研究範圍
本報告聚焦於 2025 年在以太坊(Ethereum)和波場(TRON)兩條區塊鏈上觀察到的加密貨幣犯罪活動。之所以選擇這兩條網絡,是因為它們具有較高的交易規模、在加密生態中被廣泛採用,並且在以往分析中頻繁出現在各類非法資金流動中。綜合來看,以太坊和波場分別代表了加密犯罪活動中不同功能分工的區塊鏈環境:前者更多承載鏈原生應用與復雜金融活動,後者則在穩定幣轉移與跨境結算中佔據核心位置。兩條網絡在非法資金的産生、轉移與清洗過程中形成高度互補的關係,共同構成了加密貨幣犯罪資金流動的主要載體。
本報告分析的加密貨幣犯罪類型包括:詐騙、攻擊、恐怖主義融資、人口販運、毒品販運以及制裁相關活動。這些類別代表了當前加密貨幣領域中最為常見且影響較大的非法活動形式,並長期受到監管機構、執法部門及行業參與者的重點關注。
方法論
我們對加密貨幣犯罪的分析主要包括兩個方面:一是評估不同犯罪類型在 2025 年全年的資金流入規模,二是分析其在 2025 年的洗錢去向偏好。下文將分別介紹這兩部分所採用的分析方法及相關說明。
犯罪類型年度收入規模的評估方法
在評估不同犯罪類型的年度收入規模時,我們採用行業内通行的方法,通過統計與某一犯罪類型相關的地址在 2025 年内的資金流入情況,來估算該犯罪類型的總體收益規模。具體而言,我們基於 BlockSec AML 標簽庫,整理出各犯罪分類下已識別的相關地址集合,並統計這些地址在 2025 年全年接收的主流加密資産入金金額,統一折算為美元價值後進行匯總。
需要指出的是,上述統計結果在解讀時應注意以下幾點:
1.由於部分非法地址尚未被曝光或未能及時收錄,統計結果可能低於實際發生的真實規模;
2.非法資金在不同犯罪地址之間的内部流轉,可能導致部分資金被重復統計。我們在分析中盡可能規避這一問題,例如在攻擊分類中,優先以具體攻擊事件為統計粒度;
3.個別地址可能同時涉及多種犯罪活動,其對應的收入可能同時計入多個分類。我們會盡量識別地址的主要犯罪屬性,但在實踐中,部分地址不可避免地同時出現在非法活動與制裁相關分類中,Lazarus Group 即為典型例子。
黑灰資金洗錢去向的分析方法
在分析黑灰資金的洗錢去向時,我們主要採用論文 MFTracer中提出的資金流模擬方法。具體做法是:將某一犯罪類型下的全部相關地址視為一個整體,同時模擬其對外轉出資金在鏈上的後續流動路徑,直至資金進入已識別的服務實體,或在高度連接的中介節點處匯聚。
相較於對單個地址分別分析的方法,該方式能夠更好地刻畫涉及多個地址的組織化非法行為的整體洗錢結構,並避免對同一洗錢去向進行重復累加。需要注意的是,該方法在應用過程中亦可能存在以下局限:
1.相關分析基於自動化程序完成。為保證計算的可行性與穩定性,分析過程中採用了剪枝策略,可能導致少量資金在模擬過程中被忽略;
2.資金去向的識別依賴於 BlockSec AML 標簽庫。當資金流入尚未被標記的地址或實體時,其具體去向可能無法進一步確認;
3.部分服務實體同時涉及多項業務類型(例如 1inch 同時提供同鏈資産兌換與跨鏈資産兌換服務)。在此情況下,資金流入該實體時,其去向將被統一歸類為主要業務類型,相關分析結果可能因此存在一定精度損失。
不同犯罪類型的收入規模
下圖展示了 2025 年不同犯罪類型在以太坊和波場兩條區塊鏈上的收入規模分佈情況。當某些犯罪類型在單條鏈上的收入規模較低時,為避免其拉伸整體縱軸比例、影響可讀性,圖中將其收入視為 0 進行展示,以獲得更清晰的可視化效果。
從整體分佈來看,恐怖主義融資、人口販運以及毒品販運的收入規模明顯集中在波場鏈上。這三類犯罪對加密貨幣的主要使用場景集中於交易結算與資金清洗,而波場網絡在轉賬成本和結算效率方面具備顯著優勢,因此更容易被用於承載此類資金流動。
相比之下,詐騙與攻擊在兩條鏈上均呈現出較為顯著的活動規模。這主要源於這兩類犯罪具有更強的“鏈原生”屬性:無論是詐騙還是攻擊,往往發生在哪一條鏈上,其對應的非法收益也會首先在該鏈上産生並沉澱。其中,攻擊在以太坊上的收入規模明顯高於波場,一方面是由於以太坊擁有更為復雜且活躍的 DeFi 生態,成為智能合約攻擊的主要目標;另一方面,2025 年 Lazarus Group 針對 Bybit 的攻擊事件單項即涉及約 15 億美元的以太幣,被計入以太坊側的攻擊收入中,進一步放大了這一差異。
制裁相關活動在 2025 年呈現出異常顯著的增長趨勢。相較 2024 年,其相關收入規模增加了接近 1000 億美元。這一增長主要由兩方面因素推動:一是俄羅斯推出以規避經濟制裁為目的的盧佈穩定幣 A7A5 代幣,該資産在 2025 年於以太坊和波場兩條鏈上的交易規模合計約為 700 億美元;二是 Huione Group、BYEX Exchange 等因深度參與東南亞詐騙與洗錢活動而受到制裁,其相關資金流同樣被納入制裁相關活動的統計範圍。
總體來看,這一收入分佈反映出不同犯罪類型在鏈選擇上的結構性差異:以交易結算和洗錢為導向的犯罪活動,更傾向於使用低成本、高效率的結算網絡;而鏈原生型犯罪則更依賴其發生的區塊鏈生態本身。這一差異為後續關於洗錢路徑、風險集中度以及區域性犯罪生態的分析提供了重要背景。
不同犯罪類型的洗錢去向
接下來,我們將分別分析各類犯罪在以太坊和波場鏈上的洗錢去向。需要說明的是,本報告未對制裁相關活動的資金進一步展開去向分析。與其他犯罪類型不同,制裁並非一種具體的犯罪行為,而是由監管或執法機構施加的管理措施,其適用對象可能涵蓋多種不同類型的非法活動。若將不同背景的受制裁地址合並分析其洗錢去向,容易混淆不同犯罪行為的資金特徵,從而降低分析結果的解釋力。
詐騙
在波場鏈上,詐騙資金的洗錢去向呈現出高度集中的特徵。數據顯示,超過 80% 的詐騙資金最終流入各類中心化交易所,其中 HTX 和 Binance 是最主要的接收方,合計佔比約 50%,其後包括 Kraken、OKX、Bybit 等平台。此外,Huione Group 約佔 2.73%。這一比例與 FinCEN 將其認定為東南亞詐騙活動關鍵洗錢節點的指控相吻合。
除交易所及個別重點實體外,其他類型服務所佔比例相對有限。整體來看,這一分佈表明,波場鏈上的詐騙活動在洗錢階段更強調快速變現與高效流轉,中心化交易所在其中扮演了核心的資金出口角色。
相比之下,以太坊鏈上的詐騙資金洗錢路徑則更加多樣化且分散。盡管去中心化交易所(DEX)仍是最主要的去向之一,佔比約 30%,但並未形成絕對主導。同時,混幣服務(Mixer)在詐騙資金中的佔比顯著提高,約為 20%,其中 Tornado Cash 是最主要的接收方。此外,部分資金還流向中心化交易所、錢包服務、跨鏈橋、穩定幣協議等多種類型的服務節點,顯示出詐騙資金在以太坊生態中更傾向於通過多層次、組合式的鏈上操作來提升資金混淆度。
