個(gè)名字是為了減少混淆����。
佛羅里達(dá)州的案件比其他案件要大得多,其中一名受害者被騙了 200 多萬美元�。在這起案件中,犯罪分子采用了各種各樣的洗錢技術(shù)來清洗涉案資金����。其余案件案值較小,使用的資金清洗手段也更少��。
2.1 佛羅里達(dá)州受害者
在佛羅里達(dá)案中�,受害者陷入了一種較為常見的殺豬騙局,法庭文件描述如下:
On April 15, 2022, Plaintiff and Defendant communicated through Facebook, an online social media and social networking service. Id. ? 10. Defendant represented that she was successfully engaged in investing in cryptocurrency and that her aunt was a prosperous cryptocurrency trading expert who managed an analyst group at Grayscale Investments, a legitimate third-party digital currency asset management company. Id. ?? 11, 12. Defendant represented that, if Plaintiff were to join a margin trading platform called foundrypro.net (“Foundrypro”), Defendant would use sophisticated algorithms designed and implemented by Defendant’s aunt to execute cryptocurrency trades in order to earn Plaintiff a profit. Id. ? 13. Neither Defendant nor Defendant’s aunt had a relationship with Grayscale Investments. Id. ? 15.
Based on these representations, Plaintiff joined Foundrypro on May 17, 2022 and began executing margin trades on that platform on Defendant’s advice. Id. ? 17, 19. Over the course of Plaintiff and Defendant’s relationship, Plaintiff invested 2,215,118 units of “Tether” (USDT), a form of cryptocurrency known as stablecoin that is pegged to the value of the U.S. Dollar. Id. ?? 23, 24. From April 15, 2022 through the end of October, 2022, Defendant communicated with Plaintiff via SMS, WhatsApp, telephone calls, and email. Id. ? 16. Foundrypro featured a dashboard that displayed illusory investment gains which, together with Defendant’s representations, encouraged Plaintiff to continue “investing” in Foundrypro. (1)
經(jīng)過一系列司法流程后���,受害者獲得了缺席判決�。
本案的文件提供了兩類加密貨幣地址��。首先���,該文件列出了受害者最初轉(zhuǎn)移資金的地址�,我們將其稱為受害人地址��。其次,文件提供了一份加密貨幣交易所存款地址列表�,受害者的資金被發(fā)送到這些地址。詳見附錄 A.1���。
* 加密貨幣交易所提供「存款地址」���,以簡化為客戶存款的流程。當(dāng)客戶打算存入資金時(shí)���,交易所會(huì)為他們創(chuàng)建一個(gè)可以發(fā)送資金的專用地址����。通過這種方式���,交易所可以自動(dòng)將所有轉(zhuǎn)入該地址的轉(zhuǎn)賬分配給特定的客戶賬戶��。將「存款地址」視為一種工具���,通過使用不同的外部賬號(hào)確保將資金發(fā)送到正確的內(nèi)部賬戶����。
2.2 加州受害者
在加利福尼亞州的案件中,兩個(gè)不同的人成為了殺豬騙局的受害者�,他們將加密貨幣發(fā)送到了附錄 A.2 中提供的同一個(gè)騙局錢包��。
第一個(gè)騙局涉及約 177,502.29 美元���,法庭文件中描述如下:
[Victim] met an individual known to him as “Bunny” through social media (Facebook) and started a romantic relationship with her. During the relationship, Bunny offered [Victim] a way to make money through cryptocurrency so they could afford to buy a farm and live together one day.
During the relationship, Bunny convinced [Victim] to invest in cryptocurrency through “Pearcoin,” a fake cryptocurrency trading application, unknown to [Victim] at the time.
