Back to Blog

Seguindo os Fundos Congelados: Uma Análise On-Chain da Lista Negra do USDT e Seus Vínculos com o Financiamento do Terrorismo

Phalcon
July 11, 2025
9 min read

Introdução

As stablecoins tiveram um crescimento acelerado nos últimos anos. Como resultado, os reguladores enfatizam cada vez mais a necessidade de mecanismos que permitam o congelamento de fundos ilícitos. Observamos que as principais stablecoins, como USDT e USDC, já incorporam tais capacidades. Na prática, houve inúmeros casos em que fundos vinculados a lavagem de dinheiro e outras atividades ilegais foram congelados com sucesso.

Além disso, nossa pesquisa indica que as stablecoins não são usadas apenas em lavagem de dinheiro, mas também são frequentemente empregadas no financiamento de organizações terroristas. Portanto, este blog tem como objetivo examinar a questão sob duas perspectivas. Primeiro, analisamos sistematicamente as transações de USDT que foram congeladas. Segundo, investigamos como os fundos congelados estão relacionados ao financiamento do terrorismo.

Aviso: Esta análise é baseada exclusivamente em dados publicamente disponíveis e pode conter imprecisões. Se você tiver comentários ou correções, entre em contato conosco em [email protected].

Análise de Endereços Bloqueados de USDT

Coleta de Dados

Nossa metodologia para identificar e rastrear endereços da Tether na lista negra é baseada no monitoramento direto de eventos on-chain. O processo, confirmado pelo código-fonte do contrato inteligente da Tether, é o seguinte:

  • Identificação de eventos: Determinamos que o contrato inteligente da Tether gerencia sua lista negra emitindo dois eventos específicos: AddedBlackList quando um endereço é adicionado, e RemovedBlackList quando um endereço é removido.
  • Construção do conjunto de dados: Os dados extraídos são usados para construir um conjunto de dados abrangente de séries temporais. Para cada endereço na lista negra, registramos os seguintes campos: o próprio endereço, o timestamp de inclusão na lista negra (blacklisted_at) e, se aplicável, o timestamp de remoção da lista negra (unblacklisted_at).
function addBlackList (address _evilUser) public onlyOwner {
  isBlackListed[_evilUser] = true;
  AddedBlackList(_evilUser);
}

function removeBlackList (address _clearedUser) public onlyOwner {
  isBlackListed[_clearedUser] = false;
  RemovedBlackList(_clearedUser);
}

event AddedBlackList(address indexed _user);

event RemovedBlackList(address indexed _user);

Descobertas

Nossa análise dos dados da Tether (USDT) nas blockchains Ethereum e Tron revela uma tendência marcante. Desde 1º de janeiro de 2016, um total de 5.188 endereços foram incluídos na lista negra, resultando no congelamento de ativos no valor de mais de US$ 2,9 bilhões.

Somente entre 13 e 30 de junho de 2025, 151 endereços foram incluídos na lista negra — 90,07% dos quais estavam na rede Tron (Lista de endereços). O valor total congelado durante esse curto período atingiu a impressionante cifra de US$ 86,34 milhões.