兩條鏈上之所以形成如此不同的洗錢路徑結構,首先源於詐騙資金在資産形態上的差異。波場鏈上的詐騙所得黑灰資金以USDT 為主,資産形式相對單一,天然具備較強的流通性與可兌現性;相比之下,以太坊上的詐騙資産類型更加多樣,犯罪分子往往需要通過資産兌換,將其轉化為流動性更高、價值更穩定、且在後續操作中更為安全的資産形式。這一差異將在第二章中結合穩定幣相關數據進一步展開。
其次,兩條鏈在洗錢方式上的偏好也存在明顯不同。在波場生態中,詐騙資金更常見的做法是通過多次地址轉移拉長洗錢路徑,隨後集中流入交易所完成兌現;而在以太坊生態中,犯罪分子則更傾向於利用其豐富的鏈上工具組合,例如混幣服務及其他 DeFi 機制,通過多層次操作來增加資金追蹤的難度。
總體來看,詐騙類犯罪在以太坊與波場兩條鏈上的洗錢路徑,清晰地反映了不同生態結構對洗錢行為的影響:波場更偏向以中心化交易所為核心的直接兌現模式,而以太坊則呈現出更加復雜、工具化的洗錢路徑。這一差異在其他犯罪類型的分析中同樣有所體現。盡管具體路徑選擇存在顯著不同,黑灰資金在洗錢階段的核心目標仍然一致,即在降低持續追蹤風險的同時,最大化資産的流動性與可變現性。
攻擊
在正式分析攻擊類資金的洗錢去向之前,需要作出一項說明:本節的分析未包含 Lazarus Group 發起的攻擊事件。Lazarus Group 在 2025 年實施的多起高金額攻擊,對攻擊類犯罪整體的去向分佈具有顯著影響。為避免單一主體的極端規模對整體結構造成扭曲,相關分析將在後文單獨展開;本節所展示的結果,主要用於刻畫攻擊類犯罪在不同鏈上的一般性洗錢特徵。
在以太坊上,攻擊所得資金的洗錢去向呈現出高度多樣化的結構。去中心化交易所(DEX)仍是最主要的去向,佔比 38.49%,資金主要流向 Uniswap、Cow Protocol、1inch、Balancer、Kyber Network 等協議。其次,混幣服務(Mixer)佔比 16.76%,其中 Tornado Cash 是最主要的接收方。此外,部分資金還流向跨鏈橋、穩定幣協議、錢包服務及借貸協議等,顯示出攻擊者在洗錢階段更傾向於通過多種鏈上工具的組合使用,以提升資金混淆度並增加追蹤難度。
相比之下,波場鏈上的攻擊資金去向則高度集中於跨鏈橋。數據顯示,約 90% 的攻擊相關資金通過跨鏈橋服務流出,並且集中於 Bridgers 跨鏈橋。除跨鏈橋外,少量資金流向中心化交易所或無 KYC 的交易服務。這一分佈表明,在波場生態中,攻擊者更傾向於迅速將資金遷移至其他網絡進行後續清洗,而非在本鏈内完成復雜的洗錢操作。
恐怖主義融資
在 2025 年觀察到的相關活動中,恐怖主義融資相關資金主要集中於波場鏈,因此本節僅對波場上的洗錢去向分佈進行分析。
從最終去向來看,77.06% 的恐怖主義融資資金最終流入各類中心化交易所,其中 Binance 佔據 28.17%,為最主要的接收方,其後包括 Bybit、Kraken、OKX 等平台。相比之下,僅有 2.7% 的資金通過跨鏈橋服務轉移至其他區塊鏈進行清洗,這一比例與攻擊類犯罪形成了鮮明對比。
值得注意的是,在實際追蹤過程中恐怖主義融資的洗錢路徑往往更加冗長。在到達已識別的服務實體之前,相關資金通常會經過更多中間地址和轉移步驟,需要更深的追蹤層級才能識別其最終去向。這一特徵表明,恐怖主義融資在洗錢過程中更傾向於通過延長資金路徑來降低暴露風險。
人口販運
人口販運相關資金在洗錢去向上同樣呈現出高度集中於波場鏈的特徵,因此本節主要基於波場上的資金流向展開分析。
從最終去向來看,中心化交易所是人口販運資金最主要的資金出口,整體佔比超過 60%。相關資金分佈於多個交易平台之間,其中 OKX、Binance 以及 Huione Group 是較為突出的接收方。此外,部分資金也流向 HTX、MaskEx、Gate.io 等交易所,但整體仍以交易所體係内的流轉為主。
除交易所外,少量資金流向賭博類服務(Gambling)。盡管其佔比不高,但在人口販運相關活動中具有一定代表性。這一現象可能表明,部分資金在進入主流金融出口之前,會先通過具有較高流動性的娛樂或交易場景進行過渡,以降低資金來源的可識別性。
毒品販運
毒品販運相關的鏈上資金同樣高度集中於波場網絡。本節所展示的洗錢去向分析,亦基於波場鏈上的毒品相關資金流。
在洗錢去向上,毒品販運資金最終仍以中心化交易所作為主要出口。如圖所示,約 77% 的相關資金流入各類交易所,其中 Binance 佔據最大比例,其後包括 Bybit、OKX 等主流平台。這一分佈表明,盡管資金在鏈上經歷了多輪轉移,交易所依然是毒品收益進入現實金融體係的關鍵節點。
與詐騙或攻擊類犯罪相比,毒品販運資金往往需要更深的追蹤層級才能抵達已識別的服務實體。這意味著其洗錢路徑通常更長、跳數更多,在進入交易所之前已經完成了更充分的分層處理。這種“終點高度集中、路徑顯著拉長”的結構,使毒品相關資金在鏈上呈現出更高的追蹤成本,也反映出其在應對執法風險時更為成熟和審慎的洗錢策略。
Lazarus Group
作為 2025 年最為活躍且影響力最大的攻擊型威脅主體之一,Lazarus Group 在洗錢路徑的結構設計與工具選擇上均呈現出鮮明特徵。鑒於其相關攻擊事件金額規模巨大,且對整體攻擊類犯罪的去向分佈具有顯著影響,本報告對其資金流向進行單獨分析。
在波場鏈上,Lazarus Group 的資金去向高度集中於中心化交易所。數據顯示,超過 60% 的相關資金最終流入交易所體係,其中 Binance、OKX、Huione Group 及 HTX 是主要接收方。除交易所外,僅有少量資金流向去中心化交易所或其他服務類型。
相比之下,以太坊上的 Lazarus 資金流向呈現出明顯不同的結構特徵。其洗錢路徑以跨鏈橋為核心,其中 Thorchain 佔據絕對主導地位,成為最主要的資金外流通道。與此同時,部分資金通過去中心化交易所(如 Paraswap、Uniswap、OKX Web3 等)進行資産轉換,另有少量資金流向穩定幣協議、質押服務及無 KYC 交易平台。整體來看,以太坊上的洗錢路徑更強調跨鏈轉移與多種工具的組合使用,其復雜度顯著高於波場。
總體而言,Lazarus Group 在兩條鏈上的洗錢策略呈現出清晰的功能分工:波場更側重於交易所主導的資金集中與兌現,而以太坊則作為跨鏈轉移與復雜操作的核心環境。這種差異化的鏈上使用方式,反映出其在洗錢階段對不同區塊鏈生態能力的有意識利用與精細化配置。
小結
綜合來看,不同犯罪類型在洗錢階段呈現出顯著差異化的路徑結構。這些差異不僅體現在所使用的鏈上工具和服務類型上,也反映在犯罪主體對不同區塊鏈生態功能的選擇與分工之中。
詐騙類犯罪整體以效率與可變現性為核心目標。在波場鏈上,其資金高度集中流向中心化交易所,洗錢路徑直接且集中;而在以太坊上,詐騙資金則更多通過去中心化交易所、混幣服務及多種鏈上工具的組合操作,形成相對分散的洗錢結構,體現出逐步轉換與混淆的特徵。
