凍結之後：USDT 黑名單機制及其與恐怖主義融資關聯的鏈上分析

簡介

穩定幣在近年來呈現迅速成長。因此，監管機構日益強調需要具備凍結非法資金的機制。我們觀察到，主要的穩定幣（如 USDT 和 USDC）已納入此類功能。在實務上，已有許多與洗錢及其他非法活動相關的資金被成功凍結的案例。

此外，我們的研究顯示，穩定幣不僅被用於洗錢，還**頻繁地被用於資助恐怖組織。**因此，本部落格旨在從兩個視角探討此議題。首先，我們系統性地分析了已被凍結的 USDT 交易。其次，我們調查了被凍結資金與恐怖主義融資之間的關聯。

免責聲明：本分析僅基於公開可用的數據，可能存在不準確之處。若您有任何意見或更正，請透過 [email protected] 與我們聯繫。

USDT 被封鎖地址分析

數據收集

我們識別並追蹤被列入黑名單的 Tether 地址的方法，是基於直接的鏈上事件監控。經由 Tether 智慧合約原始碼確認，該流程如下：

• 事件識別：我們判定 Tether 的智慧合約透過發出兩個特定事件來管理其黑名單：當地址被加入時觸發 AddedBlackList 事件，當地址被移除時觸發 RemovedBlackList 事件。
• 數據集建構：提取的數據用於建構全面的時間序列數據集。對於每個被列入黑名單的地址，我們記錄以下欄位：地址本身、被列入黑名單的時間戳記 (blacklisted_at)，以及（若適用）移除黑名單的時間戳記 (unblacklisted_at)。

function addBlackList (address _evilUser) public onlyOwner {
  isBlackListed[_evilUser] = true;
  AddedBlackList(_evilUser);
}

function removeBlackList (address _clearedUser) public onlyOwner {
  isBlackListed[_clearedUser] = false;
  RemovedBlackList(_clearedUser);
}

event AddedBlackList(address indexed _user);

event RemovedBlackList(address indexed _user);

研究結果

我們對以太坊 (Ethereum) 和波場 (Tron) 區塊鏈上的 Tether (USDT) 數據分析揭示了一個驚人的趨勢。自 2016 年 1 月 1 日以來，共有 5,188 個地址被列入黑名單，導致價值超過 29 億美元的資產被凍結。

僅在 2025 年 6 月 13 日至 30 日期間，就有 151 個地址被列入黑名單——其中 90.07% 位於波場網路（地址列表）。在此短時間內凍結的總價值高達 8,634 萬美元。

• 列入黑名單事件的時間分佈：在 6 月 15 日、20 日和 25 日觀察到黑名單活動達到高峰，其中 6 月 20 日單日就有 63 個地址被封鎖，為最高紀錄。
• 凍結資產在地址間的分佈：凍結餘額最大的前 10 個地址總共持有 5,345 萬美元，佔總額的 61.91%。平均凍結金額（57.176 萬美元）顯著高於中位數（4.001 萬美元），顯示分佈呈現偏態，即少數高價值的地址佔據主導地位，而大多數地址的凍結餘額相對較小。
• 生命週期價值分佈：這些地址的歷史總流入量達到 8.0776 億美元，**其中 7.2143 億美元在執法前已被轉出，僅 8,634 萬美元被凍結。這表示大部分資金可能在列入黑名單前就已經轉移。**值得注意的是，17% 被列入黑名單的地址沒有發生過任何流出交易，這暗示這些地址可能被用作臨時儲存或匯集點，有待未來調查進一步審查。
• 新建立的帳戶最容易被列入黑名單：在所有被列入黑名單的地址中，41% 是新建立的（活動時間 < 30 天），27% 顯示中期活動（91–365 天），僅 3% 有長期使用歷史（≥ 730 天）。這顯示新設立的帳戶被鎖定的比例偏高。
• 大多數帳戶實現了「凍結前撤出」：約 54% 的黑名單地址在被列入黑名單之前，就已經將大部分資金轉出（定義為生命週期流出量 ≥ 總流入量的 90%）。此外，10% 的帳戶在被凍結時餘額為零。這些模式顯示執法行動往往只能扣押非法資金流的殘餘價值，大部分資產早已被洗錢或轉移。
• 新帳戶的洗錢效率極高：FlowRatio（資金流動比率）與 DaysActive（活躍天數）的散佈圖顯示，較新的帳戶不僅在數量和被列入黑名單的頻率上佔主導地位，而且表現出最高的洗錢效率，能在被偵測及執法前有效地將資金轉出。

