Jul 11 2025

フローズンを追う：USDTブラックリストのオンチェーン分析とテロ資金調達との関連性

はじめに

ステーブルコインは近年急成長を遂げている。その結果、規制当局は不正資金の凍結を可能にする仕組みの必要性をますます強調するようになっている。USDTやUSDCのような主要なステーブルコインには、すでにそのような機能が組み込まれている。実際に、マネーロンダリングやその他の違法行為に関連した資金が凍結に成功したケースは数多くある。

さらに、我々の調査によれば、ステーブルコインはマネーロンダリングに利用されるだけでなく、テロ組織の資金調達にも頻繁に利用されている。第一に、凍結されたUSDT取引を体系的に分析する。第二に、凍結された資金がテロ資金調達とどのように関連しているかを調査する。

**免責事項この分析は、一般に入手可能なデータのみに基づいており、不正確な情報が含まれている可能性があります。コメントや訂正がございましたら、[email protected] までご連絡ください。

USDTブロックアドレス分析

データ収集

ブラックリストに登録された Tether のアドレスを特定し追跡するための当社の方法は、オンチェーンイベントの直接監視に基づいています。この分析の基礎となるオンチェーンデータは、ユーザー"crypto_oracle"によって作成されたクエリーを利用し、Dune Analyticsから入手しました。Tetherのスマート・コントラクトのソースコードで確認されたプロセスは以下の通りである：

イベント識別**：イベント識別**：Tetherのスマート・コントラクトは、2つの特定のイベントを発することでブラックリストを管理していることが判明しました：アドレスが追加されたときは AddedBlackList、アドレスが削除されたときは RemovedBlackList です。
データセットの構築Duneから抽出したデータを使用して、包括的な時系列データセットを構築する。ブラックリストに登録された各アドレスについて、次のフィールドを記録する：アドレスそのもの、ブラックリスト登録のタイムスタンプ（blacklisted_at）、そして該当する場合は、ブラックリスト解除のタイムスタンプ（unblacklisted_at）。

function addBlackList (address _evilUser) public onlyOwner {.
  isBlackListed[_evilUser] = true；
  addedBlackList(_evilUser)；
}

function removeBlackList (アドレス _clearedUser) public onlyOwner { {.
  isBlackListed[_clearedUser] = false；
  RemovedBlackList(_clearedUser)；
}

イベント AddedBlackList(アドレス _user)；

イベント RemovedBlackList(address indexed _user)；

Findings

イーサリアムとトロンのブロックチェーン上のTether (USDT)のデータを分析した結果、顕著な傾向が明らかになりました。2016年1月1日以降、合計5,188のアドレスがブラックリストに登録され、29億ドル以上の資産が凍結されました。2025年6月13日から30日の間だけで、151のアドレスがブラックリストに登録された-そのうちの90.07%はトロン・ネットワークであった(アドレス一覧)。この短期間に凍結された総額は、なんと8,634万ドルに達した。

ブラックリスト登録イベントの時間的分布**：ブラックリスト登録のピークは6月15日、20日、25日で、最も多かったのは6月20日で、1日に63のアドレスがブラックリストに登録された。
アドレス間の凍結資産分布**：最も凍結残高の多い上位10アドレスの総保有額は5,345万ドルで、全体の61.91%を占める。平均凍結額（571.76万ドル）は中央値（401.1万ドル）を大幅に上回っており、少数の高額資産保有アドレスが優位を占める一方で、大半の凍結残高が比較的少額である歪んだ分布を示している。
このことは、ブラックリストに登録される前に、資金の大部分が移動された可能性が高いことを示唆している。
ブラックリストに登録されたアドレスのうち、41%は新しく作成されたもの（30日未満の活動）であり、27%は中期的な活動（91～365日）を示し、長期的な利用履歴（730日以上）はわずか3%であった。このことは、新規に開設されたアカウントが不釣り合いに狙われていることを示している。
ブラックリストに掲載されたアドレスの約54%は、ブラックリストに掲載される前にすでに資金の大半を流出していた（生涯流出額が総流入額の90%以上と定義）***。さらに、10%は凍結された時点で残高がゼロであった。これらのパターンは、多くの場合、強制捜査が違法な資金流入の残存価値のみを捕捉し、ほとんどの資産はすでに洗浄または移動していることを示唆している。
新しい口座における高い資金洗浄効率：**フロー比率対DaysActiveの散布図から、新しい口座は量とブラックリストの頻度において優位を占めるだけでなく、資金洗浄効率も最も高く、発見や取締りの前に効果的に資金を移動させていることがわかる。

https://blocksec-static-resources.s3.us-east-1.amazonaws.com/assets/frontend/blocksec-strapi-online/blacklist_899ebe2015.png

お金を追う

MetaSleuthは、6月13日から6月30日の間にUSDTによってブロックされた151のTether-blacklistedアドレスの追跡を可能にすることによって、私たちの調査を強化し、これらのアドレスに関連する主要な資金提供者と最終目的地の両方を特定しました。