攻擊類犯罪在洗錢階段表現出更強的技術性與工具組合特徵。在以太坊上,攻擊所得資金廣泛利用去中心化交易所、混幣服務及跨鏈橋等基礎設施,形成復雜的資金流轉路徑;而在波場上,攻擊資金則高度集中於跨鏈橋,更傾向於將資金快速遷移至其他鏈上完成後續清洗。鑒於部分高金額攻擊主體對整體分佈具有顯著影響,本報告對相關主體進行了單獨分析。
恐怖主義融資在最終去向上高度集中,相關資金幾乎全部流向中心化交易所,且主要發生在波場鏈上。但在實際追蹤過程中,其洗錢路徑往往更長,需要更深的追蹤層級才能抵達已識別的服務實體,顯示出其更傾向於通過延長路徑而非增加工具復雜度來降低直接暴露風險。
人口販運的洗錢路徑整體相對直接,同樣以波場作為主要活動鏈,資金主要流向中心化交易所。與其他犯罪類型相比,其去向結構中出現了一定比例的賭博類服務,反映出部分資金在進入主流金融出口之前,可能通過特定高流動性場景進行過渡。
毒品販運相關活動同樣高度集中於波場網絡,且最終主要流向中心化交易所作為資金出口。同時,在進入交易所之前,相關資金通常會經過更長且更具分層特徵的鏈上轉移路徑,體現出相對更為成熟的洗錢策略。
此外,對 Lazarus Group 的單獨分析顯示,不同區塊鏈在其洗錢策略中承擔了明確分工:波場主要用於交易所主導的資金集中與兌現,而以太坊則作為跨鏈轉移與復雜操作的核心執行環境。
總體而言,加密貨幣犯罪在洗錢階段並未呈現出統一模式,而是基於不同行為特徵與現實約束,形成了多樣化的鏈上路徑結構。這些差異為識別風險集中位置、關鍵基礎設施以及後續監管與執法的重點方向提供了重要參考。
風險集中結構與執法槓桿
在評估加密貨幣相關犯罪風險時,僅關注資金規模本身,往往不足以支撐有效的治理與執法決策。一個同樣關鍵的問題在於:黑灰産資金在鏈上是如何分佈的,是否集中於少數關鍵地址、實體或中介節點之中,而非分散在大量獨立個體之間。如果資金流動呈現出明確的集中結構,那麼圍繞這些集中位置開展幹預,通常能夠形成更具槓桿效應的執法與治理成果。
基於前文對不同犯罪類型資金流向的分析,本章節從風險集中結構的角度出發,重點回答以下兩個問題:
●哪些主體在 2025 年産生了最多的黑灰産資金;
●哪些地址、實體或服務在洗錢階段接收並匯聚了最多的黑灰産資金。
誰産生了最多黑灰産資金
從資金産生端來看,詐騙與攻擊是 2025 年最主要的黑灰産資金來源類型,但二者所呈現出的風險集中結構存在顯著差異。
詐騙類犯罪在資金産生端呈現出一種“分散與集中並存”的結構特徵。一方面,大量詐騙活動由分散的個體或小規模團夥實施,整體上表現出形式多樣、主體分散的特點;另一方面,也存在高度組織化、區域集中的大型詐騙網絡,在資金産生端形成明顯的集中效應。這類節點在詐騙生態中具有不成比例的影響力,其具體運作模式與區域分佈將在後續章節中結合區域性黑灰産活動進一步展開。
相比之下,攻擊類犯罪在資金産生端則呈現出高度不均衡的集中結構。盡管攻擊事件數量眾多,但整體資金規模主要由少數高金額攻擊事件貢獻,單一事件即可對全年攻擊類犯罪的資金規模産生決定性影響。這表明,在攻擊類犯罪中,具備較強技術能力與組織化程度的少數主體,構成了最核心的資金生成來源。
總體來看,不同犯罪類型在資金産生端所呈現的風險集中結構並不一致:詐騙類犯罪更多體現為結構性集中,而攻擊類犯罪則表現為事件和主體層面的高度集中。這意味著,在産生端層面,潛在的執法槓桿點因犯罪類型而異。
誰接收了最多黑灰産資金
與資金産生端相比,黑灰産資金在接收端呈現出更加一致且穩定的風險集中結構。盡管不同犯罪類型在洗錢路徑、操作復雜度以及所使用的鏈上工具方面存在明顯差異,但從最終結果來看,中心化交易所反復作為多類犯罪資金的主要匯聚節點出現。
在詐騙、攻擊、恐怖主義融資及人口販運等多種犯罪類型中,交易所均構成最重要的資金接收端。盡管在洗錢過程中,部分資金會流經去中心化交易所、跨鏈橋或其他鏈上基礎設施,但結合其路徑特徵可以觀察到,這類服務更多承擔中轉與過渡功能,而非最終落點。相關資金在完成資産轉換、路徑拆分或跨鏈轉移後,仍高度可能繼續流入交易所體係。
這一現象表明,從風險集中結構的角度看,黑灰産資金並未因洗錢路徑的復雜化而實現真正意義上的分散。相反,不同犯罪類型最終仍依賴於數量有限的關鍵中介節點完成資金匯聚與兌現,使接收端成為最穩定、也最具執法槓桿效應的風險集中位置。
小結
綜合來看,加密貨幣相關黑灰産資金在風險集中結構上呈現出“産生端多樣、接收端集中”的整體特徵。不同犯罪類型在資金産生端的集中機制各不相同,而在接收端則普遍依賴少數關鍵中介節點完成資金匯聚與變現。
這一結構性特徵意味著,執法與治理的有效切入點既可能存在於特定高影響力的資金生成主體或事件之中,也更加穩定地存在於關鍵的資金接收與中轉節點。圍繞這些集中位置開展針對性的監測、幹預與協作,將有助於在有限資源下放大治理效果,為後續監管與執法策略的制定提供清晰方向。
隨著加密貨幣生態的發展,穩定幣逐漸從一種支付和結算工具,演變為連接鏈上活動與現實世界監管的重要接口。與其他加密資産不同,主流穩定幣通常由中心化發行方管理,其發行、贖回及流通環節均受到現實世界法律和監管框架的約束。這使得穩定幣具備了一種獨特屬性——監管與執法意誌可以被直接執行到鏈上層面。
在實踐中,穩定幣發行方已能夠通過地址凍結、資産扣押及合規審查等機制,對特定鏈上地址施加實際影響。這意味著,現實世界中的制裁、執法和合規要求,不再僅停留在交易所或傳統金融體係,而是被直接映射為鏈上的可執行行為。
本章將圍繞穩定幣在加密貨幣犯罪治理中的角色展開分析,探討穩定幣如何逐步成為一種“可執行的監管基礎設施”。
穩定幣在黑灰産中的核心地位
為評估穩定幣在加密貨幣相關黑灰産活動中的實際作用,本報告對比分析了不同犯罪類型在以太坊(Ethereum)和波場(Tron)兩條鏈上的收入資産結構。具體而言,我們將各類犯罪活動的年度總收入按資産類型劃分為原生代幣、穩定幣及其他代幣,並在收入規模低於統計阈值、不具備分析意義的情況下,不展示對應的資産佔比。
從整體結果來看,穩定幣已在多類黑灰産活動中佔據核心地位,但這一特徵在不同區塊鏈生態中呈現出明顯差異。
在波場鏈上,幾乎所有已分析的犯罪類型,其收入資産高度集中於穩定幣,穩定幣佔比普遍接近或達到 100%。這表明,在波場生態中,黑灰産活動在資金産生階段即已高度“穩定幣化”,穩定幣成為事實上的默認價值載體,而非單純的結算工具或過渡資産。
相比之下,在以太坊鏈上,黑灰産收入的資産結構相對更為多樣。盡管原生代幣在部分犯罪類型(如攻擊類活動)中仍佔據一定比例,但穩定幣在詐騙、攻擊等主要犯罪類型中依然保持顯著佔比,構成最重要的價值承載形式之一。這反映出,即便在資産形態更豐富、金融工具更復雜的生態中,穩定幣仍然是黑灰産活動中不可或缺的關鍵資産。
總體而言,無論是在穩定幣使用高度集中的波場鏈,還是在資産結構更為復雜的以太坊鏈,穩定幣均已成為黑灰産資金最重要的載體之一。這一事實為理解穩定幣在加密貨幣犯罪治理中的角色,以及其作為“可執行監管基礎設施”的潛在影響,提供了關鍵背景,也為後續對穩定幣凍結與執法實踐的分析奠定了基礎。