Ultimately, [Victim] attempted to withdrawal his funds from Pearcoin and was told he must pay the taxes up front or he would risk a 3 per cent penalty fee for each day he did not pay. At this point, [Victim] realized he was involved in a scam and subsequently contacted the Brevard County Sheriff’s Office to report the incident. [Victim] was unable to transfer, withdraw, or access any of his funds through the investment platform. (3)
第二個(gè)騙局與此類似,涉及金額約為 300,000 美元:
The victim … reported she had been romantically involved with an individual through social media. During the relationship, she was convinced to invest in cryptocurrency. (3)
2.3 中國受害者
Bitrace 提供了有關(guān)中國案例的信息和數(shù)據(jù)����。一名來自天津受害者稱,他被誘導(dǎo)在加密貨幣交易所 OKX 建立賬戶����,并將 USDT 提取到交易應(yīng)用程序 WBF 和幣勝。在幾次較小的投資后�,天津受害者獲得了 4,860 美元的回報(bào),隨后進(jìn)行了更多的投資����,最終損失了大約 40,000 美元。這起騙局中沒有情感欺詐成分的報(bào)道��,更像是佛羅里達(dá)案中的殺豬盤騙局�。天津受害人的資金來源 se.china 在附錄 A.3 中,這是一個(gè)與已知騙局相關(guān)的錢包���,我們稍后將詳細(xì)說明��。
另一名活躍在 OTC 市場的受害者報(bào)告了一個(gè)涉及 se.china 的釣魚騙局���。釣魚騙局是指受害者被說服下載惡意的「特洛伊木馬」軟件��,該木馬會(huì)清空錢包���,并將資金發(fā)送給騙子(7;5;9)。盡管在 Bitrace 接觸到的受害人案件中���,有兩名加密貨幣承兌商客戶遇到過這個(gè)騙局��,但這個(gè)騙局似乎與一個(gè)比天津受害者更小的團(tuán)伙有關(guān)����。
中國沒有像美國那樣的法庭文件�����,但我們可以摘出當(dāng)?shù)貙?duì)類似案件的報(bào)道�����,以進(jìn)一步強(qiáng)調(diào)此類騙局����。寧波(2)和溫州(8)的地方當(dāng)局報(bào)告了類似的詐騙案。例如���,溫州執(zhí)法部門的一份新聞稿描述了一個(gè)涉及「特洛伊木馬」軟件的騙局�,類似于 Bitrace 的一個(gè)客戶報(bào)告的騙局:
經(jīng)查�,自 2022 年 2 月以來,該團(tuán)伙在多個(gè)境外社交軟件上發(fā)布銷售打折加油卡的廣告���,以檢測虛擬貨幣錢包和虛擬貨幣的真實(shí)性為幌子��,誘騙受害者點(diǎn)擊木馬程序鏈接�,并在暗中控制其錢包��,在時(shí)機(jī)成熟的情況下�����,非法獲取錢包中的虛擬幣�����,短短一個(gè)月內(nèi)作案 30 余起,涉案金額 100 余萬元���。(8)
這聽起來既與世界各地報(bào)道的騙局相似����,也與活躍在 OTC 市場的中國受害者報(bào)道的盜幣騙局相似�����。
在中國的案例中���,由于兩國法律制度的差異���,無法提供類似于佛羅里達(dá)州和加利福尼亞州案例的文件來進(jìn)行比較分析,但這并沒有削弱兩國工作方式的相似性�����。正如我們看到的�,分析的所有涉案資金都通過錢包清洗并與服務(wù)提供商的地址產(chǎn)生交集,這證明兩起案件之間存在聯(lián)系�,兩起案件的欺詐者屬于同一個(gè)犯罪實(shí)體。
