本文总结了论文*"Towards Understanding and Analyzing Instant Cryptocurrency Exchanges "*的主要发现,该论文已被ACM SIGMETRICS 2025接受。
加密货币世界不断发展,带来了旨在提升用户体验的创新服务。即时加密货币交易所(ICE)就是这样一种创新,它是为简化在不同区块链之间交换数字资产的过程而创建的平台。然而,与许多新兴技术一样,提供便利的功能也可能被用于邪恶目的。
在 BlockSec 团队最近发表的论文*"Towards Understanding and Analyzing Instant Cryptocurrency Exchanges "*中,我们对即时加密货币交易所进行了全面研究,旨在揭示其运行机制、合法用途,以及最重要的是,它们是如何被用于洗钱等非法活动的。此外,我们还制定了一套系统的方法来追踪通过 ICE 服务流动的非法资金。
了解 ICE:基本工作流程
在深入探讨更深层次的问题之前,有必要了解 ICE 的一般运作方式。我们总结了 ICE 运作的典型四步流程(如图 1 所示):
1.用户请求(链外)
该流程始于用户在 ICE 平台上发起请求。该请求发生在链外,包括源加密货币和目标加密货币、金额以及所兑换资金的目的地地址等详细信息。这种链外性质有助于保护用户隐私,但也给追踪带来了挑战。
2.存款(链上)
ICE 服务为用户生成一个唯一的存款地址,然后用户将其源加密货币转移到该地址。这笔交易将记录在源区块链上。
3.资金管理和提取(链上)
一旦存款得到确认,ICE 服务就会管理 "即时兑换"。利用其流动性池(或与其他机构合作,分为 "独立 "和 "委托 "两种类型),它将目标加密货币发送到用户的目标地址。这次取款记录在目标区块链上。
4.聚合(链上)
ICE 服务通常会将多个存款地址的资金合并到更大的热钱包中,以便于管理。这也是一种链上活动。
用户的初始请求发生在链外,而存款和取款交易则发生在链上。然而,将特定存款与特定取款联系起来是很困难的,因为 ICE 服务充当了中间人的角色,将来自多个用户的资金混合在一起。
双刃剑:便利与非法使用
ICE 提供了不可否认的便利:快速、跨链掉期,通常不需要集中式交易所(CEXes)所要求的严格的 "了解你的客户"(KYC)程序。不幸的是,由于缺乏严格的 "了解你的客户"(KYC)程序,再加上个人用户请求的链上数据不完整,这就为非法交易者提供了一个极具吸引力的漏洞。
我们的研究发现了滥用 ICE 的惊人统计数据:
- 通过分析 ICE 服务清洗的非法资金共计 12,473,290 美元。
- 432 个恶意地址(涉及网络钓鱼、诈骗等)的初始资金来自 ICE,使这些平台成为非法活动的切入点。
图 6.每月通过 ICE 服务清洗的恶意资金。主要事件标注在洗钱活动较多的月份。](https://blocksec-static-resources.s3.us-east-1.amazonaws.com/assets/frontend/blocksec-strapi-online/2_1a5ba94fd0.png)
一个鲜明的例子是 BitKeep 事件,攻击者通过多个 ICE 洗了 200 多万美元。这些平台有效地打破了可追溯性链,使当局更难追踪资金踪迹。
揭开黑幕:我们的追踪方法
尽管存在挑战,但打破 ICE 提供的匿名性并非不可能。在我们的论文中,我们提出了一种基于启发式的匹配算法,用于关联基于账户的区块链(如以太坊和其他 EVM 兼容链)中的用户存款和取款。
该算法基于我们的分析见解:
- 交易排序:从 ICE 服务取款的交易必须在用户存款确认后进行。