穩定幣凍結機制:從合約特權到監管執行
對於中心化穩定幣而言,可管理性是其設計中的核心特徵之一。為確保代幣在合規、風控及執法協作場景下具備可控性,穩定幣合約通常内置特權函數。這些特權函數不僅支撐了發行方對代幣供給與流通的管理能力,也構成了監管和執法得以直接觸達鏈上資産的關鍵接口。
以下以泰達公司發行的 USDT 為例,結合其在以太坊與波場網絡上的合約實現,說明穩定幣凍結機制的技術結構及其在現實中的運作方式。
合約層面的三項關鍵功能
USDT 智能合約中設置了三項僅可由特權地址調用的函數,用於實現對特定地址及資産的控制:
●addBlackList:將指定錢包地址標記為凍結狀態。執行後,該地址將無法發送或接收 USDT,代幣仍顯示在錢包中,但完全失去流動性。該操作會在鏈上觸發 AddedBlackList 事件。
●removeBlackList:解除凍結狀態,恢復地址的正常轉賬功能,並觸發 RemovedBlackList 事件。相較凍結操作,該函數的調用頻率顯著更低。
●destroyBlackFunds:永久銷毀被凍結地址中持有的 USDT,從而減少代幣的總供應量。被銷毀的代幣不會再回到市場,對應操作會觸發 DestroyedBlackFunds 事件。
這三項函數共同構成了穩定幣從“限制流動”到“實質處置”的完整控制鏈條,使資産可以在不依賴中介託管的情況下,直接在合約層面被限制、凍結乃至移除。
凍結行為的觸發路徑
盡管 Tether 並未公開發佈一套完整的凍結政策文件,但結合其官方聲明、公開披露信息以及鏈上可觀察行為,可以較為清晰地總結出 USDT 地址被凍結的三類主要觸發途徑。
第一類,也是最常見的途徑,是執法部門的直接請求。全球範圍内的執法機構——包括 FBI、美國司法部、特勤局、緝毒局、歐洲刑警組織,以及 Tether 合作的、遍佈 59 個司法管轄區的 275 餘家機構——在調查過程中識別出可疑錢包後,可向 Tether 提交經核實的凍結請求。實踐中,Tether 並不總是要求正式的法院命令;只要請求來自官方機構域名,並附帶明確的法律依據,即可被視為有效。在緊急情況下,Tether 甚至會基於非正式的電子郵件通知先行凍結相關地址,並在事後補充正式文件。公開信息顯示,過去三年中,Tether 已處理超過 900 份執法凍結請求,其中僅美國執法機構就提出了約 460 份。
第二類途徑源於對制裁規則的自動化遵循。自 2023 年 12 月起,Tether 開始主動凍結所有被列入 OFAC 特別指定國民(SDN)名單的地址,而無需等待執法部門的個案請求。該政策生效後,Tether 立即封禁了當時 SDN 名單中的全部 161 個相關地址。這一機制標誌著穩定幣制裁執行從“個案觸發”向“規則自動觸發”的轉變。
第三類途徑是基於區塊鏈情報的主動凍結。通過與 T3 金融犯罪部門(由 TRON 與 TRM Labs 於 2024 年聯合成立)的合作,Tether 可依據鏈上分析結果,對與黑客攻擊、詐騙或恐怖主義融資相關的地址實施凍結,有時甚至早於正式執法請求提出之前。截至 2025 年 10 月,僅 T3 金融犯罪部門已在 23 個司法管轄區協助凍結超過 3 億美元的犯罪資産。
凍結所涉及的主要犯罪類型
從被凍結地址所涉及的活動類型來看,其覆蓋範圍已相當廣泛,主要包括以下幾類:
●恐怖主義融資相關活動。在部分案件中,Tether 在正式查封令公開之前,已主動將與哈馬斯相關的 17 個地址列入黑名單。2025 年 6 月的執法行動中,波場鏈上共有 151 個與恐怖組織有關聯的地址被凍結。
●各類欺詐與騙局,包括“殺豬盤”、龐氏騙局及投資詐騙。2025 年 6 月,美國聯邦檢察官提起民事沒收訴訟,涉及約 2.25 億美元的 USDT,相關資金被指與加密貨幣投資詐騙活動有關。
●黑客攻擊資金的追蹤與追回。例如,T3 金融犯罪部門凍結了 2025 年 3 月 Bybit 黑客攻擊事件中約 900 萬美元的資産;在另一起案件中,在區塊鏈調查人員 ZachXBT 的分析支持下,包括 Tether 在内的穩定幣發行商凍結了約 500 萬美元與 Lazarus Group 相關的資金。
●洗錢及非法商品交易。根據 T3 金融犯罪部門的年度報告,非法商品與服務相關案件約佔其調查類型的 39%,其餘則分佈在欺詐、黑客攻擊、與朝鮮相關的行動及恐怖主義融資等領域。
需要特別強調的是,凍結與扣押在法律與技術層面並不等同。凍結(通過 addBlackList 實現)本質上是一種臨時性控制措施,其目的在於阻止資産繼續流動,並不要求法院命令。而真正意義上的資産扣押,發生在 Tether 調用 destroyBlackFunds 函數,銷毀被凍結的 USDT,並向政府控制的錢包重新鑄造等值代幣之時。這一“銷毀並重新發行”的過程,通常需要通過民事資産沒收程序獲得法院授權,才構成執法部門對資金的正式接管。
泰達幣凍結的規模化執行實踐
從長期趨勢來看,穩定幣凍結行為在過去數年中呈現出顯著上升態勢。自 2017 年以來,與 USDT 相關的凍結地址數量持續增長,並在近兩年出現明顯加速。這一變化表明,穩定幣對鏈上地址實施凍結的能力,已從早期的零星、個案式操作,逐步演變為一種常態化、規模化的執行。
僅在 2025 年全年,Tether 即將 4,163 個地址列入黑名單,累計凍結約 12.6 億美元的 USDT。其中,超過一半的凍結資産(約 6.98 億美元)已被銷毀。按照 Tether 的執行機制,這部分被銷毀的資金通常會被重新鑄造,並返還給受害者或移交給執法機構,完成實際意義上的資産接管。
從鏈上分佈來看,凍結活動在不同公鏈上的表現存在顯著差異。波場鏈上的凍結地址數量約為以太坊的 5 倍以上,累計凍結金額也明顯更高;而在以太坊上,單個被凍結地址的平均資産規模則更大。這一差異與兩條鏈在黑灰産中的使用方式高度一致:波場更偏向高頻、規模化的資金流轉場景,而以太坊則更多承載單筆金額較大、結構更復雜的資金操作。
從時間維度觀察,2025 年的凍結行為並非均勻發生,而呈現出明顯的“波段式”特徵。全年凍結活動在 7 月達到峰值,單月被列入黑名單的地址數量顯著高於其他月份。這種集中爆發的節奏,反映出穩定幣發行方的凍結行動,與執法和監管部門的外部行動之間存在較強的同步性。凍結不再是被動、事後響應的措施,而更接近於配合專項執法行動展開的係統性執行工具。
進一步分析被凍結資金的分佈結構可以發現,凍結規模在資金層面呈現出高度集中特徵。約 75% 的被凍結資産,集中在 275 個餘額超過 100 萬美元的地址之中。這一結構意味著,穩定幣凍結在實際效果上並非平均作用於所有參與者,而是能夠對關鍵節點和高價值賬戶形成顯著約束,在資金層面産生明顯的“槓桿效應”。
