Back to Blog

凍結後を追う:USDTブラックリストのオンチェーン分析とテロ資金調達との関連

Phalcon
July 11, 2025
10 min read

はじめに

近年、ステーブルコインは急速な成長を遂げています。その結果、規制当局は不正資金の凍結を可能にするメカニズムの必要性をますます強調しています。USDTやUSDCのような主要なステーブルコインには、すでにそのような機能が組み込まれていることを確認しています。実際、マネーロンダリングやその他の違法行為に関連する資金が正常に凍結された事例は数多くあります。

さらに、私たちの調査によると、ステーブルコインはマネーロンダリングに利用されるだけでなく、テロ組織の資金調達にも頻繁に利用されています。 したがって、このブログでは、この問題を2つの観点から検討します。まず、凍結されたUSDTトランザクションを体系的に分析します。次に、凍結された資金がテロ資金調達とどのように関連しているかを調査します。

免責事項: この分析は、公開されているデータのみに基づいたものであり、不正確な情報が含まれている可能性があります。コメントや訂正がある場合は、[email protected]までご連絡ください。

USDTブロックされたアドレスの分析

データ収集

テザーのアドレスを特定し、追跡するための私たちの方法は、オンチェーンイベントの直接監視に基づいています。テザーのスマートコントラクトソースコードで確認されたプロセスは次のとおりです。

  • イベントの特定: テザーのスマートコントラクトは、アドレスが追加されたときにAddedBlackList、アドレスが削除されたときにRemovedBlackListという2つの特定のイベントを発行することで、ブラックリストを管理していると判断しました。
  • データセットの構築: 抽出されたデータを使用して、包括的な時系列データセットを構築します。ブラックリストに登録された各アドレスについて、アドレス自体、ブラックリスト登録のタイムスタンプ(blacklisted_at)、および該当する場合は削除のためのブラックリスト解除のタイムスタンプ(unblacklisted_at)を記録します。
function addBlackList (address _evilUser) public onlyOwner {
  isBlackListed[_evilUser] = true;
  AddedBlackList(_evilUser);
}

function removeBlackList (address _clearedUser) public onlyOwner {
  isBlackListed[_clearedUser] = false;
  RemovedBlackList(_clearedUser);
}

event AddedBlackList(address indexed _user);

event RemovedBlackList(address indexed _user);

結果

イーサリアムおよびTronブロックチェーン上のテザー(USDT)データの分析により、驚くべき傾向が明らかになりました。2016年1月1日以降、合計5,188のアドレスがブラックリストに登録され、29億ドル以上の資産が凍結されました。

2025年6月13日から30日までの間だけで、151のアドレスがブラックリストに登録され、そのうち90.07%はTronネットワーク上のものでした(アドレスリスト)。この短い期間に凍結された総額は、驚異的な8,634万ドルに達しました。

  • ブラックリスト登録イベントの時間的分布: ブラックリスト登録活動のピークは6月15日、20日、25日に観測され、6月20日が最も多く、1日で63のアドレスがブラックリストに登録されました。
  • アドレスごとの凍結資産の分布: 凍結残高が最も多い上位10アドレスは、合計で5,345万ドルを保有しており、総額の61.91%を占めています。平均凍結額(571.76Kドル)は中央値(40.01Kドル)よりも大幅に高く、少数の高額アドレスが支配的である一方、ほとんどのアドレスの凍結残高は比較的小さいという歪んだ分布を示しています。
  • 生涯価値の分布: これらのアドレスへの総歴史流入額は8億760万ドルに達し、そのうち7億2,143万ドルは強制執行前に送金され、8,634万ドルが凍結されました。 これは、ほとんどの資金がブラックリスト登録が行われる前に移動された可能性が高いことを示唆しています。特に、ブラックリストに登録されたアドレスの17%はアウトバウンドトランザクションがなく、一時的な保管場所または集約ポイントとしての使用の可能性を示唆しており、今後の調査でさらに精査する必要があります。
  • 新規作成されたアカウントが最もブラックリストに登録されやすい: ブラックリストに登録されたすべてのアドレスのうち、41%は新規作成された(30日未満の活動)、27%は中期活動(91〜365日)、わずか3%は長期使用履歴(730日以上)でした。これは、新規に確立されたアカウントが不均衡に標的とされていることを示しています。
  • ほとんどのアカウントが「凍結前流出」を達成: ブラックリストに登録されたアドレスの約54%は、ブラックリスト登録前にその資金の大部分(生涯流出額が総流入額の90%以上と定義)をすでに送金していました。さらに、10%は凍結時に残高がゼロでした。これらのパターンは、強制措置が違法な資金の流れの残存価値を捉えるだけで、ほとんどの資産はすでにマネーロンダリングまたは移動されていることを示唆しています。
  • 新規アカウントにおける高いマネーロンダリング効率: FlowRatioとDaysActiveの散布図は、新規アカウントが数量とブラックリスト登録頻度で支配的であるだけでなく、検出と強制執行の前に効率的に資金を送金する、最も高いマネーロンダリング効率を示していることを明らかにしています。

