Back to Blog

冷冻追溯:USDT黑名单及其与恐怖主义融资的链上分析

Phalcon
July 11, 2025
9 min read

引言

近年来,稳定币经历了飞速增长。因此,监管机构日益强调需要建立能够冻结非法资金的机制。我们注意到,USDT和USDC等主流稳定币已经具备了此类能力。实践中,已有大量与洗钱及其他非法活动相关的资金被成功冻结的案例。

此外,我们的研究表明,稳定币不仅被用于洗钱,而且经常被用于资助恐怖组织。 因此,本博客旨在从两个角度探讨此问题。首先,我们将系统分析已被冻结的USDT交易。其次,我们将调查被冻结的资金与恐怖融资之间的关联。

免责声明:本分析仅基于公开可用数据,可能包含不准确之处。如果您有任何评论或更正,请通过 [email protected] 与我们联系。

USDT 封禁地址分析

数据收集

我们识别和追踪 Tether 黑名单地址的方法是基于直接的链上事件监控。该过程已通过 Tether 的智能合约源代码得到确认,具体如下:

  • 事件识别:我们确定 Tether 的智能合约通过发出两个特定事件来管理其黑名单:AddedBlackList(地址添加时)和 RemovedBlackList(地址移除时)。
  • 数据集构建:提取的数据用于构建一个全面的时间序列数据集。对于每个被列入黑名单的地址,我们记录以下字段:地址本身、列入黑名单的时间戳(blacklisted_at),以及(如果适用)解除黑名单的时间戳(unblacklisted_at)。
function addBlackList (address _evilUser) public onlyOwner {
  isBlackListed[_evilUser] = true;
  AddedBlackList(_evilUser);
}

function removeBlackList (address _clearedUser) public onlyOwner {
  isBlackListed[_clearedUser] = false;
  RemovedBlackList(_clearedUser);
}

event AddedBlackList(address indexed _user);

event RemovedBlackList(address indexed _user);

研究结果

我们对以太坊和波场区块链上的 Tether (USDT) 数据进行的分析揭示了一个惊人的趋势。自 2016 年 1 月 1 日以来,共有 5,188 个地址被列入黑名单,导致资产被冻结超过 29 亿美元。

仅在 2025 年 6 月 13 日至 30 日期间,就有 151 个地址被列入黑名单——其中 90.07% 位于波场网络地址列表)。在此短暂时期内冻结的总金额高达 8634 万美元。

  • 黑名单事件的时间分布:在 6 月 15 日、20 日和 25 日观察到黑名单活动的峰值,其中 6 月 20 日的黑名单数量最多:一天内有 63 个地址被列入黑名单。
  • 冻结资产在地址间的分布:冻结余额最大的前 10 个地址共持有 5345 万美元,占总额的 61.91%。平均冻结金额(57.176 万美元)远高于中位数(4.001 万美元),这表明分布不均,少数高价值地址占主导地位,而大多数地址的冻结余额相对较少。
  • 生命周期价值分布:这些地址的历史总流入为 8.0776 亿美元,**其中 7.2143 亿美元在执行冻结前已转出,8634 万美元被冻结。这表明大部分资金可能在被列入黑名单之前就已经转移。**值得注意的是,17% 的被列入黑名单的地址没有出站交易,这可能表明它们被用作临时存储或汇集点——这需要未来进行进一步调查。
  • 新创建的账户最有可能被列入黑名单:在所有被列入黑名单的地址中,41% 是新创建的(活动少于 30 天),27% 显示了中短期活动(91-365 天),只有 3% 具有长期使用历史(≥ 730 天)。这表明新建立的账户不成比例地成为目标。
  • 大多数账户实现了“冻结前退出”:**约 54% 的被列入黑名单的地址在被列入黑名单之前就已经将其大部分资金(定义为生命周期流出量 ≥ 总流入量的 90%)转出。**此外,10% 的地址在被冻结时余额为零。这些模式表明,执法行动通常只能捕获非法资金流的剩余价值,大部分资产已被洗净或转移。
  • 新账户的高洗钱效率:流动比率与活跃天数散点图显示,新账户不仅在数量和黑名单频率上占主导地位,而且表现出最高的洗钱效率,在检测和执法之前有效地转移了资金。

跟随资金流向

MetaSleuth 通过追踪 151 个 Tether 黑名单地址,使我们的调查成为可能。这些地址在 6 月 13 日至 6 月 30 日期间被 USDT 封锁,我们通过这些地址识别了与这些地址相关的关键资助者和最终目的地。