與此同時,這一分佈也揭示了執法實踐中的“雙層策略”:一方面,通過凍結高餘額地址,對與重大調查或核心犯罪活動相關的主體造成實質性資金損失;另一方面,通過大規模凍結餘額較小的地址,持續清理跑腿錢包、中間人和洗錢節點,從而削弱非法網絡賴以運轉的基礎設施。
需要強調的是,一旦地址被加入黑名單,其所持 USDT 將立即失去可轉移性,相關資金無法繼續在鏈上流動。這意味著,穩定幣凍結並非事後追溯意義上的風險標記,而是一種直接改變資産狀態的執行行為。從鏈上視角看,執法意圖並不是停留在合規提示或風險警示層面,而是被明確地“寫入”並落實到資産本身的可用性之中。
穩定幣合規的制度性轉折
將 2025 年的穩定幣凍結數據置於更長時間尺度下觀察,可以發現,這一年並非孤立的異常,而是多項結構性變化疊加後的集中體現。穩定幣合規在 2025 年出現的執行強度提升,既源於制度環境的變化,也反映了穩定幣在黑灰産體係中角色的根本轉變。
首先,監管框架層面的明確化,為穩定幣合規執行提供了制度基礎。2025 年 7 月,美國正式通過《GENIUS Act》,首次在聯邦層面為穩定幣建立係統性監管框架。該法案將穩定幣發行方明確納入金融監管體係之中,要求其履行反洗錢、反恐融資及制裁合規義務,並具備執行合法凍結與資産處置指令的能力。對於在美國市場具有實質影響力的境外發行方而言,這意味著其合規責任從“合作層面”上升為“制度要求”。盡管法案設定了過渡期,但其信號已十分明確:穩定幣發行方需要具備持續、可規模化的合規執行能力。
其次,穩定幣在非法資金流動中的結構性地位,使其成為治理體係中無法回避的關鍵節點。多項研究表明,在 2025 年,穩定幣已佔據非法加密交易總量的絕對多數。穩定幣並非因其屬性而天然更易被濫用,而是由於其在合法與非法活動中均被廣泛採用,成為跨鏈、跨平台資金流動的通用載體。這一現實意味著,任何涉及加密貨幣的合規體係,幾乎不可避免地會接觸到與非法活動存在關聯的穩定幣地址,合規執行不再是“是否發生”的問題,而是“何時發生”的問題。
再次,從執行結果來看,2025 年的凍結行為已顯現出明顯的長期趨勢特徵。鏈上數據顯示,USDT 的凍結規模在過去數年中持續上升,2025 年達到階段性高點。僅在這一年内,被凍結的 USDT 金額即超過十億美元,而放眼更長周期,自 2023 年以來,累計被凍結的 USDT 已達到數十億美元規模。凍結行為不再是零散、偶發的個案,而是呈現出逐年遞增、節奏清晰的趨勢。
綜合來看,2025 年之所以構成穩定幣合規的轉折點,並不在於凍結數量或金額本身,而在於三項變化的同時發生:監管規則的明確化、穩定幣在黑灰産中的核心化,以及合規執行能力的規模化落地。這使得穩定幣從“可被監管的對象”,轉變為“可被直接調用的執行基礎設施”。
在這一背景下,穩定幣凍結不再只是合規體係中的輔助措施,而逐步成為連接監管意圖與鏈上資産狀態的關鍵接口。這一轉變不僅重塑了黑灰産網絡對風險的預期,也為後續圍繞穩定幣展開的跨機構協作、鏈上治理與持續監管,奠定了現實基礎。
在全球加密貨幣相關的黑灰産活動中,犯罪行為的空間分佈往往呈現出明顯的區域集聚特徵。東南亞正是這樣一個在長期觀察中反復出現的區域:一方面,該地區的黑灰産活動並非主要由某一單一犯罪類型所驅動,而是逐步發展出一個由詐騙活動、洗錢網絡、穩定幣使用以及綫下人口控制與勞務組織機制相互交織而成的復雜生態係統;另一方面,這一生態在較長時間内保持了相對穩定的運作結構,使其成為分析加密貨幣犯罪整體形態的重要切入口。隨著詐騙活動在該地區不斷向園區化、規模化方向演進,綫上資金活動與綫下組織結構之間的耦合關係也愈發緊密,為相關網絡的持續運作與跨區域復制提供了現實基礎。
從鏈上數據的長期觀察來看,與東南亞相關的資金網絡在多類犯罪活動中反復出現,並在交易結構、洗錢路徑以及對特定基礎設施的依賴程度上呈現出較強的一致性。2025 年為進一步分析這一現象提供了一個尤為清晰的時間背景:與此前相比,全球範圍内針對東南亞詐騙及相關洗錢活動的執法與監管行動明顯加密,多個司法轄區在制裁、刑事執法、穩定幣凍結以及與加密服務提供方協作等方面持續施壓。在這一高壓環境下,本章將東南亞黑灰産生態作為集中分析對象,結合綫下組織形態與鏈上數據,考察詐騙園區、勞務擔保平台等中介機制在支撐人口與資金流轉中的作用,並分析相關網絡在執法環境變化下所呈現出的鏈上行為調整。通過這一具有代表性的場景,本章旨在揭示在更廣泛範圍内同樣具有參考意義的趨勢與治理挑戰。
詐騙園區與勞務擔保:人口供給鏈的形成
工業化運作的詐騙園區
東南亞的詐騙園區已不再是零散、臨時的犯罪窩點,而是呈現出明顯的工業化運作特徵。在緬甸、柬埔寨、老撾等地,大量詐騙園區以集中作業的形式存在,具備清晰的組織結構、穩定的人員編制,以及封閉的生活與工作空間。園區内部通常設有宿舍、辦公區和後勤設施,並由武裝力量控制人員出入,形成高度封閉的運行環境。
從地理分佈上看,這些園區並非隨機散落,而是沿邊境地區呈現出明顯的帶狀集聚特徵,尤其集中在執法力量薄弱、跨境通道復雜的區域。這類地區通常監管能力有限、政局不穩定,為犯罪集團長期駐紮和規模化運作提供了現實條件。
園區内部的“業務”同樣高度標準化。詐騙活動往往以多條“産品綫”並行展開,包括虛假投資、情感詐騙、冒充公檢法以及網絡賭博等,目標群體主要位於境外。相關流程被拆解為可復制的操作步驟,話術和腳本持續叠代,甚至連尋找潛在受害者的行為也被量化為具體的績效指標。
人力供給機制:誘騙、控制與轉賣
如果將詐騙園區視為一座“工廠”,其持續運作的前提在於穩定且可替換的人力供給。從已有案例和調查材料來看,園區的人力來源通常經歷三個階段:招募或誘騙、控制與強迫勞動,以及内部流轉或轉賣。
招募階段往往以高薪職位、海外就業機會或綫上娛樂公司等名義展開,目標人群主要集中在信息獲取能力有限、經濟壓力較大的群體。一旦出境,原有承諾迅速失效,護照被收繳,人身自由受到限制,原本的勞動關係隨之轉變為事實上的強迫勞動。
在此基礎上,一種更為係統化的現象逐漸顯現:被控制人員在不同園區之間被反復轉賣和流轉。當個體無法完成既定指標,或被視為“效率不足”時,便可能被再次出售給其他園區。這種内部流通機制意味著,詐騙園區已不再只是犯罪活動的發生場所,而是逐步演變為一個具備勞務交易屬性的封閉市場。
勞務擔保平台:人口交易的中介化與平台化
在這一背景下,本報告識別出一種正在加速人口販運規模化的新型中介形態——勞務擔保平台。與傳統人口拐賣模式相比,這類平台通過規則化和平台化的運作方式,將原本高度依賴暴力威懾和私下協商的交易,轉化為一套相對標準化的中介服務。
勞務擔保平台同時連接兩端需求:一端是持續需要勞動力的詐騙園區,另一端是負責誘騙、運輸與交付人員的販運者。平台以“擔保人”的角色介入,通過“押金 + 尾款”的結算機制降低交易違約風險,並從中抽取服務費用。具體而言,園區需先支付押金以確認需求,在人員完成交付並經確認後,平台再向販運者結清尾款。