資金の出所

内部汚染（91アドレス）：***アドレスの大部分は、他のブラックリストに掲載されたアドレスから資金を受け取っており、高度に相互接続された資金洗浄ネットワークであることを示している。
フェイク・フィッシング・タグ（37アドレス）：*** 多くのアップストリーム・ソースはMetaSleuth上で「フェイク・フィッシング」とラベル付けされており、不正な活動を不明瞭にし、検知を逃れるために欺瞞的なタグ付けの手法が使われていることを示唆している。

https://metasleuth.io/result/tron/THpNSa3BMNPPzVNTPZ6aTmRsVzGR6uRmma?source=26599be9-c3a9-42a6-a2ae-b6de72418003

取引所ホットウォレット（34アドレス）：**資金源には既知の取引所ホットウォレット-Binance (20)、OKX (7)、MEXC (7)-が含まれており、中央集権的な取引所の侵害されたアカウントまたはミュールウォレットから流入した可能性を示唆しています。
単一の支配的なディストリビューター（35アドレス）：ブラックリストに掲載された単一のアドレスが上流ソースとして繰り返し出現しており、不正な資産を流通させる中央資金集約機関またはミキサーとして機能している可能性が高い。
クロスチェーンのエントリーポイント（2アドレス）：***クロスチェーンブリッジを起点とする資金もあり、資金フローの中でチェーン間ロンダリングの仕組みも活用されていたことが示唆される。

資金の流れ

このパターンは、ネットワーク内の内部ロンダリングのループの存在を補強している。
Binance(30)、Bybit(7)、その他を含む中央集権的な取引所の入金アドレスを通じて資金がオフローンダリングされた。
クロスチェーンブリッジへ(12):**クロスチェーン送金メカニズムを活用し、TRONエコシステムを超えて資産を洗浄しようとしたことを示す。

https://metasleuth.io/result/tron/TBqeWc1apWjp5hRUrQ9cy8vBtTZSSnqBoY?source=ddea74a3-fb52-4203-846a-c7be07fbb78d

注目すべきは、BinanceやOKXのような取引所が、資金流入元（ホットウォレット経由）と資金流出先（デポジットアドレス経由）として、取引の流れの両端に現れていることで、資金移動における中心的な役割を果たしていることがうかがえます。非効率なAML/CFTの執行と資産凍結の遅れが組み合わさったことで、規制措置が効果を発揮する前に不正送金が行われた可能性がある。

私たちは、暗号通貨取引所が重要な出入り口として、このようなリスク**を事前に軽減するために、**より強固な監視、検出、および遮断メカニズムを採用することを推奨する。

https://metasleuth.io/result/tron/TFjqBgossxvtfrivgd6mFVhZ1tLqqyfZe9?source=7ba5d0da-d5b5-41ab-b54c-d784fb57f079

テロ資金調達分析

テロ資金調達**に関連する可能性のあるUSDT活動についてより深い洞察を得るために、我々は公式文書、特にイスラエルの国家テロ資金対策局（NBCTF）が発行した行政差し押さえ命令を調査した。単一のデータソースでは全体像が把握できないことを認めつつも、テロ資金調達に潜在的に関与しているUSDTの保守的な下限を理解するために、代表的なケーススタディとしてこのデータセットを使用する。

所見

NBCTFの出版物を検討した結果、いくつかの重要な発見があった：

イスラエルとイランの対立がエスカレートした2025年6月13日以降、新たな押収命令は6月26日付の1件のみである。それ以前の最新の命令は6月8日に出されており、緊張が高まっているにもかかわらず、顕著な遅れを示している。
2024年10月7日以降の頻度と標的：** イスラエル・パレスチナ紛争の勃発以来、8つの押収命令が発表されました。このうち、4件が「ハマス」を標的として明示しており、「イラン」と言及しているのは最新の1件のみである。
対象となった資産の範囲：＊＊＊命令を合わせると、以下のような幅広い資産が対象となった：
76のUSDT（トロン）アドレス
16 BTCアドレス
2 イーサリアム・アドレス
641のバイナンス口座
8 OKXアカウント

76のUSDT Tronアドレス](https://docs.google.com/spreadsheets/d/1pz7SPTY2J4S7rGMiq6Dzi2Q5p0fXSGKzl9QF2PiV6Gw/edit?usp=sharing)**のオンチェーン調査により、NBCTFの差し押さえ命令に関連するTetherの対応に関する重要な運用上の洞察が明らかになりました。2つの異なるパターンが浮かび上がりました：

プロアクティブ・ブラックリスト化：テザー社は、対応する差し押さえ命令が公開される前に、すでに17のハマスに関連したアドレスをブラックリスト化していた。これらの先手を打った行動は、平均して28日前に発生し、最も早い例では公式発表の45日前に行われた。
迅速な反応公開時にブラックリストに掲載されていなかった残りのアドレスについて、テザー社は迅速に対応しました。差し押さえ命令からブラックリストに登録されるまでの平均時間は2.1日で、公式な命令に対する迅速な運用が実証されています。

