数字稳定币洗钱与恐怖融资初探：对 USDT 黑名单的链上追踪

互联网阅读 30 2025-07-11 20:10:19

只有在及时、协同、技术成熟的 AML/CFT 体系下，稳定币生态系统的合法性和安全性才能得到真正保障。

作者：BlockSec

0. 引言

稳定币近年来发展迅猛。随着其广泛应用，监管机构也愈发强调建立一套能够冻结非法资金的机制。我们观察到，主流稳定币如 USDT和 USDC，已经在技术上具备这一能力。在实践中，已有多个案例表明，这些机制确实在打击洗钱和其他非法金融活动中发挥了作用。

更进一步，我们的研究表明，稳定币不仅用于洗钱，也频繁出现在恐怖组织的融资流程中。因此，本文从两个角度展开分析：

系统性回顾 USDT黑名单地址的冻结行为；
探索被冻结资金与恐怖融资的关联。

本报告基于公开可获得的链上数据进行分析，可能存在不准确或遗漏。如有建议或更正，欢迎联系我们：[email protected]。

1. USDT 黑名单地址分析

我们通过链上事件监测的方式，对 Tether 黑名单地址进行识别和追踪。分析方法已通过 Tether 智能合约源码验证。核心逻辑如下：

事件识别：Tether 合约通过两个事件维护黑名单状态：
- AddedBlackList：新增黑名单地址
- RemovedBlackList：移除黑名单地址
数据集构建：我们对每个被拉黑的地址记录以下字段：
- 地址本身
- 加入黑名单的时间（blacklisted_at）
- 若地址被移出黑名单，则记录解除时间（unblacklisted_at）

以下是合约中相关函数的实现：

function addBlackList (address _evilUser) public onlyOwner {  isBlackListed[_evilUser] = true;  AddedBlackList(_evilUser);}function removeBlackList (address _clearedUser) public onlyOwner {  isBlackListed[_clearedUser] = false;  RemovedBlackList(_clearedUser);}event AddedBlackList(address indexed _user);event RemovedBlackList(address indexed _user);

1.1 核心发现

基于以太坊和波场（Tron）链上的 Tether 数据，我们发现如下趋势：

自 2016 年 1 月 1 日起，共有 5,188 个地址被加入黑名单，涉及冻结资金超过 29 亿美元。

仅在 2025 年 6 月 13 日至 30 日期间，就有 151 个地址被拉黑，其中 90.07%来自 Tron 链（地址列表见附录），冻结金额高达 8,634 万美元。黑名单事件的时间分布：6 月 15 日、20 日和 25 日为拉黑高峰，其中 6 月 20 日当天单日拉黑地址数高达 63 个。

冻结金额分布：金额排名前十的地址共冻结 5,345 万美元，占总冻结金额的 61.91%。平均冻结金额为 57.18 万美元，但中位数仅为 4 万美元，表明少量大额地址拉高了整体平均，绝大多数地址被冻结金额较小。
生命周期资金分布：这些地址累计接收资金 8.08 亿美元，其中 7.21 亿美元在被拉黑前已被转出，仅有 8,634 万美元实际被冻结。这表明大部分资金在监管介入前已被成功转移。此外，有17% 的地址完全没有出账记录，可能作为临时存储或资金聚合点，值得进一步关注。
新创建地址更易被拉黑：41% 的黑名单地址创建时间不足 30 天，27% 存续时间为 91–365 天，仅有 3% 使用时间超过 2 年，说明新地址更易被用于非法活动。
多数地址实现“冻结前出逃”：约 54%的地址在被拉黑前已转出其 90% 以上的资金，另有 10%在冻结时余额为 0，表明执法行动多数只能冻结资金残值。
新地址洗钱效率更高：通过 FlowRatio vs. DaysActive 散点图我们发现，新地址在数量、被拉黑频率和转账效率方面都表现突出，洗钱成功率最高。

1.2 资金流向追踪

通过 BlockSec 的链上追踪工具 MetaSleuth (https://metasleuth.io)，我们进一步分析了 6 月 13 日至 30 日间被拉黑的 151 个 USDT 地址的资金流动，从中识别出主要的资金来源与流向。

1.2.1 资金来源分析

内部污染（91 个地址）：这些地址的资金来自其他已被拉黑地址，表明存在高度互联的洗钱网络。
钓鱼标签（37 个地址）：许多上游地址在 MetaSleuth 中被标注为“Fake Phishing”，可能是掩盖非法来源的欺骗性标签。

https://metasleuth.io/result/tron/THpNSa3BMNPPzVNTPZ6aTmRsVzGR6uRmma?source=26599be9-c3a9-42a6-a2ae-b6de72418003

交易所热钱包（34 个地址）：资金来源包括 Binance（20）、OKX（7）和 MEXC（7）等交易所热钱包，可能与被盗账户或“骡子账户”相关。
单一主要分发者（35 个地址）：同一个黑名单地址多次作为上游，可能作为聚合器或混币器进行资金分发。
跨链桥接入口（2 个地址）：资金部分来源于跨链桥，表明存在跨链洗钱操作。

1.2.2 资金去向分析

流向其他黑名单地址（54 个）：黑名单地址之间存在“内部循环链”的结构。
流向中心化交易所（41 个）：这些地址将资金转入如 Binance（30）、Bybit（7）等 CEX 的充值地址，实现“下车”。
流向跨链桥（12 个）：表明部分资金试图逃离 Tron 生态，继续跨链洗钱。

https://metasleuth.io/result/tron/TBqeWc1apWjp5hRUrQ9cy8vBtTZSSnqBoY?source=ddea74a3-fb52-4203-846a-c7be07fbb78d

值得注意的是，Binance 和 OKX 同时出现在资金流入（热钱包）和流出（充值地址）两端，进一步凸显其在资金链中的核心位置。当前交易所对 AML/CFT 的执行不足以及资产冻结滞后，可能让不法分子在监管介入前完成资产转移。

我们建议各大加密交易平台作为资金的核心通道，应加强实时监测与风险拦截机制，防患于未然。

https://metasleuth.io/result/tron/TFjqBgossxvtfrivgd6mFVhZ1tLqqyfZe9?source=7ba5d0da-d5b5-41ab-b54c-d784fb57f079

2. 恐怖融资分析

为了进一步理解 USDT 在恐怖融资中的使用情况，我们分析了以色列国家反恐融资局（NBCTF）发布的行政扣押令（Administrative Seizure Orders）。尽管我们采用的单一数据源难以还原全貌，但将其作为代表性样本，用于评估 USDT 涉恐交易的保守分析和估计。

2.1 核心发现

发布时点：自 2025 年 6 月 13 日以色列-伊朗冲突升级后，仅新增 1 份扣押令（6 月 26 日）。而上一份文件停留在 6 月 8 日，显示出在地缘紧张时期执法响应存在滞后。
目标组织：自 2024 年 10 月 7 日冲突爆发以来，NBCTF 共发布 8 份扣押令，其中 4 份明确提到“哈马斯”，而最新一份则首次提到“伊朗”。
扣押令涉及到的地址和资产：
- 76 个 USDT（Tron）地址
- 16 个 BTC 地址
- 2 个以太坊地址
- 641 个 Binance 账户
- 8 个 OKX 账户