這一機制在形式上高度類似電商平台的交易流程,使原本非法且高風險的人口販運被包裝成一套看似“有規則、有信用”的交易體係。交易雙方在平台規則的約束下形成穩定的協作關係,從而顯著降低了人口販運過程中的交易摩擦與不確定性。
溝通與結算基礎設施:Telegram 與穩定幣
在具體運作層面,勞務擔保平台高度依賴兩類基礎設施:即時通訊工具與穩定幣支付網絡。
溝通主要發生在 Telegram 平台。一方面,小型私密群組用於討論具體交易細節,包括交付地點、價格和確認流程;另一方面,大型公開群組則承擔宣傳和信用展示功能。平台和參與者通過展示聊天記錄、交易確認信息以及鏈上轉賬記錄,向潛在交易對手傳遞“成交快、可信度高”的信號,從而吸引更多供需雙方進入體係。
在資金結算上,平台普遍選擇波場網絡上的 USDT 作為通用結算工具。平台通常控制一個或多個收款地址,園區將押金和尾款支付至該地址,平台再將資金分發給販運者,完成擔保閉環。低成本、高效率、跨境便利的穩定幣轉賬機制,使這一跨國犯罪網絡的結算流程得以高度自動化和規模化。
勞務擔保平台的鏈上供方行為
在前文對詐騙園區及勞務擔保平台運作機制的分析基礎上,本節進一步將研究視角聚焦於鏈上數據。我們選取一家長期從事勞務擔保業務、且在相關社群中保持較高活躍度的平台作為研究對象,結合其鏈上交易記錄與群組信息,對參與人口販運的供方行為進行畫像分析,並係統統計其交易頻次、金額分佈以及資金流向特徵。
供方規模與交易頻次:重復參與成為常態
在所分析的平台中,我們共識別出 652 個與人口販運相關的供方地址,累計交易金額約 1,458 萬美元。從交易參與情況來看,重復參與是該平台供方行為的常態。
僅有 216 個地址(33.1%) 只參與過一次交易,這意味著超過三分之二的供方地址至少參與過兩次及以上的販運交易。進一步觀察發現,約三分之一的供方地址交易次數達到四次及以上,表明該平台並非僅吸引一次性參與者,而是逐步形成了一批持續參與、反復作案的供方群體。在極端情況下,少數地址的交易次數甚至超過二十次,呈現出高度職業化的人口販運行為特徵。
這一分佈特徵表明,勞務擔保平台並非簡單撮合零散個體行為,而是在事實上培育並維係了一批穩定、可重復使用的人口販運供方,從而顯著降低了該類犯罪的組織成本與持續運作門檻。
交易金額分佈與穩定的定價區間
在交易金額層面,我們統計了每個供方地址通過平台獲得的 USDT 總收益,發現其分佈呈現出明顯的集中區間特徵。
供方地址的總收益中位數約為 11,023 美元,平均值約為 22,377 美元。約 54.2% 的地址總收益集中在 5,000–25,000 美元區間内,其中 5,000–10,000 美元與 10,000–25,000 美元兩個區間各自佔據接近四分之一的比例。結合相關群組信息可以觀察到,這一區間與公開討論中單個人員的交易價格高度一致。
值得注意的是,這一分佈並非由少數極端高額交易所驅動。相反,其相對穩定的形態表明,在供需關係、交付風險與成本因素的共同作用下,人口販運交易正在形成一個相對固定的價格區間。這種價格結構的存在,反映出勞務擔保平台在一定程度上降低了交易不確定性,並推動相關黑市交易向常態化方向發展。
資金出口與兌現路徑:供方收益的最終去向
在獲得穩定幣收益後,供方如何將其轉化為現實世界中的可支配資金,是理解該類犯罪為何能夠持續運作的關鍵問題。
我們對約 120 個供方地址的下遊資金流進行了抽樣追蹤,這些地址通過平台獲得的收益合計約 62.46 萬美元。分析結果顯示,至少 54.3% 的非法收益最終流入中心化加密貨幣交易所完成兌現,涉及多個主流交易平台。其中,部分交易所承接了較為集中的兌現資金,反映出其在該類資金鏈條中的關鍵位置。
從具體行為模式來看,可以觀察到兩類較為典型的洗錢路徑。一類供方缺乏洗錢經驗,資金在較少的跳數内即流入交易所,甚至直接將交易所存幣地址作為收款地址;另一類供方則嘗試通過拆分金額、延長路徑、並將資金分散流向多個交易所等方式,對資金來源進行混淆。
將上述抽樣結果外推至整體交易規模,可以估算約有 790 萬美元以上的非法收益最終通過交易所完成兌現。這一結果進一步表明,盡管人口販運交易發生在高度隱蔽的黑市環境中,其資金的最終出口仍然高度依賴於數量有限的中心化金融基礎設施。
執法壓力下的鏈上交易反應與適應
為分析勞務擔保業務在執法壓力下的鏈上行為變化,本報告對領航擔保平台在 2025 年全年的交易量與交易額進行了統計,並繪制其隨時間變化的趨勢圖。
從分析角度看,該趨勢圖並不直接反映詐騙園區或綫下組織中的具體事件,而是刻畫了外部治理與執法壓力如何通過不同渠道傳導至黑市交易活動,並在鏈上表現為可觀測的波動。整體而言,領航擔保平台在 2025 年的鏈上活動呈現出較為清晰的階段性變化,可大致劃分為三個階段:4–5 月的明顯下滑、6–7 月的階段性回升,以及 8 月後的持續走低。
多綫施壓下的短期收縮
圖中最為顯著的首輪下滑出現在 4–5 月。該階段的變化並非由單一事件觸發,而是園區端治理行動與金融及平台層面的監管措施在時間上的疊加效應,共同擡升了交易摩擦水平,導致勞務擔保相關的黑市活動在短期内明顯收縮。
在園區端,2025 年初起,泰緬邊境針對詐騙園區的治理力度持續加強,包括對部分邊境區域實施電力、燃料及網絡供應的限制,以幹擾詐騙中心的正常運作。路透社於 2025 年 3 月的報道指出,在多國聯合行動下,已有部分受害者被解救並遣返。對勞務擔保交易而言,此類治理行動同時作用於供需兩端:一方面顯著提高了人員“送達園區”的組織成本與不確定性,另一方面也削弱了園區在短期内公開招工和撮合交易的活躍度。
在金融與平台層面,5 月 1 日,美國財政部金融犯罪執法網絡(FinCEN)將柬埔寨 Huione Group 認定為“主要洗錢關注對象”,並提出限制其進入美國金融體係的擬議規則,明確指向其與網絡詐騙及洗錢生態的深度關聯。隨後,Telegram 於 5 月中旬開始封禁與 Huione Guarantee、Xinbi Guarantee 等擔保生態相關的賬號與頻道。盡管領航擔保並非上述行動的直接針對對象,但此類“生態級”的監管與平台治理措施顯著提升了整體不確定性,促使黑市參與者推遲交易決策、減少在公域渠道展示成交行為,最終在鏈上體現為交易量與交易額在該階段同步下滑。
沖擊後的適應與反彈
進入 6–7 月,平台的交易量與交易額出現階段性回升。這一變化與我們在跨境詐騙及勞務擔保生態中的長期觀察高度一致:短期高壓打擊往往並不會直接導致相關活動消失,而更常見的結果是遷移、重組與再組織。
來自地區媒體與研究機構的多項記錄表明,在妙瓦底(Myawaddy)等重點區域受到集中關注和打擊後,部分詐騙團夥會將運作重心轉移至鄰近園區或其他據點繼續活動。《伊洛瓦底》(The Irrawaddy)的報道指出,一些團夥在 KK Park 等區域進入執法與輿論聚焦後,選擇轉向周邊地區維持經營。聯合國毒品和犯罪問題辦公室(UNODC)在其 2025 年關於湄公河區域詐騙産業的報告中亦指出,當執法壓力上升時,有組織犯罪往往採取“對沖與多元化”策略進行應對,包括調整運作模式、分散風險敞口,以及重建渠道和金融路徑。