- 低价格偏差和请求频率:ICE 用户的请求通常与市场价格密切相关。此外,尽管交易量很大,但单笔存款和取款交易通常可通过时间戳和价值加以区分。
- ICE 的效率:ICE 平台引以为豪的是速度,在存款确认后可立即取款。
匹配算法分三个阶段运行:
1.操作识别:通过分析与区块链上已知热钱包相关的交易,识别与 ICE 服务相关的所有存款和取款操作。 2.价值计算:使用历史价格数据计算每笔已识别的存取款操作在交易时的美元价值。 3.匹配:根据两个指标对存款和潜在取款进行匹配:美元价值差 (V) 和存款与取款之间的时间差 (T)。地址重复使用也是考虑因素之一,因为用户可能在链或交易中使用相同的地址。
追踪算法的主要发现
我们使用真实数据(由 FixedFloat 和 SideShift 这两项 ICE 服务提供的历史用户请求)评估了我们的算法,总体准确率超过 80%。这一点意义重大,表明尽管 ICE 具有不透明的性质,但仍有相当一部分交易可以联系起来。
这种将存款和取款联系起来的能力对追踪非法资金有着深远的影响。例如,我们对存入 ICE 的恶意资金进行了分析,发现了一些共同的模式:
- 从以太坊 ICE 提取的大部分非法资金被发送到其他以太坊地址,利用 ICE 作为内部混合器来破坏链上链接。其中许多资金最终存入了中心化交易所。
- TRON 是洗钱资金的另一个热门目的地区块链。
我们的案例研究(如地址 "Fake_Phishing11675")说明了非法利润如何通过 ICE(如本例中的 FixedFloat)流动,有时涉及多个跳转,然后到达中心化交易所。即使在复杂的情况下,我们的算法也能成功发现这些路径。
我们研究的意义
我们的研究表明,虽然 ICE 提供了有价值的服务,但其当前的运营模式也可以被利用。我们开发的追踪方法为研究人员、网络安全公司和执法机构打击加密货币领域的金融犯罪提供了一种新工具。 它强调了一些加密电子交易服务所提供的 "隐私 "并非牢不可破。通过系统分析链上数据,我们可以开始对非法交易进行去匿名化处理,并了解更广泛的洗钱生态系统。
我们的研究结果要求对 ICE 的监管和反洗钱(AML)政策进行细致的讨论。虽然过于严格的监管可能会扼杀创新,但目前的格局显然会导致严重的滥用。一个平衡的方法--将 ICE 更好的自律、保护隐私的分析和像我们这样的先进追踪工具结合起来--可能有助于取得更好的结果。
Phalcon 合规 APP:通过尖端研究重新定义合规性
面对不断演变的洗钱和其他非法活动策略,BlockSec 认为只有持续、先进的研究能力才能提供有效的风险保护和合规支持。
BlockSec由浙江大学教授和顶级区块链安全专家共同创立,核心团队均毕业于世界一流大学。团队长期致力于开创性的区块链安全研究,在网络钓鱼防范、资金追踪、反洗钱分析等方面取得了突破性进展。我们的工作曾在 ACM SIGMETRICS、NDSS Symposium、CCS 和 WWW 等著名会议 上亮相。我们将学术见解和技术进步融入 Phalcon 合规 APP 的设计中,帮助虚拟资产服务提供商 (VASP) 满足不断发展的合规性和风险管理需求。
Phalcon 合规 APP 集成了 400M+ 地址标签、无限跳追踪和可定制风险规则等关键功能。用户可以导入地址和交易,自动分析链上行为并评估风险敞口,从而精确识别与洗钱、恐怖主义融资、网络钓鱼、诈骗和其他非法活动有关的威胁。该系统支持自动警报、协作工作流、黑名单管理,以及一键生成符合美国、新加坡和香港等司法管辖区法规的 STR 报告。这些功能使企业能够高效地识别、管理和应对合规风险,确保端到端的动态风险管理。
-
了解有关Phalcon合规APP的更多信息:https://blocksec.com/phalcon/compliance
