引言
穩定幣近年來發展迅速。隨著廣泛應用,監管機構也愈發強調建立一套能夠凍結非法資金的機制。我們觀察到,主流穩定幣如USDT 和USDC,已經在技術上具備這項能力。在實踐中,已有多個案例表明,這些機制確實在打擊洗錢和其他非法金融活動中發揮了作用。
更進一步,我們的研究表明,穩定幣不僅用於洗錢,也經常出現在恐怖組織的融資流程中。因此,本文從兩個角度展開分析:
系統性回顧USDT黑名單地址的凍結行為;
探討被凍結資金與恐怖主義融資的關聯。
1. USDT 黑名單地址分析
我們透過鏈上事件監測的方式,對Tether 黑名單位址進行識別和追蹤。分析方法已通過Tether 智能合約原始碼驗證。核心邏輯如下:
事件識別:
Tether 合約透過兩個事件維護黑名單狀態:
AddedBlackList:新增黑名單地址RemovedBlackList:移除黑名單位址資料集建構:
我們對每個被封鎖的位址記錄以下欄位:
地址本身
加入黑名單的時間(blacklisted_at)
若地址被移出黑名單,則記錄解除時間(unblacklisted_at)
以下是合約中相關函數的實作:
1.1 核心發現
基於以太坊和波場(Tron)鏈上的Tether 數據,我們發現以下趨勢:
自2016 年1 月1 日起,共有5,188 個地址加入黑名單,涉及凍結資金超過29 億美元。
光是2025 年6 月13 日至30 日期間,就有151 個位址被拉黑,其中90.07%來自Tron 鏈(地址清單見附錄),凍結金額高達8,634 萬美元。黑名單事件的時間分佈:6 月15 日、20 日和25 日為拉黑高峰,其中6 月20 日當天單日拉黑地址數高達63 個。
凍結金額分佈:金額排名前十的地址共凍結5,345 萬美元,佔總凍結金額的61.91% 。平均凍結金額為57.18 萬美元,但中位數僅4 萬美元,顯示少量大額地址拉高了整體平均,絕大多數地址被凍結金額較小。
生命週期資金分佈:這些地址累計接收資金8.08 億美元,其中7.21 億美元在被封鎖前已被轉出,僅有8,634 萬美元實際被凍結。這顯示大部分資金在監管介入前已成功轉移。此外,有17% 的地址完全沒有出帳記錄,可能作為臨時儲存或資金聚合點,值得進一步關注。
新創建地址更易被拉黑:41% 的黑名單地址創建時間不足30 天,27% 存續時間為91–365 天,僅有3% 使用時間超過2 年,說明新地址更易被用於非法活動。
多數地址實現「凍結前出逃」:約54%的地址在被封鎖前已轉出其90% 以上的資金,另有10%在凍結時餘額為0,表明執法行動多數只能凍結資金殘值。
新地址洗錢效率更高:透過FlowRatio vs. DaysActive 散點圖我們發現,新地址在數量、被拉黑頻率和轉帳效率方面都表現突出,洗錢成功率最高。
1.2 資金流向追蹤
透過BlockSec 的鏈上追蹤工具MetaSleuth (https://metasleuth.io) ,我們進一步分析了6 月13 日至30 日間被拉黑的151 個USDT 地址的資金流動,從中識別出主要的資金來源與流向。
1.2.1 資金來源分析
內部污染(91 個地址) :這些地址的資金來自其他已被拉黑地址,顯示存在高度互聯的洗錢網絡。
釣魚標籤(37 個地址) :許多上游地址在MetaSleuth 中被標註為“Fake Phishing”,可能是掩蓋非法來源的欺騙性標籤。
https://metasleuth.io/result/tron/THpNSa3BMNPPzVNTPZ6aTmRsVzGR6uRmma?source=26599be9-c3a9-42a6-a2ae-b6de72418003
交易所熱錢包(34 個地址) :資金來源包括Binance(20)、OKX(7)和MEXC(7)等交易所熱錢包,可能與被盜帳戶或「騾子帳戶」有關。
單一主要分發者(35 個地址) :同一個黑名單地址多次作為上游,可能作為聚合器或混幣器進行資金分發。
跨鏈橋接入口(2 個位址) :資金部分來自跨鏈橋,顯示存在跨鏈洗錢操作。
1.2.2 資金去向分析