映射到勞務擔保業務的具體場景中,這種適應性表現為一係列可觀察的替代行為:原有園區被拆除後,新的園區在其他地區出現;公開的擔保公群被封禁後,新的頻道迅速建立;當既有區塊鏈地址受到持續關注時,資金流動則遷移至新的地址體係或路徑結構。
在這一背景下,6–7 月交易量與交易額的回升,可以被理解為黑市生態完成了從初期沖擊階段向適應階段的過渡,其運作並未中斷,而是在新的風險約束條件下重新達到相對穩定的活動水平。
長期擠壓下的結構性回落
與前兩個階段不同,8 月至年底呈現的並非一次劇烈的斷崖式下跌,而是一條更為平緩、持續的下行通道。這一變化更符合治理與監管壓力長期增強所帶來的結構性調整特徵,而非短期沖擊下的波動反應。
在監管層面,美國相關行動並未止步於 5 月的定性判斷。FinCEN 於 10 月發佈最終規則,進一步切斷 Huione Group 與美國金融體係的聯係,使針對詐騙及洗錢生態的金融約束由階段性措施轉向持續性制度安排。這類政策信號在時間上的累積,強化了黑市參與者對長期風險上升的預期,對交易活躍度形成持續擠壓。
與此同時,平台側的治理措施也逐步走深。與擔保生態相關的公開頻道和群組被持續清理,使依賴公域渠道進行獲客、撮合交易和“曬單式背書”的模式顯著受限。在這一環境下,交易活動更可能遷移至私域小範圍圈子,或分散至更多替代性的擔保服務,並通過更加碎片化的地址體係完成結算,從而降低單一平台或渠道暴露帶來的風險。
需要注意的是,平台層面的封禁並不必然等同於業務活動的即時終止。以領航擔保為例,其公開頻道被封禁後,相關區塊鏈地址在 9 月至 12 月期間仍出現零星收款。這種“可見渠道被清理,但資金路徑未同步凍結”的錯位現象,表明部分交易活動正在從高可見度的公開空間轉入更隱蔽的私域環境,鏈上活動由集中轉向低頻、分散的狀態。
小結
從 2025 年全年交易量與交易額的變化趨勢來看,勞務擔保平台的鏈上活動並未呈現出“被打擊即消失”的綫性反應,而是清晰地體現出在外部執法與監管壓力下的階段性調整與適應過程。短期内,針對園區端和金融端的多綫施壓能夠顯著擡高交易摩擦,導致黑市活動收縮;但隨著渠道重建和參與者行為調整,交易活躍度往往會出現回彈,反映出該類生態較強的適應能力。
在更長時間尺度上,持續、高頻的治理行動則逐步改變了黑市交易的組織形態。公開渠道和集中平台的重要性下降,交易活動趨向私域化、碎片化,鏈上表現為更低頻、更分散的資金流動。這一變化並不意味著需求消失,而是意味著交易方式和可見度的重構。
總體而言,領航擔保平台在 2025 年的鏈上行為表明,執法與監管壓力確實能夠對黑灰産活動産生實質影響,但其效果更多體現在改變運作結構和提高交易成本,而非立即切斷全部活動。這一特徵為理解東南亞黑灰産生態在高壓環境下的演化路徑,以及識別更具長期效果的治理槓桿,提供了重要的實證背景。
監管啓示:從打擊個體行為到約束關鍵基礎設施
綜合本章對東南亞黑灰産生態的分析,一個反直覺但反復被驗證的結論逐漸清晰:推動黑市規模持續擴張的,往往並非更隱蔽的犯罪手段,而是更高效、低摩擦的基礎設施。
在東南亞,詐騙園區通過高度組織化的運作方式,將詐騙活動轉變為可復制、可擴張的“工廠化”流程;勞務擔保平台進一步將人口販運包裝為規則清晰、可結算的交易過程,使原本依賴暴力和私下協商的黑市行為被納入平台化運作之中。與此同時,Telegram 顯著降低了市場溝通與獲客成本,而基於波場網絡的 USDT 結算體係,則使跨境支付、分潤與資金調度幾乎可以低摩擦完成。
在這一體係下,“買人”和“賣人”不再依賴彼此之間的信任,而是依賴平台規則、鏈上轉賬記錄以及可以被反復傳播和驗證的交易憑證。當關鍵流程被標準化、模塊化後,相關網絡便具備了高度的可復制性與恢復能力——可以被遷移、被重建、被更名、被重新上綫。這也解釋了為何在多輪執法行動之後,鏈上交易活動往往呈現出“短期收縮、快速恢復”的典型特徵。
這一觀察為監管與執法提供了重要啓示。針對東南亞黑灰産生態的治理,如果僅聚焦於單一園區、個別平台或具體案件,往往只能産生階段性、局部性的效果。相比之下,更具長期槓桿效應的切入點,存在於支撐該體係高效運轉的關鍵基礎設施之中。
具體而言,治理的關鍵不在於“是否存在犯罪”,而在於:黑灰資金是否持續集中流向少數關鍵地址或實體,犯罪活動是否依賴可復制的群組網絡進行組織與協同,以及非法收益是否能夠順利通過中心化交易所完成最終兌現。只有在“供給—交付—結算—兌現”這一完整鏈條上形成協同約束,才能實質性削弱勞務擔保平台及其背後黑灰産網絡的運作效率,使其規模化優勢不再成立。
在加密貨幣相關犯罪的研究中,毒品販賣通常被視為一種“傳統型犯罪”。其鏈上活動往往被簡化為非法交易的一個分支,分析重點更多集中在交易對象和交易行為本身,而對其背後的資金運作與洗錢體係關注相對有限。
然而,隨著加密貨幣逐步嵌入跨境資金流動和地下金融網絡,這一認知正在發生變化。毒品犯罪並未止步於將加密資産作為簡單的結算工具,而是在資金層面不斷吸收和重構鏈上基礎設施,將其納入更係統化的洗錢與資金調度流程之中。特別是穩定幣的廣泛使用,使毒品相關資金在跨境轉移、價值存儲和變現執行方面,獲得了以往現金體係難以實現的效率與靈活性。
通過本章所分析的兩個案例可以看到,毒品販賣相關資金正經歷一場明顯的“金融化”轉型:從依賴現金走私和綫下地下渠道,逐步演化為以鏈上操作為核心的洗錢網絡。加密貨幣在其中不再只是被動的支付工具,而是成為連接不同環節、不同地域和不同參與者的關鍵金融基礎設施。這一轉變不僅改變了毒品犯罪的資金結構,也對監管和執法提出了新的挑戰。
案例一:暴力販毒集團的洗錢網絡
Ryan James Wedding 案為理解毒品犯罪如何係統性地將加密貨幣納入洗錢與資金調度體係,提供了一個高度清晰且罕見完整的樣本。該案涉及一個橫跨加拿大、美國、墨西哥及拉丁美洲的可卡因販運網絡,其組織規模、分工復雜度以及對加密資産的依賴程度,均體現出成熟有組織犯罪的典型特徵。與許多僅將加密貨幣作為輔助結算工具的案件不同,在本案中,加密資産已被深度嵌入犯罪集團的核心資金運作結構之中。
根據起訴書披露,Wedding 犯罪集團對販毒所得的清洗主要涉及美元、加元及加密貨幣三種形式。其中,在加密資産層面,犯罪集團將大額毒品收益持續拆分為多筆小額轉賬,通過多個 USDT 錢包進行快速轉移,並最終將資金匯集至由被告 Ryan James Wedding 實際控制的核心錢包。司法文件明確指出,Sokolovski、Hossain 與 Canastillo-Madrid 等人承擔了洗錢流程中的關鍵執行角色,與其他已知或未知的協助者一同,被認定為 “Wedding 犯罪組織” 成員。
