洗钱(laundering)一词源自隐喻:肮脏的钱被清洗干净,直至看起来合法。其含义比隐喻所暗示的更为深刻。洗钱是一个有组织的过程,而在加密货币领域,这一过程已加速至一个从根本上改变合规团队应对方式的节奏。
以下章节将介绍洗钱在法律和金融层面的含义、加密货币如何改变了洗钱的运作机制,以及2025年两起高关注度案例——这些案例展示了合规系统如今被期望识别的内容。
洗钱在金融法中的核心含义
洗钱在金融法中,意指隐瞒犯罪所得资金的来源。该过程将非法资金转化为看似具有合法来源的资产。这些非法资金来源于毒品走私、欺诈、盗窃或腐败的收益。
FinCEN对洗钱的定义是:犯罪分子通过使犯罪收益看起来来源于合法渠道,从而掩盖犯罪收益原始所有权和控制权的过程。该定义具有法律效力。根据美国《银行保密法》及相关法规,协助洗钱行为——即便是在不知情的情况下——也可能使金融机构面临民事处罚和刑事追诉。
每个法律框架均以三个阶段定义这一过程:
-
放置:犯罪资金进入金融系统
-
分层:通过复杂的交易链掩盖资金踪迹
-
整合:清洗后的资金以看似合法资产的形式重新进入经济体系
加密货币并未改变洗钱的本质含义。它改变的是每个阶段完成的速度,同时也使得在没有专门链上工具的情况下,每个阶段的检测难度大幅增加。
加密货币如何使洗钱以新的速度进行
在传统金融体系中,放置阶段是最脆弱的环节。大额现金存款会触发报告门槛,实物货币难以跨境流动。这些摩擦点为调查人员争取了行动时间。
而在加密货币领域,这种摩擦基本消失。以下是两种环境的对比:
| 维度 | 传统洗钱 | 加密货币洗钱 |
|---|---|---|
| 放置速度 | 数小时至数天 | 数秒 |
| 分层方式 | 空壳公司、离岸银行、电汇 | 多跳钱包、跨链桥、混币器 |
| 监管覆盖 | 主要司法管辖区覆盖程度高 | 全球参差不齐;因链和交易所而异 |
| 可追溯性 | 有限(依赖代理行记录) | 理论上较高;需要专业区块链工具 |
| 跨境流动 | 1至5个工作日 | 不足60秒 |
可追溯性这一行至关重要。与现金不同,每笔链上交易都被永久记录在公开账本上。这意味着加密货币洗钱留下的证据比传统现金洗钱更多。但获取和解读这些证据,需要大多数机构尚不具备的工具。
OFAC关于虚拟货币的常见问题解答确认,链上地址可被列入特别指定国民(SDN)名单。与被列名地址的任何交易,即便是间接交易,均可构成制裁违规。
两起高关注度案例:Bybit与ICE交易所
2025年的两起案例展示了大规模加密货币洗钱的面貌,也揭示了其最终被追踪的过程。
Bybit黑客事件(15亿美元)
2025年2月,朝鲜Lazarus组织通过供应链攻击,从Bybit窃取了约15亿美元(逾40万枚ETH),成为历史上最大的加密货币黑客事件。攻击者入侵了Safe{Wallet}开发者基础设施,并通过去中心化交易所和跨链桥对所得资金进行洗白。BlockSec Bybit事件分析

Bybit案例展示了国家级规模的分层操作。攻击者并非通过单笔大额交易转移资金,而是将其分散至数百个地址,并通过专为增加追踪难度而设计的DeFi协议进行路由。供应链攻击向量(入侵Safe{Wallet}开发者基础设施而非直接攻击Bybit)也表明,洗钱的攻击面已超出交易所本身的范畴。
即时加密货币交易所(ICE)洗钱
BlockSec在ACM SIGMETRICS 2025年的一篇独立论文中发现,即时加密货币交易所通过432个恶意地址处理了1247万美元的非法资金。这类兑换交易执行迅速,身份验证要求极低,几乎没有任何人工审核的实际窗口期。BlockSec即时交易所洗钱分析识别了区分非法兑换与合法活动的行为特征。
即时交易所之所以成为首选的分层工具,正是因为其速度优势。这些平台允许用户无需账户即可兑换加密货币,且兑换完成速度远超任何人工合规审查。这意味着,此类平台需要采用自动化的交易前筛查机制,以便在非法资金流动完成之前将其拦截。
美国财政部对Sinbad.io的制裁行动确立了先例:明知或疏忽地协助洗钱的混币及交易服务可被关闭,其运营者可被追诉,无论其在何处运营。
链上检测:Phalcon Compliance KYA与KYT
要识别Bybit和ICE案例中可见的洗钱模式,需要能在交易完成前筛查地址、并跟踪资金经过每个跳转的工具。Phalcon Compliance通过两个互补层实现这一目标:用于交易前地址筛查的KYA(了解您的地址),以及用于跨链追踪的KYT(了解您的交易)。