资金来源

  • 内部污染(91 个地址):大部分地址的资金来自其他被列入黑名单的地址,这表明存在一个高度互联的洗钱网络。
  • 假钓鱼标签(37 个地址):许多上游来源在 MetaSleuth 上被标记为“假钓鱼”,这表明存在使用欺骗性标签策略来掩盖非法活动和逃避侦查。

https://metasleuth.io/result/tron/THpNSa3BMNPPzVNTPZ6aTmRsVzGR6uRmma?source=26599be9-c3a9-42a6-a2ae-b6de72418003

  • 交易所热钱包(34 个地址):资金来源包括知名的交易所热钱包——Binance(20 个)、OKX(7 个)和 MEXC(7 个)——这表明流入可能源自中心化交易所的被盗账户或骡子钱包。
  • 单一主导分发者(35 个地址):一个被列入黑名单的地址反复出现为上游来源,可能充当中性资金聚合器或混合器,用于分发非法资产。
  • 跨链入口点(2 个地址):部分资金源自跨链桥,这表明资金流动也利用了链间洗钱机制。

资金去向

  • 流向其他被列入黑名单的地址(54 个):这种模式证实了网络内部存在洗钱循环。
  • 流向中心化交易所(41 个):资金通过中心化交易所的充值地址进行套现,包括 Binance(30 个)、Bybit(7 个)和其他交易所。
  • 流向跨链桥(12 个):表明尝试将资产洗净到 TRON 生态系统之外,利用跨链转移机制。

https://metasleuth.io/result/tron/TBqeWc1apWjp5hRUrQ9cy8vBtTZSSnqBoY?source=ddea74a3-fb52-4203-846a-c7be07fbb78d

值得注意的是,Binance 和 OKX 等交易所同时出现在交易流的两端——作为流入的来源(通过热钱包)和流出的目的地(通过充值地址)——这凸显了它们在资金流动中的核心作用。无效的 AML/CFT 执法和资产冻结延迟可能导致非法转账在监管行动生效之前就已经发生。

我们建议加密货币交易所作为关键的资金出入站口,采取更强有力的监控、检测和封锁机制,以积极主动地降低此类风险

https://metasleuth.io/result/tron/TFjqBgossxvtfrivgd6mFVhZ1tLqqyfZe9?source=7ba5d0da-d5b5-41ab-b54c-d784fb57f079

恐怖融资分析

为了更深入地了解可能与恐怖融资有关的 USDT 活动,我们审查了官方文件——特别是以色列国家反恐融资局 (NBCTF) 发布的行政扣押令。虽然我们承认没有任何单一数据源能提供完整的图景,但我们将此数据集作为代表性案例研究,以了解可能涉及恐怖融资的 USDT 的保守下限。

研究结果

我们对 NBCTF 公告的审查揭示了几个关键发现:

  • 扣押令的时效性:自 2025 年 6 月 13 日以色列-伊朗冲突升级以来,仅发布了一项新的扣押令,日期为 6 月 26 日。在此之前,最近的命令是在 6 月 8 日发布的,这表明尽管紧张局势加剧,但存在明显的延迟。
  • 2024 年 10 月 7 日以来的频率和目标:自以色列-巴勒斯坦冲突爆发以来,已发布了八项扣押令。其中,四项明确将“哈马斯”列为目标,而只有一项——最近的一项——提到了“伊朗”。
  • 目标资产的范围:合并的命令针对广泛的资产,包括:
    • 76 个 USDT(波场)地址
    • 16 个 BTC 地址
    • 2 个以太坊地址
    • 641 个 Binance 账户
    • 8 个 OKX 账户

我们对**76 个 USDT 波场地址** 的链上调查揭示了一个关于 Tether 相对于 NBCTF 扣押令的响应的关键操作洞察。出现了两种不同的模式:

  • 主动黑名单:在相应扣押令公开发布之前,Tether 已经将 17 个与哈马斯有关的地址列入了黑名单。这些先发制人的行动平均提前 28 天发生,最早的发生在官方发布前 45 天。
  • 快速响应:对于在公开披露时未被列入黑名单的其余地址,Tether 响应迅速。在发布扣押令后,平均 2.1 天内被列入黑名单,这表明其在响应官方授权方面的快速操作周转。