資金の流れを追う

MetaSleuthは、2025年6月13日から30日までUSDTによってブロックされた151のテザーブラックリストアドレスを追跡できるようにすることで、私たちの調査を支援し、これらのアドレスに関連する主要な資金提供者と最終的な宛先の両方を特定しました。

資金の出所

  • 内部汚染(91アドレス): アドレスの大部分は、他のブラックリストに登録されたアドレスから資金を受け取っており、高度に相互接続されたマネーロンダリングネットワークを示しています。
  • 偽のフィッシングタグ(37アドレス): 多くのアップストリームソースは、MetaSleuthで「偽のフィッシング」としてラベル付けされており、不正活動を隠蔽し、検出を回避するための欺瞞的なタグ付け戦術の使用を示唆しています。

https://metasleuth.io/result/tron/THpNSa3BMNPPzVNTPZ6aTmRsVzGR6uRmma?source=26599be9-c3a9-42a6-a2ae-b6de72418003

  • 取引所のホットウォレット(34アドレス): 資金源には、既知の取引所のホットウォレット(Binance(20)、OKX(7)、MEXC(7))が含まれており、流入は中央集権型取引所の侵害されたアカウントまたはミュールウォレットから発生した可能性があることを示唆しています。
  • 単一の主要ディストリビューター(35アドレス): 単一のブラックリストに登録されたアドレスがアップストリームソースとして繰り返し出現し、不正資産を配布するための中心的な資金集約またはミキサーとして機能している可能性が高いです。
  • クロスチェーンエントリーポイント(2アドレス): 一部の資金はクロスチェーンブリッジから発生しており、資金の流れにおいてチェーン間マネーロンダリングメカニズムも活用されていたことを示唆しています。

資金の行方

  • 他のブラックリストに登録されたアドレスへ(54): このパターンは、ネットワーク内の内部マネーロンダリングループの存在を強化します。
  • 中央集権型取引所へ(41): 資金は、Binance(30)、Bybit(7)などを含む中央集権型取引所の入金アドレスを通じてオフランプされました。
  • クロスチェーンブリッジへ(12): TRONエコシステムを超えて資産をマネーロンダリングしようとする試みがあり、クロスチェーン転送メカニズムを活用していることを示しています。

https://metasleuth.io/result/tron/TBqeWc1apWjp5hRUrQ9cy8vBtTZSSnqBoY?source=ddea74a3-fb52-4203-846a-c7be07fbb78d

特に、BinanceやOKXのような取引所は、トランザクションフローの両端(ホットウォレット経由の流入元、および入金アドレス経由の流出先)に現れており、資金移動におけるそれらの中心的な役割を強調しています。非効率的なAML/CFT執行と資産凍結の遅延の組み合わせにより、規制措置が発効する前に不正な送金が可能になった可能性があります。