流向其他黑名單位址(54 個) :黑名單位址之間存在「內部循環鏈」的結構。
流向中心化交易所(41 個) :這些地址將資金轉入如Binance(30)、Bybit(7)等CEX 的儲值地址,實現「下車」。
流向跨鏈橋(12 個) :顯示部分資金試圖逃離Tron 生態,繼續跨鏈洗錢。
https://metasleuth.io/result/tron/TBqeWc1apWjp5hRUrQ9cy8vBtTZSSnqBoY?source=ddea74a3-fb52-4203-846a-c7be07fbb78d
值得注意的是, Binance 和OKX 同時出現在資金流入(熱錢包)和流出(儲值位址)兩端,進一步凸顯其在資金鏈中的核心位置。目前交易所對AML/CFT 的執行不足以及資產凍結滯後,可能會讓不法分子在監管介入前完成資產轉移。
我們建議各大加密交易平台作為資金的核心通道,應加強即時監測與風險攔截機制,防患於未然。
https://metasleuth.io/result/tron/TFjqBgossxvtfrivgd6mFVhZ1tLqqyfZe9?source=7ba5d0da-d5b5-41ab-b54c-d784fb57f079
2. 恐怖主義融資分析
為了進一步理解USDT 在恐怖融資中的使用情況,我們分析了以色列國家反恐融資局(NBCTF)發布的行政扣押令(Administrative Seizure Orders) 。儘管我們採用的單一資料來源難以還原全貌,但將其作為代表性樣本,用於評估USDT 涉恐交易的保守分析和估計。
2.1 核心發現
發佈時點:自2025 年6 月13 日以色列-伊朗衝突升級後,僅新增1 張扣押令(6 月26 日)。而上一份文件停留在6 月8 日,顯示在地緣緊張時期執法反應存在滯後。
目標組織:自2024 年10 月7 日衝突爆發以來,NBCTF 共發布8 份扣押令,其中4 份明確提到“哈馬斯”,而最新一份則首次提到“伊朗”。
扣押令涉及的地址和資產:
76 個USDT(Tron)地址
16 個BTC 位址
2 個以太坊地址
641 個Binance 帳戶
8 個OKX 帳戶
我們對76 個USDT (Tron) 位址的鏈上追蹤揭示了Tether 在回應這些官方指令時的兩種行為模式:
主動凍結:Tether 在扣押令發布前就已將其中17 個Hamas 相關地址加入黑名單,平均提前28 天,最早甚至提前了45 天。
快速回應:對其餘地址,Tether 在扣押令公佈後平均僅用2.1 天即完成凍結,顯示出良好的執法配合能力。
這些跡象表明,Tether 與一些國家執法機構之間存在密切,甚至前置性的合作機制。
3. 總結與AML/CFT 面臨的挑戰
我們的研究顯示,雖然穩定幣如USDT 為交易可控性提供了技術手段,但在實務上AML/CFT 仍面臨以下挑戰:
3.1 核心挑戰
滯後執法vs 主動防控:目前多數執法行為仍依賴事後處理,留給不法份子轉移資產的空間。
交易所的監管盲區:中心化交易所作為進出金樞紐,往往監測不足,難以及時辨識異常行為。
跨鏈洗錢愈發複雜:多鏈生態和跨鏈橋的使用,使得資金轉移更隱蔽,監管追蹤難度倍增。
3.2 建議
我們建議穩定幣發行方、交易所及監管機構:
加強鏈上情報共享;
投資即時行為分析技術;
建立跨鏈合規框架。
只有在及時、協同、技術成熟的AML/CFT 體系下,穩定幣生態系統的合法性和安全性才能得到真正保障。
4. BlockSec 的努力
在BlockSec,我們致力於推動加密產業的安全性與合規性建設,專注於為AML 和CFT 提供可落地、可操作的鏈上解決方案。我們推出了兩項關鍵產品:
4.1 Phalcon Compliance
專為交易所、監管機構、支付項目和DEX 設計,支援:
多鏈地址風險評分
即時交易監控
黑名單識別與告警
幫助用戶滿足日益嚴格的合規要求。
4.2 MetaSleuth
我們的視覺化鏈上追蹤平台,已被全球20 多家監管與執法機構採用。它支援:
可視化資金追踪
多鏈位址畫像
複雜路徑還原與分析
這兩款工具共同體現了我們的使命-守護去中心化金融體系的秩序與安全。