  • Distribuição temporal dos eventos de inclusão na lista negra: Picos de atividade foram observados em 15, 20 e 25 de junho, com o dia 20 registrando o maior número: 63 endereços incluídos na lista negra em um único dia.
  • Distribuição dos ativos congelados entre os endereços: Os 10 principais endereços com os maiores saldos congelados detêm coletivamente US$ 53,45 milhões, representando 61,91% do total. O valor médio congelado (US$ 571,76 mil) é significativamente superior à mediana (US$ 40,01 mil), indicando uma distribuição assimétrica em que poucos endereços de alto valor dominam, enquanto a maioria possui saldos congelados relativamente pequenos.
  • Distribuição do valor vitalício: Os fluxos históricos totais de entrada nesses endereços somam US$ 807,76 milhões, dos quais US$ 721,43 milhões foram enviados antes da aplicação da medida, e US$ 86,34 milhões foram congelados. Isso sugere que a maioria dos fundos provavelmente foi movimentada antes da inclusão na lista negra. Vale notar que 17% dos endereços na lista negra não tinham transações de saída, sugerindo possível uso como pontos temporários de armazenamento ou agregação — o que justifica maior escrutínio em investigações futuras.
  • Contas recém-criadas têm maior probabilidade de serem incluídas na lista negra: Entre todos os endereços na lista negra, 41% eram recém-criados (com menos de 30 dias de atividade), 27% apresentavam atividade de médio prazo (91–365 dias), e apenas 3% tinham históricos de uso de longo prazo (≥ 730 dias). Isso indica que contas recém-criadas são alvo desproporcionalmente mais frequente.
  • A maioria das contas consegue uma "saída pré-congelamento": Cerca de 54% dos endereços na lista negra já haviam transferido a maior parte de seus fundos (definida como saídas vitalícias ≥ 90% do total de entradas) antes da inclusão na lista negra. Adicionalmente, 10% tinham saldo zero no momento do congelamento. Esses padrões sugerem que as ações de fiscalização frequentemente capturam apenas o valor residual dos fluxos ilícitos, com a maioria dos ativos já lavada ou movimentada.
  • Alta eficiência de lavagem entre contas novas: Um gráfico de dispersão de FlowRatio vs. DaysActive revela que contas mais novas não apenas dominam em quantidade e frequência de inclusão na lista negra, mas também demonstram a maior eficiência de lavagem, transferindo fundos efetivamente antes da detecção e da fiscalização.

Seguindo o Dinheiro

O MetaSleuth potencializou nossa investigação ao permitir o rastreamento dos 151 endereços na lista negra da Tether, que foram bloqueados pelo USDT entre 13 e 30 de junho, por meio dos quais identificamos tanto os principais financiadores quanto os destinos finais associados a esses endereços.

De Onde Vieram os Fundos

  • Contaminação Interna (91 endereços): Uma parcela significativa dos endereços recebeu fundos de outros endereços na lista negra, indicando uma rede de lavagem altamente interconectada.
  • Tags de Phishing Falso (37 endereços): Muitas fontes upstream foram rotuladas como "phishing falso" no MetaSleuth, sugerindo o uso de táticas de marcação enganosas para obscurecer atividades ilícitas e escapar da detecção.

https://metasleuth.io/result/tron/THpNSa3BMNPPzVNTPZ6aTmRsVzGR6uRmma?source=26599be9-c3a9-42a6-a2ae-b6de72418003

  • Carteiras Quentes de Exchanges (34 endereços): As fontes de fundos incluíam carteiras quentes de exchanges conhecidas — Binance (20), OKX (7) e MEXC (7) — sugerindo que as entradas podem ter se originado de contas comprometidas ou carteiras de mulas em exchanges centralizadas.
  • Distribuidor Único Dominante (35 endereços): Um único endereço na lista negra apareceu repetidamente como fonte upstream, provavelmente funcionando como um agregador central de fundos ou mixer para distribuir ativos ilícitos.
  • Pontos de Entrada Cross-Chain (2 endereços): Alguns fundos se originaram de bridges cross-chain, sugerindo que mecanismos de lavagem entre cadeias também foram utilizados no fluxo de fundos.

Para Onde os Fundos Foram

  • Para Outros Endereços na Lista Negra (54): Esse padrão reforça a existência de um circuito interno de lavagem dentro da rede.
  • Para Exchanges Centralizadas (41): Os fundos foram convertidos por meio de endereços de depósito em exchanges centralizadas, incluindo Binance (30), Bybit (7) e outras.
  • Para Bridges Cross-Chain (12): Indica tentativas de lavar ativos além do ecossistema TRON, aproveitando mecanismos de transferência cross-chain.

https://metasleuth.io/result/tron/TBqeWc1apWjp5hRUrQ9cy8vBtTZSSnqBoY?source=ddea74a3-fb52-4203-846a-c7be07fbb78d

Notavelmente, exchanges como Binance e OKX aparecem em ambos os lados do fluxo de transações — como fontes de entrada (via carteiras quentes) e como destinos de saída (via endereços de depósito) — destacando seu papel central na movimentação de fundos. A combinação de fiscalização ineficaz de AML/CFT e atrasos no congelamento de ativos pode ter permitido que transferências ilícitas ocorressem antes que as ações regulatórias pudessem entrar em vigor.