これらの調査結果は、ステーブルコイン発行者（Tether）と法執行機関との間の緊密な、場合によっては先手を打った協力関係を示唆しており、暗号通貨は規制やセキュリティ監視の範囲外で完全に機能しているという一般的な認識を覆すものである。

結論とAML/CFTの課題

私たちの調査により、USDTのような安定コインは取引の透明性と管理のための強力なツールを提供する一方で、マネーロンダリング防止（AML）とテロ資金供与対策（CFT）の執行に新たな課題をもたらすことが明らかになりました。相互接続されたロンダリングループ、クロスチェーンの難読化、執行措置の遅延、集中型取引所の悪用**の存在は、現在のコンプライアンスエコシステムにおけるシステム的脆弱性を浮き彫りにしています。

いくつかの重要な課題が目立つ：

積極的な執行と事後的な執行：*** Tetherは積極的なブラックリスト登録と事後的なブラックリスト登録の両方の行動を示しましたが、ほとんどのAML/CFT措置は依然として事後的な措置に依存しており、不正行為者は介入前に多額の資金を移動させることができます。
取引所の盲点：*** 中央集権的な取引所は依然として資金洗浄パイプラインの重要な一部であり、しばしば入口と出口の両方として現れる。これらのゲートウェイにおける不十分な監視や遅い応答時間により、疑わしい資金の流れはほとんど妨げられることなく継続される。
クロスチェーン・ロンダリングの複雑性：***ブリッジやマルチチェーン・インフラストラクチャーの利用は、トレーサビリティを複雑にしている。

これらの問題に対処するため、私たちはエコシステム参加者（特にステーブルコイン発行者、取引所、規制当局）に対し、共同での情報共有を強化し、リアルタイムの行動分析に投資し、クロスチェーンのコンプライアンスフレームワークを導入することを推奨します。タイムリーで、協調的で、技術的に洗練されたAML/CFTの取り組みを通じてのみ、安定コインのエコシステムの正当性と安全性を効果的に保護することができます。

BlockSecの取り組み

BlockSecでは、暗号エコシステムのセキュリティと規制の回復力の向上に取り組んでいます。アンチマネーロンダリング(AML)およびテロ資金供与対策(CFT)における当社の取り組みは、実行可能なインテリジェンス、プロアクティブな検出、追跡可能な執行メカニズムの実現に重点を置いています。

まず、当社のファルコン・コンプライアンス・プラットフォームは、取引所、規制当局、金融機関、暗号プロジェクト（暗号決済やDEXを含む）が疑わしい活動をリアルタイムで検出できるように設計されています。これは、オンチェーンリスクスコアリング、トランザクションモニタリング、複数のチェーンにわたるアドレススクリーニングを提供し、エンティティがコンプライアンス要件を満たすことを支援します。

</img

これと並行して、当社のオンライン調査ツールであるMetaSleuthは、直感的なビジュアライゼーションとクロスチェーン追跡により、アナリストと一般市民が不正資金の流れを追跡できるようにします。MetaSleuthはすでに、金融規制当局、法執行機関、グローバル・コンサルティング会社など、世界中の20以上の執行機関やコンプライアンス機関に採用されています。

これらのツールは共に、分散型金融システムの完全性を守りながら、ブロックチェーンの透明性と規制執行のギャップを埋めるという我々の使命を反映しています。

Feb 18 2026

Weekly Web3 Security Incident Roundup | Feb 9 – Feb 15, 2026

During the week of February 9 to February 15, 2026, three blockchain security incidents were reported with total losses of ~$657K. All incidents occurred on the BNB Smart Chain and involved flawed business logic in DeFi token contracts. The primary causes included an unchecked balance withdrawal from an intermediary contract that allowed donation-based inflation of a liquidity addition targeted by a sandwich attack, a post-swap deflationary clawback that returned sold tokens to the caller while draining pool reserves to create a repeatable price-manipulation primitive, and a token transfer override that burned tokens directly from a Uniswap V2 pair's balance and force-synced reserves within the same transaction to artificially inflate the token price.

Feb 14 2026

Top 10 "Awesome" Security Incidents in 2025

To help the community learn from what happened, BlockSec selected ten incidents that stood out most this year. These cases were chosen not only for the scale of loss, but also for the distinct techniques involved, the unexpected twists in execution, and the new or underexplored attack surfaces they revealed.

Feb 13 2026

#10 Panoptic Incident: XOR Linearity Breaks the Position Fingerprint Scheme

On August 29, 2025, Panoptic disclosed a Cantina bounty finding and confirmed that, with support from Cantina and Seal911, it executed a rescue operation on August 25 to secure roughly $400K in funds. The issue stemmed from a flaw in Panoptic’s position fingerprint calculation algorithm, which could have enabled incorrect position identification and downstream fund risk.