資金追蹤

MetaSleuth 支援了我們的調查，使我們能夠追蹤 6 月 13 日至 6 月 30 日期間被 USDT 封鎖的 151 個 Tether 黑名單地址，並識別出與這些地址相關的主要資金來源與最終目的地。

資金來源

• **內部污染（91 個地址）：**相當大一部分地址從其他黑名單地址接收資金，顯示存在高度互連的洗錢網路。
• **偽造釣魚標籤（37 個地址）：**許多上游來源在 MetaSleuth 上被標記為「虛假釣魚」，這建議駭客使用欺騙性的標記手段來掩蓋非法活動並規避偵測。

https://metasleuth.io/result/tron/THpNSa3BMNPPzVNTPZ6aTmRsVzGR6uRmma?source=26599be9-c3a9-42a6-a2ae-b6de72418003

• **交易所熱錢包（34 個地址）：**資金來源包括已知的交易所熱錢包——幣安 (Binance, 20)、OKX (7) 和 MEXC (7)，這暗示資金流入可能源自中心化交易所內受駭的帳戶或錢騾帳戶。
• **單一主導的分發者（35 個地址）：**單一被列入黑名單的位址反覆作為上游來源出現，可能作為集中的資金聚合器或混幣器來分發非法資產。
• **跨鏈入口點（2 個地址）：**部分資金源自跨鏈橋，這顯示在資金流動中也利用了鏈間洗錢機制。

資金去向

• **流向其他黑名單地址（54 個）：**此模式強化了網路內部存在洗錢迴圈的現狀。
• **流向中心化交易所（41 個）：**資金透過中心化交易所的充值地址進行下路（off-ramping），包括幣安 (30)、Bybit (7) 等。
• **流向跨鏈橋（12 個）：**顯示了試圖將資產洗出波場生態系，並利用跨鏈轉移機制。

https://metasleuth.io/result/tron/TBqeWc1apWjp5hRUrQ9cy8vBtTZSSnqBoY?source=ddea74a3-fb52-4203-846a-c7be07fbb78d

值得注意的是，幣安 (Binance) 和 OKX 等交易所出現在資金流的兩端——既是流入來源（經由熱錢包），也是流出目的地（經由充值地址），凸顯了它們在資金流動中的核心地位。反洗錢/反恐怖融資 (AML/CFT) 執法效率不足以及資產凍結的延誤，可能使得非法轉帳在監管行動生效前就已完成。

我們建議加密貨幣交易所作為關鍵的出入金通道，應採取更強大的監控、偵測和封鎖機制，以主動減輕此類風險。

https://metasleuth.io/result/tron/TFjqBgossxvtfrivgd6mFVhZ1tLqqyfZe9?source=7ba5d0da-d5b5-41ab-b54c-d784fb57f079

恐怖主義融資分析

為了更深入了解與潛在恐怖主義融資相關的 USDT 活動，我們檢視了官方文件，特別是以色列國家反恐怖融資局 (NBCTF) 發布的行政扣押令。雖然我們承認單一數據來源無法提供完整畫面，但我們將此數據集作為代表性案例研究，以了解 USDT 涉入恐怖融資的保守下限。