Recomendamos que as exchanges de criptomoedas, como principais pontos de entrada e saída, adotem mecanismos de monitoramento, detecção e bloqueio mais robustos para mitigar proativamente tais riscos.

https://metasleuth.io/result/tron/TFjqBgossxvtfrivgd6mFVhZ1tLqqyfZe9?source=7ba5d0da-d5b5-41ab-b54c-d784fb57f079

Análise de Financiamento do Terrorismo

Para obter insights mais profundos sobre as atividades do USDT potencialmente vinculadas ao financiamento do terrorismo, examinamos documentos oficiais — especificamente, as Ordens de Apreensão Administrativa emitidas pelo Escritório Nacional de Combate ao Financiamento do Terrorismo (NBCTF) de Israel. Embora reconheçamos que nenhuma fonte de dados única fornece um panorama completo, utilizamos esse conjunto de dados como um estudo de caso representativo para compreender um limite inferior conservador do USDT potencialmente envolvido no financiamento do terrorismo.

Descobertas

Nossa análise das publicações do NBCTF revelou várias conclusões importantes:

  • Momento das Ordens de Apreensão: Apenas uma nova ordem de apreensão foi emitida desde a escalada dos Conflitos Israel-Irã em 13 de junho de 2025, datada de 26 de junho. Antes disso, a ordem mais recente havia sido emitida em 8 de junho, indicando um atraso perceptível apesar das crescentes tensões.
  • Frequência e Alvos Desde 7 de outubro de 2024: Desde o início do conflito israelense-palestino, oito ordens de apreensão foram divulgadas. Entre estas, quatro identificam explicitamente o "Hamas" como alvo, enquanto apenas uma — a mais recente — menciona o "Irã".
  • Escopo dos Ativos Visados: As ordens combinadas visaram uma ampla gama de ativos, incluindo:
    • 76 endereços USDT (Tron)
    • 16 endereços BTC
    • 2 endereços Ethereum
    • 641 contas Binance
    • 8 contas OKX

Nossa investigação on-chain dos 76 endereços USDT Tron revelou uma percepção operacional crucial sobre a resposta da Tether em relação às ordens de apreensão do NBCTF. Dois padrões distintos emergiram:

  • Inclusão Proativa na Lista Negra: A Tether já havia incluído na lista negra 17 endereços vinculados ao Hamas antes da divulgação pública das ordens de apreensão correspondentes. Essas ações preventivas ocorreram, em média, 28 dias antes, com o caso mais antigo ocorrendo 45 dias antes da publicação oficial.
  • Reação Rápida: Para os endereços restantes que ainda não estavam na lista negra no momento da divulgação pública, a Tether respondeu prontamente. O tempo médio para inclusão na lista negra após uma ordem de apreensão foi de 2,1 dias, demonstrando uma rápida resposta operacional às determinações oficiais.

Essas descobertas sugerem uma colaboração estreita e, em alguns casos, preventiva entre emissores de stablecoins (Tether) e agências de aplicação da lei — desafiando a percepção comum de que as criptomoedas funcionam inteiramente fora do escopo da supervisão regulatória e de segurança.

Conclusão e Desafios de AML/CFT

Nossa investigação revela que stablecoins como o USDT oferecem ferramentas poderosas para transparência e controle de transações, mas também apresentam desafios emergentes para a fiscalização de combate à lavagem de dinheiro (AML) e ao financiamento do terrorismo (CFT). A presença de circuitos de lavagem interconectados, ofuscação cross-chain, ações de fiscalização tardias e exploração de exchanges centralizadas destaca vulnerabilidades sistêmicas no ecossistema de conformidade atual.