3 服務(wù)提供商
佛羅里達(dá)州受害者的法庭文件提到了四家加密貨幣交易所:幣安�、Bitkub��、FTX 和 OKX�,它們都是知名的大型服務(wù)機(jī)構(gòu)����。幣安長期以來一直是世界上最大的加密貨幣交易所���,F(xiàn)TX 由 Sam Bankman Fried 創(chuàng)立�����,他目前正在等待一場備受矚目的欺詐案的審判結(jié)果��。OKX 是一家大型加密貨幣交易所�����,雖然不如幣安和 FTX 知名�����,但它贊助了一些世界各地的備受矚目的運(yùn)動(dòng)隊(duì)和賽事�。Bitkub 是四家上市公司中最小的一家�����,是泰國最大的加密貨幣交易所,同樣在其市場內(nèi)進(jìn)行著高調(diào)的贊助�。
進(jìn)一步分析發(fā)現(xiàn),Coinbase����、Huobi、Maicoin�����、Maskex�����、Paribu 和 Peatio 都是類似的知名交易所����。Coinbase 在納斯達(dá)克上市,年收入達(dá)數(shù)十億美元�,目前市值達(dá)數(shù)百億美元。Huobi 是一家大型交易所�����,擁有多家在香港交易所上市的子公司,與許多其他亞洲交易所一樣����,它贊助包括西班牙國家男子足球隊(duì)在內(nèi)的體育項(xiàng)目。Maicoin 稱自己是臺(tái)灣領(lǐng)先的加密貨幣交易所����。Maskex 是一家總部位于阿聯(lián)酋的加密貨幣交易所�,并持有 VASP 許可證。Paribu 是一家土耳其交易所�,與多家土耳其足球俱樂部有合作關(guān)系。Peatio 是一家中國加密貨幣交易所�����,幾年前關(guān)閉并開放了他們的交易軟件�����,雖然該交易所可能已經(jīng)倒閉��,但其錢包地址仍然活躍����。
在這里�,我們只想確定這些服務(wù)提供商是大型���、知名���、可見的實(shí)體,不需要對(duì)其存在或參與加密貨幣交易進(jìn)行進(jìn)一步分析或提供任何形式的書面證據(jù)���。
進(jìn)一步的討論將涉及在詐騙進(jìn)入點(diǎn)和交易所之間運(yùn)作的較小各方�。雖然這些在新聞界和體育界不太顯眼�,但不難發(fā)現(xiàn),交易所顯然參與了詐騙收益的管理���。
4 下游資金追蹤
本段分析中國案件和佛羅里達(dá)案件的下游地址�����,揭示詐騙所得資金的最終流向�����。在圖 1 中�����,我們繪制了從佛羅里達(dá)州的三個(gè)地址和中國的一個(gè)地址通過相同的中介地址��,轉(zhuǎn)移到我們標(biāo)記為 ml1 和 ml2 的兩個(gè)錢包的動(dòng)向�。ml 表示「洗錢者」,他們從一系列騙局中獲得收益���,并將錢存入交易所��,其功能相當(dāng)于資金匯集地址����。
需要注意的是�����,欺詐收益不會(huì)以點(diǎn)對(duì)點(diǎn)的單線順序轉(zhuǎn)移方式經(jīng)由洗錢地址轉(zhuǎn)移��,且并不是每個(gè)單位的詐騙收益都同時(shí)通過這個(gè)確切的錢包序列提供��。相反�����,我們只是確定���,這類欺詐事件及其后續(xù)洗錢活動(dòng)都以相似的方式�,發(fā)生在相近的時(shí)間����。因此,這些團(tuán)伙很可能是同一整體群體的一部分�。這一點(diǎn)尤其令人信服,因?yàn)檫@些資金最后都流向了同一組通往出口的洗錢地址���。
現(xiàn)在讓我們把中國的案子和加利福尼亞的案子聯(lián)系起來�����。在圖 2 中�,我們看到了不同案件中的資金重疊流向——同一個(gè)錢包出現(xiàn)在兩個(gè)不同案件的下游�。
還要注意的是,中介地址 inter.california 與加利福尼亞州案件的民事沒收令(3)中給出的許多存款地址有關(guān)�����。此外�,圖 4 中的幣安存款地址之一在幾個(gè)月前就被路透社記者披露并引起了 ChainArgos 的注意,因?yàn)樵摰刂放c許多與 (6) 相關(guān)的詐騙有關(guān)。