KYA:交易前地址筛查
在兑换或提款完成之前,Phalcon Compliance的KYA引擎会依据实时风险情报对交易对手地址进行评分。该情报涵盖受制裁地址、与黑客关联的地址集群、混币器暴露情况、交易所冻结记录以及非法活动的行为特征。一旦某地址处理过ICE洗钱资金,或收到了Bybit黑客事件中Lazarus所得的部分资金,该地址在出现于交易中的瞬间即携带风险标签。筛查在毫秒级别内完成,足以在兑换完成前对其进行拦截或隔离,而非在资金转移后才上报风险敞口。
KYT:跨链追踪与可疑活动报告生成
当资金已发生转移时,Phalcon Compliance的KYT会重建资金跨越桥接、DEX兑换和链间跳转的完整路径。在Bybit案例中,这意味着追踪Lazarus将ETH分散至数百个地址、通过去中心化交易所进行兑换并跨网络桥接的全过程。同一引擎还能为合规团队构建提交可疑活动报告(SAR)所需的证据链,并以监管机构可采取行动的格式,附上追踪地址、交易哈希和风险标签。
形成闭环
KYA在资金结算前将其拦截;KYT在资金转移后对其进行追踪。两者共同映射了Bybit和ICE研究所揭示的同一洗钱周期。KYA本可在任何一笔兑换完成之前标记432个ICE地址;KYT则能端到端重建Bybit的分层链条。BlockSec Phalcon Compliance
合规团队须知
洗钱的含义并未改变。改变的是其在加密货币领域发生的速度、规模和技术复杂性。
Bybit案例涉及15亿美元、一个国家级攻击者以及跨链桥分层操作。ICE交易所案例涉及432个地址,通过快速、低摩擦的兑换处理了1247万美元。两起案例均留下了链上痕迹,也都需要专门的检测工具才能识别。

对于合规团队而言,当前最低限度的有效应对措施包括:
-
基于实时风险情报的交易前地址筛查
-
能够追踪资金穿越桥接和DEX兑换的跨链追踪
-
不单纯依赖静态封锁名单的行为模式分析
-
与区块链结算速度相匹配或超越其的自动化筛查速度
满足上述四项要求的平台,能够在资金结算前识别洗钱行为。不满足要求的平台,则面临同等风险,以及自2024年以来监管机构持续加速推进的同等执法行动。
有关交易所和虚拟资产服务提供商(VASP)在实践中如何开展反洗钱合规工作,请参阅加密货币反洗钱合规。
常见问题解答
问:门罗币或Zcash等隐私币能否完全规避区块链追踪?
并不能完全规避。门罗币的环签名和隐身地址使追踪工作大为复杂,但学术研究人员已开发出概率去匿名化技术,并多次打破其隐私保证。
Zcash的屏蔽交易在数学上具有较强安全性,但大多数Zcash活动使用透明池,因此屏蔽集规模较小,实际隐私程度远不及密码学所承诺的水平。
这也是OFAC将Tornado Cash而非门罗币列为主要混币器打击目标的部分原因。门罗币在交易所的流动性有限,降低了其在整合阶段洗钱中的实用性,而以太坊为基础的混币器则处理了规模大得多的犯罪资金流。
问:跨链桥是否受与中心化交易所相同的反洗钱规则约束?
截至2025年,大多数跨链桥在没有直接完成货币服务业(MSB)注册的情况下运营。然而,2023年美国财政部DeFi风险评估指出,在资金转移过程中托管资金或控制部署密钥的桥接运营者,可能符合《银行保密法》下货币服务业的定义。金融行动特别工作组(FATF)的更新指引同样认为,决定反洗钱义务是否适用的标准是对交易的控制权,而非技术架构。
问:使用加密货币混币服务是否违法?
在每个司法管辖区,使用混币器并非自动构成刑事犯罪。然而,在美国,明知相关资金涉及犯罪收益仍使用混币器,可依据《美国法典》第18编第1956条构成洗钱罪。Bitcoin Fog运营者Roman Sterlingov于2024年被定罪,确立了以下判例:在知晓非法用途的情况下运营混币服务是可被起诉的。OFAC对Tornado Cash的指定还意味着,在2022年8月之后与被制裁智能合约发生任何交互的美国人,无论出于何种目的,均面临制裁风险敞口。
→ 预约Phalcon Compliance演示,了解KYA和KYT如何在结算前识别洗钱行为 — 预约演示