結合起訴書披露的信息與對應的鏈上分析結果,可以觀察到,該犯罪集團圍繞毒品收益構建了一套層級清晰、分工明確的洗錢網絡結構。位於上遊的是一組與毒品交易直接相關的地址集群,這些地址承擔初始資金接收與快速分流職能,在短時間内完成多筆拆分與轉移,以降低單一地址暴露風險。這一階段強調速度與頻率,為後續更係統化的清洗流程創造條件。
進入中遊階段後,洗錢活動呈現出更為明顯的組織化特徵。司法文件與鏈上路徑均顯示,至少存在兩條並行但分工清晰的資金路徑。一條路徑以 Sokolovski 為核心,其控制的地址承擔資金匯集與對外變現職能,大量資金最終流入中心化交易所(如 KuCoin),完成向法幣或高流動性資産的轉換。另一條路徑則通過 Hossain 等節點,將資金繼續在鏈上進行多輪轉移,並最終匯集至由 Ryan James Wedding 實際控制的錢包地址。
這種“雙路徑”結構在功能上形成互補:一端側重於快速兌現與資金落地,另一端側重於資金控制、調度及再分配,從而在效率與控制權之間取得平衡。起訴書亦明確指出,洗錢活動由專門角色負責執行,其組織結構與毒品交易本身在職能上相對分離,反映出洗錢已成為一種高度專業化、可外包的犯罪職能。
穩定幣在該體係中發揮了關鍵作用。起訴材料與鏈上數據均顯示,USDT 被廣泛用於不同階段的資金轉移與結算。相較價格波動較大的加密資産,USDT 為跨階段、跨角色的資金流轉提供了穩定的計價單位,降低了長周期洗錢過程中的價值不確定性。同時,其在主流中心化交易所中的高流動性,使其成為連接鏈上洗錢操作與綫下資産變現的關鍵橋梁。這種選擇並非主要出於匿名性考量,而是基於穩定性、可用性與執行效率的綜合權衡。
總體來看,Wedding 案所呈現的是一種高度組織化的鏈上洗錢結構:清晰的角色分工、可復制的操作流程,以及圍繞穩定幣構建的資金中樞。該案例表明,在當代毒品犯罪中,加密資産已不再只是規避工具,而是逐步演變為支撐跨國犯罪網絡持續運作的重要金融基礎設施。
案例二:作為地下金融服務的鏈上洗錢體係
與 Wedding 案中“犯罪集團内部消化洗錢需求”的模式不同,本案所揭示的,是一個相對獨立運作的專業化洗錢網絡。該網絡並不隸屬於某一個具體的毒品走私組織,而是以“洗錢服務提供者”的角色存在,長期為包括毒品販運在内的多類非法活動提供資金清洗、跨境轉移與結算服務。
在這一結構中,加密資産並非犯罪收益的終點,而是被嵌入到一套跨階段、跨地域的地下金融流程之中,承擔價值中介和調度工具的功能。調查材料顯示,該網絡具備穩定的客戶來源、明確的角色分工以及可復用的操作流程,呈現出明顯的“服務化”特徵。
洗錢流程的組織方式:從分散接收到集中控制
根據宣誓書披露的信息,該洗錢網絡的整體結構呈現出明顯的“漏鬥型”特徵。
在上遊階段,資金首先由大量中間地址接收。這些地址對應不同地區、不同來源的非法交易收益,其中包括毒品販運産生的資金。相關地址承擔的是初步接收與分流職能,資金在進入核心節點之前,通常會經歷多輪拆分、重組與短周期轉移,以拉長路徑、降低單一地址的風險暴露。
與 Wedding 案中多條路徑並行推進的結構不同,本案的洗錢流程更強調向單一中心的持續匯集。宣誓書中多次提及的 Macro Wallet,正是這一網絡的核心控制節點。該錢包由核心洗錢人直接掌控,承擔資金最終匯集、調度以及對外結算的職能,是整個體係中風險與權力高度集中的位置。
中心錢包的功能定位
從調查人員對交易過程的描述可以看出,中心錢包在該洗錢網絡中並非普通收款地址,而是一個具有明確職能分工的資金中樞,其主要作用包括:
●匯集來自多個中間地址、已完成初步分層處理的資金;
●按照客戶需求和時間窗口,對資金進行批量調度;
●通過 OTC 渠道、流動性服務商或其他金融通道,將資金轉化為法幣或等價資産。
這種設計將路徑復雜性前置至上遊,而將控制權集中於極少數關鍵節點,使整體操作在保持隱蔽性的同時,具備更高的執行效率。宣誓書中對多次“受控交易”的刻畫顯示,該網絡能夠在短時間内完成大額資金的接收、拆分、確認與交付,體現出高度成熟的操作能力。
穩定幣的角色:跨境與制裁環境下的標準化結算層
與 Wedding 案類似,USDT 在本案中被廣泛用於各個洗錢階段,但其功能並不僅限於穩定計價。
宣誓書記錄了被告在多次交流中對使用 USDT 原因的直接解釋:選擇穩定幣,核心考量在於其跨境可用性、結算效率以及在受限金融環境下的可執行性,而非匿名性本身。被告明確提到,USDT 使其能夠在不同國家和地區之間“更順暢地移動價值”,並避免頻繁暴露於傳統銀行體係的審查之下。
在該洗錢網絡的運作環境中,上遊資金往往涉及多個司法轄區,並受到外匯管制、制裁措施或銀行合規審查的限制。USDT 為此類資金提供了一種相對中性的中介形態:無需依賴本地銀行體係即可完成跨境轉移,同時避免價格波動對大額、長路徑操作的影響。
更重要的是,穩定幣在這裡充當了一種標準化結算層。不同來源、不同犯罪類型的非法資金,可以在統一計價單位下被整合、拆分與重新分配,再根據需求導向不同的下遊路徑。這種標準化顯著降低了跨境洗錢在操作層面的復雜度,使洗錢網絡能夠同時服務多個“客戶”,而不必為每一種非法交易單獨設計結算機制。
毒品黑産的金融化轉型
通過對上述兩個案例的分析可以看到,毒品相關犯罪在資金層面的運作方式,正在經歷一場係統性的轉變。與過去主要依賴現金走私、地下錢莊或零散賬戶周轉的傳統模式不同,毒品黑産正逐步將其資金流動嵌入到以加密資産為核心的鏈上洗錢網絡之中,形成更具結構性和持續性的資金運作體係。
這種轉型並非沿著單一路徑展開。在部分情形下,洗錢職能被内嵌於犯罪集團内部,通過高度組織化的分工結構完成資金的分層、調度與兌現;在另一些情形下,洗錢則被外包給相對獨立運作的中介網絡,作為一種專業化的地下金融服務,長期為販毒及其他非法交易提供支持。盡管兩種模式在組織形態上存在差異,但其底層金融邏輯高度一致:通過標準化流程與可復制結構,提高非法資金流轉的效率與韌性。
穩定幣在這一過程中發揮了關鍵作用。其穩定的計價屬性、跨境可用性以及在受限金融環境下的執行效率,使其成為連接鏈下非法收益、鏈上洗錢操作與法幣體係的重要媒介。借助穩定幣,毒品相關資金獲得了更強的流動性與適應性,也更容易在不同司法轄區之間完成遷移、整合與重組。
從鏈上行為特徵來看,這種金融化轉型帶來了更長的洗錢路徑、更深的地址層級,以及對少數關鍵中介節點的高度依賴。洗錢操作呈現出明顯的流程化和模板化特徵,使非法資金不再依賴單次交易或個別渠道,而是被納入一套可以持續運作、反復調用的地下金融體係之中。
總體而言,毒品黑産的風險已不再局限於毒品交易本身,而越來越多地體現在其背後的洗錢基礎設施上。從現金走私到鏈上洗錢網絡,這一轉型正在重塑毒品犯罪的資金面貌,也對執法與監管提出了新的要求——治理重點正在從追逐單筆交易,轉向對關鍵中介、核心節點以及資金兌現通道的係統性識別與幹預。
内容來源:PANews
更多精彩內容,請登陸
財華香港網 (https://www.finet.hk/)
現代電視 (http://www.fintv.com)