私たちは、主要なオンラ​​ンプおよびオフランプである仮想通貨取引所に対し、より堅牢な監視、検出、およびブロックメカニズムを採用して、このようなリスクを積極的に軽減することを推奨します。

https://metasleuth.io/result/tron/TFjqBgossxvtfrivgd6mFVhZ1tLqqyfZe9?source=7ba5d0da-d5b5-41ab-b54c-d784fb57f079

テロ資金調達分析

テロ資金調達に関連する可能性のあるUSDT活動をより深く理解するために、イスラエルのテロ資金調達対策国家局(NBCTF)によって発行された行政差押命令という公式文書を調査しました。単一のデータソースが完全な画像を提供するわけではないことを認識していますが、テロ資金調達に関与する可能性のあるUSDTの保守的な下限を理解するための代表的なケーススタディとしてこのデータセットを使用します。

結果

NBCTFの公表文書のレビューから、いくつかの重要な発見がありました。

  • 差押命令の発効時期: 2025年6月13日のイスラエル・イラン紛争のエスカレーション以降、新しい差押命令は1件のみ、6月26日付で発効しました。それ以前の直近の命令は6月8日に発効しており、緊張の高まりにもかかわらず、顕著な遅延が見られます。
  • 2024年10月7日以降の頻度と標的: イスラエル・パレスチナ紛争の勃発以降、8件の差押命令が発行されました。そのうち4件は「ハマス」を明確に標的としており、最も新しい1件のみが「イラン」に言及しています。
  • 標的資産の範囲: 統合された命令は、次のような幅広い資産を標的としていました。
    • 76のUSDT(Tron)アドレス
    • 16のBTCアドレス
    • 2のイーサリアムアドレス
    • 641のBinanceアカウント
    • 8のOKXアカウント

76のUSDT Tronアドレス のオンチェーン調査により、NBCTFの差押命令に対するテザーの対応に関する重要な運用上の洞察が得られました。2つの明確なパターンが現れました。

  • 先制的なブラックリスト登録: テザーは、関連する差押命令が公表される前に、17のハマス関連アドレスをすでにブラックリストに登録していました。これらの先制的な措置は、平均して28日前に発生し、最も早い事例は公式発表の45日前に遡ります。
  • 迅速な対応: 公表時点でまだブラックリストに登録されていなかった残りのアドレスについては、テザーは迅速に対応しました。差押命令の発効からブラックリスト登録までの平均時間は2.1日であり、公式命令に対する迅速な運用上の対応を示しています。

これらの発見は、ステーブルコイン発行者(テザー)と法執行機関との間の緊密で、場合によっては先制的な協力関係を示唆しており、仮想通貨が規制およびセキュリティ監視の範囲外で完全に機能するという一般的な認識に挑戦しています。

結論とAML/CFTの課題

私たちの調査によると、USDTのようなステーブルコインは、トランザクションの透明性と管理のための強力なツールを提供しますが、マネーロンダリング対策(AML)およびテロ資金調達対策(CFT)執行にとって新たな課題ももたらします。相互接続されたマネーロンダリングループ、クロスチェーンの不明瞭化、執行措置の遅延、および中央集権型取引所の悪用の存在は、現在のコンプライアンスエコシステムにおける体系的な脆弱性を浮き彫りにしています。

いくつかの主要な課題が浮上しています。

  • 受動的 vs. 能動的執行: テザーは先制的および受動的なブラックリスト登録の両方の行動を示しましたが、ほとんどのAML/CFT措置は依然として事後対策に依存しており、介入前に不正行為者が相当額の資金を移動させることを許容しています。
  • 取引所の死角: 中央集権型取引所は、しばしば出入り口として出現し、マネーロンダリングパイプラインの重要な部分であり続けています。これらのゲートウェイでの監視不足または応答時間の遅延は、疑わしいフローがほとんど妨げられることなく継続することを可能にしています。
  • クロスチェーンマネーロンダリングの複雑さ: ブリッジとマルチチェーンインフラストラクチャの使用は追跡可能性を複雑にし、不正行為者はコンプライアンスチェックを回避するために、規制が緩いエコシステムとブリッジベースの不明瞭化をますます悪用しています。