Vários desafios principais se destacam:

  • Fiscalização Reativa vs. Proativa: Embora a Tether tenha demonstrado comportamento de inclusão na lista negra tanto proativo quanto reativo, a maioria das ações de AML/CFT ainda depende de medidas ex-post, permitindo que agentes ilícitos movimentem recursos significativos antes da intervenção.
  • Pontos Cegos nas Exchanges: As exchanges centralizadas continuam sendo uma parte crítica do pipeline de lavagem, frequentemente aparecendo tanto como pontos de entrada quanto de saída. O monitoramento insuficiente ou os tempos de resposta lentos nesses pontos de acesso permitem que fluxos suspeitos continuem praticamente sem obstáculos.
  • Complexidade da Lavagem Cross-Chain: O uso de bridges e infraestrutura multi-chain complica a rastreabilidade, à medida que agentes ilícitos exploram cada vez mais ecossistemas menos regulamentados e ofuscação baseada em bridges para contornar verificações de conformidade.

Para abordar essas questões, recomendamos que os participantes do ecossistema — especialmente emissores de stablecoins, exchanges e reguladores — aprimorem o compartilhamento colaborativo de inteligência, invistam em análise comportamental em tempo real e implementem frameworks de conformidade cross-chain. Somente por meio de esforços de AML/CFT oportunos, coordenados e tecnicamente sofisticados poderemos salvaguardar efetivamente a legitimidade e a segurança do ecossistema de stablecoins.

Esforços da BlockSec

Na BlockSec, estamos comprometidos em avançar a segurança e a resiliência regulatória do ecossistema cripto. Nossos esforços em Anti-Lavagem de Dinheiro (AML) e Combate ao Financiamento do Terrorismo (CFT) focam em viabilizar inteligência acionável, detecção proativa e mecanismos de fiscalização rastreáveis.

Primeiro, nossa plataforma Phalcon Compliance é projetada para ajudar exchanges, reguladores, instituições financeiras e projetos cripto (incluindo pagamentos cripto e DEX) a detectar atividades suspeitas em tempo real. Ela fornece pontuação de risco on-chain, monitoramento de transações e triagem de endereços em múltiplas cadeias, ajudando as entidades a atender aos requisitos de conformidade.

Em paralelo, o MetaSleuth, nossa ferramenta de investigação online, capacita tanto analistas quanto o público em geral a rastrear fluxos de fundos ilícitos com visualizações intuitivas e rastreamento cross-chain. O MetaSleuth já foi adotado por mais de 100 agências de fiscalização e conformidade em todo o mundo, incluindo reguladores financeiros, forças de segurança e empresas de consultoria globais.

Juntas, essas ferramentas refletem nossa missão: preencher a lacuna entre a transparência da blockchain e a fiscalização regulatória, ao mesmo tempo em que salvaguardamos a integridade do sistema financeiro descentralizado.

Sign up for the latest updates
Sanções do OFAC ao Cartel de Sinaloa: Rastreamento de Fundos On-Chain

Sanções do OFAC ao Cartel de Sinaloa: Rastreamento de Fundos On-Chain

Rede do Cartel de Sinaloa sancionada pelo OFAC por lavagem de recursos do fentanil. Rastreamos os seis endereços sancionados com MetaSleuth; o dinheiro flui quase inteiramente por depósitos em exchanges centralizadas.

Ferramentas de Conformidade para Cripto: Um Guia Prático de Compra para VASPs

Ferramentas de Conformidade para Cripto: Um Guia Prático de Compra para VASPs

Estrutura de aquisição para VASPs que avaliam software de conformidade cripto. Abrange controles AML, rastreamento de carteiras, KYT, gestão de casos, integração de API e modelagem de custos, com checklist para provedores em estágio inicial, crescimento e licenciados.

Guia VASP: Desenvolvendo um Software de Conformidade em Criptomoedas do Zero

Guia VASP: Desenvolvendo um Software de Conformidade em Criptomoedas do Zero

Guia técnico para VASPs criando infraestrutura de compliance cripto. Aborda pipelines KYT, relatórios STR/SAR multijurisdicionais, pontuação de risco automatizada, sincronização de API cross-border e envio regulatório simplificado.