接下來��,我們將在圖 3 中展示中間地址和交易所的聯(lián)系�����。中國案例詐騙輸入地址也與圖 4 中的兌換存款地址有直接聯(lián)系���。
在 se2.china 下游也可以看到類似的結(jié)構(gòu)���,在通過兩個(gè)中間錢包后,資金被存入 service5.okx��。
雖然這并不是所有地址的全部展示��,但它仍然表明這些騙局相互之間都存在相互聯(lián)系���,并波及到許多交易所。
5 總金額
到目前為止�,本文通過披露單個(gè)騙局,追蹤其共同的資金來源��,從而確定這些騙局是某個(gè)大型欺詐組織的一部分��。目前,沒有足夠多的信息來支撐我們記錄下這一群體或相關(guān)群體實(shí)施的所有騙局���。鑒于犯罪和受害者的性質(zhì)��,我們難以有一個(gè)可靠詳盡的清單��。因此����,下一個(gè)合乎邏輯的步驟是查看這些案件中使用的服務(wù)提供商地址的資金總量�����,以確定該組織的潛在規(guī)模��。對(duì)資金規(guī)模的分析提出了三個(gè)獨(dú)立但相關(guān)的問題:
- 有多少錢流入了已披露的「詐騙輸入」地址��?
- 有多少錢通過服務(wù)提供商中轉(zhuǎn)��?
- 有多少錢流向了像交易所這樣的資金出口��?
5.1 騙局規(guī)模
我們發(fā)現(xiàn)���,從 2021 年年初截至撰寫文本時(shí)���,共有 2070 萬美元流經(jīng)前文披露的中國天津受害人案件的相關(guān)地址����。由于該受害人損失了約 4 萬美元����,我們只關(guān)注到該團(tuán)伙作案活動(dòng)的其中一小部分,可以肯定的是����,會(huì)有更多的涉案資金在該地址集中。
在佛羅里達(dá)案中����,受害者聲稱損失約 220 萬美元,但這三個(gè)地址的總流入額略低于 650 萬美元�����,這證實(shí)受害者肯定更多�����。在用于映射這些流量的六個(gè)「詐騙條目」地址中����,我們發(fā)現(xiàn)總流入量為:
在這些地址中,最獨(dú)特的是���,大多數(shù)流入 se1.california 的欺詐資金都是以以太幣計(jì)價(jià)的���,而不是穩(wěn)定幣 USDT,se1.california 總共收到了 156.04 個(gè)以太幣���。我們以 2000 美元的價(jià)格將以太幣美元化�����,這反映了轉(zhuǎn)賬時(shí)的平均轉(zhuǎn)換價(jià)格�。
5.2 服務(wù)提供商規(guī)模
接下來我們來看看通過一些中間地址的流量總量���。對(duì)于上述例子中的六個(gè)中介機(jī)構(gòu)���,我們發(fā)現(xiàn) USDC 和 USDT 的流入量為:
其中一些是流經(jīng)多個(gè)地址的相同代幣,示例甚至顯示了從 ml1 到 ml2 的流����。根據(jù)流量合理估計(jì)�,這些中介機(jī)構(gòu)的處理金額在 8000 萬至 1 億美元之間��。
到目前為止����,最大的一筆資金流向了交易所。通過檢查(1)中指定的交易所地址的存款���,我們發(fā)現(xiàn)以下總數(shù):
如果加上通過其他案例連接的地址�����,我們會(huì)得到:
雖然這并不意味著這個(gè)犯罪組織要對(duì)所有這些資產(chǎn)負(fù)責(zé)�,但它提供了強(qiáng)有力的證據(jù)�����,表明該地區(qū)仍有大量犯罪流動(dòng)資金有待發(fā)現(xiàn)�。
請(qǐng)注意,這些數(shù)據(jù)包括幾個(gè)交易量較小的交易�����。這些都是為了數(shù)據(jù)的完整性而包括在內(nèi)的,這并不是為了詳盡無遺���。即使在總額較大的交易所中,我們也會(huì)發(fā)現(xiàn)個(gè)別存款地址在總流量中會(huì)有不同的數(shù)量級(jí)����。
另注意,幾乎所有的交易量都發(fā)生在中國和美國以外的交易所��,絕大多數(shù)由總部設(shè)在海外司法管轄區(qū)的企業(yè)處理�����。
5.3 交易所提款