これらの問題に対処するために、エコシステムの参加者、特にステーブルコイン発行者、取引所、および規制当局に対し、共同のインテリジェンス共有を強化し、リアルタイムの行動分析に投資し、クロスチェーンコンプライアンスフレームワークを実装することを推奨します。タイムリーで調整された、技術的に洗練されたAML/CFTの取り組みを通じてのみ、ステーブルコインエコシステムの正当性とセキュリティを効果的に保護することができます。

BlockSecの取り組み

BlockSecでは、仮想通貨エコシステムのセキュリティと規制回復力を向上させることに専念しています。アンチマネーロンダリング(AML)およびテロ資金調達対策(CFT)における私たちの取り組みは、実行可能なインテリジェンス、先制的な検出、および追跡可能な執行メカニズムの提供に焦点を当てています。

まず、Phalcon Complianceプラットフォームは、取引所、規制当局、金融機関、および仮想通貨プロジェクト(仮想通貨決済およびDEXを含む)がリアルタイムで疑わしい活動を検出するのに役立つように設計されています。オンチェーンリスクスコアリング、トランザクション監視、および複数チェーンにわたるアドレススクリーニングを提供し、エンティティがコンプライアンス要件を満たすのに役立ちます。

並行して、MetaSleuthは、私たちのオンライン調査ツールであり、アナリストと一般の人々の両方が、直感的な視覚化とクロスチェーン追跡で不正な資金の流れを追跡できるようにします。MetaSleuthは、すでに世界中の100以上の執行およびコンプライアンス機関(金融規制当局、法執行機関、およびグローバルコンサルティング会社を含む)によって採用されています。

これらのツールは、ブロックチェーンの透明性と規制執行の間のギャップを埋め、分散型金融システムの整合性を保護するという私たちの使命を反映しています。

Sign up for the latest updates
The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis
Security Insights

The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis

This BlockSec deep-dive analyzes the KelpDAO $290M rsETH cross-chain bridge exploit (April 18, 2026), attributed to the Lazarus Group, tracing a causal chain across three layers: how a single-point DVN dependency enabled the attack, how DeFi composability cascaded the damage through Aave V3 lending markets to freeze WETH liquidity exceeding $6.7B across Ethereum, Arbitrum, Base, Mantle, and Linea, and how the crisis forced decentralized governance to exercise centralized emergency powers. The article examines three parameters that shaped the cascade's severity (LTV, pool depth, and cross-chain deployment count) and provides an exclusive technical breakdown of Arbitrum Security Council's forced state transition, an atomic contract upgrade that moved 30,766 ETH without the holder's signature.

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026

This BlockSec weekly security report covers four attack incidents detected between April 13 and April 19, 2026, across multiple chains such as Ethereum, Unichain, Arbitrum, and NEAR, with total estimated losses of approximately $310M. The highlighted incident is the $290M KelpDAO rsETH bridge exploit, where an attacker poisoned the RPC infrastructure of the sole LayerZero DVN to fabricate a cross-chain message, triggering a cascading WETH freeze across five chains and an Arbitrum Security Council forced state transition that raises questions about the actual trust boundaries of decentralized systems. Other incidents include a $242K MMR proof forgery on Hyperbridge, a $1.5M signed integer abuse on Dango, and an $18.4M circular swap path exploit on Rhea Finance's Burrowland protocol.

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026

This BlockSec weekly security report covers four DeFi attack incidents detected between April 6 and April 12, 2026, across Linea, BNB Chain, Arbitrum, Optimism, Avalanche, and Base, with total estimated losses of approximately $928.6K. Notable incidents include a $517K approval-related exploit where a user mistakenly approved a permissionless SquidMulticall contract enabling arbitrary external calls, a $193K business logic flaw in the HB token's reward-settlement logic that allowed direct AMM reserve manipulation, a $165.6K exploit in Denaria's perpetual DEX caused by a rounding asymmetry compounded with an unsafe cast, and a $53K access control issue in XBITVault caused by an initialization-dependent check that failed open. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.