这些发现表明稳定币发行方(Tether)与执法机构之间存在紧密合作,在某些情况下甚至存在先发制人的合作——这挑战了加密货币完全独立于监管和安全监督的普遍看法。

结论与 AML/CFT 挑战

我们的调查揭示,USDT 等稳定币提供了强大的交易透明度和控制工具,但它们也给反洗钱(AML)和反恐怖融资(CFT)执法带来了新挑战互联的洗钱循环、跨链混淆、执法延迟以及对中心化交易所的滥用等现象,突显了当前合规生态系统中的系统性漏洞。

几个关键挑战尤为突出:

  • 被动与主动执法:尽管 Tether 表现出主动和被动的黑名单行为,但大多数 AML/CFT 行动仍依赖于事后措施,允许非法行为者在干预前转移大量资金。
  • 交易所的盲点:中心化交易所仍然是洗钱渠道的关键组成部分,经常作为入口和出口点出现。这些关口监控不足或响应缓慢,使得可疑资金流在很大程度上不受阻碍地继续。
  • 跨链洗钱的复杂性:桥梁和多链基础设施的使用增加了追踪的难度,因为非法行为者越来越多地利用监管不严的生态系统和基于桥梁的混淆手段来规避合规检查。

为了解决这些问题,我们建议生态系统参与者——特别是稳定币发行方、交易所和监管机构——加强协作情报共享,投资于实时行为分析,并实施跨链合规框架。只有通过及时、协调和技术先进的 AML/CFT 工作,我们才能有效保障稳定币生态系统的合法性和安全性。

BlockSec 的努力

在 BlockSec,我们致力于提升加密生态系统的安全性和监管韧性。我们在反洗钱(AML)和反恐怖融资(CFT)方面的努力专注于提供可操作的情报、主动检测和可追溯的执法机制。

首先,我们的 Phalcon Compliance 平台旨在帮助交易所、监管机构、金融机构和加密项目(包括加密支付和 DEX)实时检测可疑活动。它提供跨多个链的链上风险评分、交易监控和地址筛选,帮助实体满足合规要求。

与此同时,MetaSleuth 是我们的在线调查工具,它通过直观的可视化和跨链追踪功能,赋能分析师和公众追踪非法资金流。MetaSleuth 已被全球 100 多个执法和合规机构采用,包括金融监管机构、执法部门和全球咨询公司。

这些工具共同体现了我们的使命:在保障去中心化金融系统的完整性的同时,弥合区块链透明度与监管执法之间的差距。

Sign up for the latest updates
The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis
Security Insights

The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis

This BlockSec deep-dive analyzes the KelpDAO $290M rsETH cross-chain bridge exploit (April 18, 2026), attributed to the Lazarus Group, tracing a causal chain across three layers: how a single-point DVN dependency enabled the attack, how DeFi composability cascaded the damage through Aave V3 lending markets to freeze WETH liquidity exceeding $6.7B across Ethereum, Arbitrum, Base, Mantle, and Linea, and how the crisis forced decentralized governance to exercise centralized emergency powers. The article examines three parameters that shaped the cascade's severity (LTV, pool depth, and cross-chain deployment count) and provides an exclusive technical breakdown of Arbitrum Security Council's forced state transition, an atomic contract upgrade that moved 30,766 ETH without the holder's signature.

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026

This BlockSec weekly security report covers four attack incidents detected between April 13 and April 19, 2026, across multiple chains such as Ethereum, Unichain, Arbitrum, and NEAR, with total estimated losses of approximately $310M. The highlighted incident is the $290M KelpDAO rsETH bridge exploit, where an attacker poisoned the RPC infrastructure of the sole LayerZero DVN to fabricate a cross-chain message, triggering a cascading WETH freeze across five chains and an Arbitrum Security Council forced state transition that raises questions about the actual trust boundaries of decentralized systems. Other incidents include a $242K MMR proof forgery on Hyperbridge, a $1.5M signed integer abuse on Dango, and an $18.4M circular swap path exploit on Rhea Finance's Burrowland protocol.

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026

This BlockSec weekly security report covers four DeFi attack incidents detected between April 6 and April 12, 2026, across Linea, BNB Chain, Arbitrum, Optimism, Avalanche, and Base, with total estimated losses of approximately $928.6K. Notable incidents include a $517K approval-related exploit where a user mistakenly approved a permissionless SquidMulticall contract enabling arbitrary external calls, a $193K business logic flaw in the HB token's reward-settlement logic that allowed direct AMM reserve manipulation, a $165.6K exploit in Denaria's perpetual DEX caused by a rounding asymmetry compounded with an unsafe cast, and a $53K access control issue in XBITVault caused by an initialization-dependent check that failed open. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.