在加利福尼亞州的案件中�,調(diào)查還發(fā)現(xiàn)了由詐騙團(tuán)伙控制 Tron 區(qū)塊上的一個(gè)交易所提款地址,通過該波場地址的資金規(guī)模約為 110 萬美元��,遠(yuǎn)遠(yuǎn)超過加州案件中損失的約 50 萬美元����,這表明對(duì) Tron 和其他區(qū)塊鏈的進(jìn)一步調(diào)查可能會(huì)發(fā)現(xiàn)更多的關(guān)聯(lián)性線索。
6 討論
該分析證明了三個(gè)關(guān)鍵事實(shí):
- 類似的同時(shí)發(fā)生的騙局在中國和美國都有受害者�;
- 從兩個(gè)司法管轄區(qū)提取的資金通過共同的中介地址流通;
- 涉及的金額從數(shù)千萬美元到數(shù)億美元不等��。
重要的是要理解分析中存在的以下局限性:
- 我們并不是說流入這些「騙局地址」錢包的 3000 萬美元都是騙局收益收益��,只是當(dāng)前可以追蹤到的;
- 盡管發(fā)現(xiàn)了 6.35 億美元的外匯存款���,但我們并不是說所有這些都可以歸因于騙局��;
- 考慮到交易的循環(huán)����,上述數(shù)字可能并非完全沒有重復(fù)計(jì)算��。
* 例如����,存放在一個(gè)交易所的一些錢可能會(huì)被提取并重新存放在其他地方。
相反����,應(yīng)該從實(shí)施詐騙的范圍和規(guī)模的背景來理解分析。首先�,只分析了四個(gè)案件,受害者站出來并開始了某種形式的正式法律程序�。其次,我們已經(jīng)證明這些騙局與(6)中討論的騙局有關(guān)��,這表明此類騙局的規(guī)模和規(guī)模可能比以前所理解的更深遠(yuǎn)�����、更廣泛���。
似乎有更多的資金流動(dòng)線索有待發(fā)現(xiàn),通過加密貨幣生態(tài)進(jìn)行詐騙獲取的收益可能比我們目前的估計(jì)要大得多���。此外�����,值得注意的是�����,雖然這些案件的受害者位于世界上最大的兩個(gè)經(jīng)濟(jì)體�,但在處理這些詐騙收益的交易所中��,最多只有一小部分位于這些國家�����。為了解決這些問題,需要進(jìn)行大量的國際合作�����。
參考文獻(xiàn)
[1]Bowen v. Xingzhao Li, 23-cv-20399-BLOOM/Otazo-Reyes (S.D. Fla. Jul. 26, 2023). [2] China Ningbo Net. A large amount of virtual currency was stolen from a ningbo citizen by a hacker., 7 2022.
[3] Florida Circuit Court. Eighteenth Judicial Circuit In And For Brevard County, Florida Case No: 05-2002-CA- Filing 162250539 Civil Forfeiture.
[4] Global Anti-Scam Alliance. The global state of scams - 2022 report, 2022.
[5] Ledger. Security incident report, 12 2023.
[6] P. McPherson and T. Wilson. Crypto scam: Inside the billion-dollar ‘‘pig-butchering‘‘ industry. 11 2023.
[7] ScamSniffer. From google to x ads: Tracing the crypto wallet drainer‘‘s $58 million trail, 12 2023.
[8] Wenzhou Public Security Bureau. 743 cases were solved and 2,093 people were arrested! the results of the wenzhou clean network 2022 operation are announced!, 11 2022.
[9] ZachXBT. Monkey drainer twitter thread, 10 2022.
附錄:地址