研究結果

我們對 NBCTF 發布內容的審查揭示了幾個關鍵發現：

• **扣押令的時間點：**自 2025 年 6 月 13 日以色列與伊朗衝突升級以來，僅發布了一項新的扣押令（日期為 6 月 26 日）。在此之前，最近的一次命令是在 6 月 8 日發布的，顯示儘管緊張局勢加劇，行動仍有明顯延遲。
• **自 2024 年 10 月 7 日以來的頻率與針對性：**自以巴衝突爆發以來，共發布了 8 項扣押令。其中，4 項明確指出「哈瑪斯 (Hamas)」為目標，而僅有 1 項（即最近的一次）提到了「伊朗」。
• **目標資產範圍：**合併後的命令針對範圍廣泛的資產，包括：
  • 76 個 USDT (波場) 地址
  • 16 個 BTC 地址
  • 2 個以太坊地址
  • 641 個幣安帳戶
  • 8 個 OKX 帳戶

我們對這 76 個 USDT 波場地址 的鏈上調查揭示了關於 Tether 針對 NBCTF 扣押令之反應的關鍵營運洞察。出現了兩種截然不同的模式：

• 主動列入黑名單：Tether 在對應的扣押令公開發布之前，就已經將 17 個與哈瑪斯相關的地址列入了黑名單。這些預先採取的行動平均提前了 28 天，最早的例子甚至在官方發布前 45 天就已執行。
• 快速反應：對於公開揭露時尚未列入黑名單的剩餘地址，Tether 迅速做出反應。在扣押令發布後，平均列入黑名單的時間為 2.1 天，展現了對官方指令高效率的營運反應。

這些發現表明，穩定幣發行商（Tether）與執法機構之間存在密切且在某些情況下是主動的合作，這挑戰了加密貨幣完全游離於監管和安全審查之外的普遍認知。

結論與 AML/CFT 挑戰

我們的調查顯示，雖然像 USDT 這樣的穩定幣為交易透明度和控制提供了強大工具，但它們也為反洗錢 (AML) 和反恐怖融資 (CFT) 的執法帶來了新興挑戰。互連的洗錢迴圈、跨鏈混淆、延遲的執法行動以及對中心化交易所的利用，凸顯了當前合規生態系統中的系統性脆弱點。

幾個關鍵挑戰顯而易見：

• **反應式 vs. 主動式執法：**雖然 Tether 展現了主動與被動兩種列入黑名單的行為，但大多數 AML/CFT 行動仍依賴事後措施，使非法參與者能在介入前轉移大量資金。
• **交易所監管盲點：**中心化交易所仍然是洗錢管道的關鍵部分，往往同時作為流入與流出的入口點。這些出口處監控不足或回應時間過慢，導致疑似流量能在很大程度上不受阻礙地繼續運行。
• **跨鏈洗錢複雜性：**橋接器和多鏈基礎設施的使用增加了可追溯性的難度，因為非法參與者越來越多地利用監管較少的生態系統和基於橋的混淆手段來規避合規檢查。

為了應對這些問題，我們建議生態系統參與者（特別是穩定幣發行商、交易所和監管機構）加強協作情報共享，投資於即時行為分析，並實施跨鏈合規框架。唯有透過及時、協調且具備技術複雜性的 AML/CFT 工作，我們才能有效維護穩定幣生態系統的合法性與安全性。

BlockSec 的努力

在 BlockSec，我們致力於推動加密生態系統的安全性和監管韌性。我們在反洗錢 (AML) 和反恐怖融資 (CFT) 方面的努力，重點在於實現可操作的情報、主動偵測及可追蹤的執法機制。

首先，我們的 Phalcon Compliance 平台旨在協助交易所、監管機構、金融機構和加密專案（包括加密支付與去中心化交易所）即時偵測可疑活動。它提供跨多條鏈的鏈上風險評分、交易監控和地址篩選，協助實體符合合規要求。

同時，MetaSleuth（我們的線上調查工具）賦能分析師與大眾，透過直覺的可視化功能與跨鏈追蹤能力調查非法資金流向。MetaSleuth 已被全球超過 100 家執法與合規機構採用，包括金融監管機構、執法單位和全球諮詢公司。

這些工具共同反映了我們的使命：彌合區塊鏈透明度與監管執法之間的差距，同時維護去中心化金融系統的完整性。