我们使用 MetaSleuth 追踪了六个受制裁地址,资金几乎全部流经中心化交易所的充值地址。
BlockSec 研究 · 2026 年 6 月
2026 年 5 月 20 日,美国财政部海外资产控制办公室(OFAC)制裁了一批与墨西哥锡那罗亚卡特尔有关联的个人和实体,指控其为芬太尼贩毒活动提供洗钱支持:在美国境内收取毒品现金,将其转换为加密货币,再通过跨境转账将资金转回墨西哥。此次行动延续了美国在将主要卡特尔列为恐怖组织后所采取的执法立场,将芬太尼资金网络视为一种毒品恐怖主义融资行为。
两名受制裁个人留下了尤为清晰的链上踪迹。其一是 Armando de Jesus Ojeda Aviles,OFAC 认定其为卡特尔 Los Chapitos 派系的关键洗钱协调人,负责将美国毒品现金转换为加密货币并转回墨西哥。其二是 Rodrigo Alarcon Palomares,他是 Ojeda Aviles 网络的成员,负责在美国境内收取现金,并参与加密货币洗钱活动。两人合计对应制裁名单上的六个以太坊地址。
关于信息来源的说明:上述人员背景及制裁认定信息均来自财政部的公开公告。以下关于资金结构和规模的所有结论,均来自 BlockSec 使用 MetaSleuth 对受制裁地址进行的独立链上重建分析。
五个受制裁地址:毒品资金如何洗回交易所
Ojeda Aviles 名下的五个受制裁地址并非独立钱包。在链上,它们构成了一个具有清晰上下游关系的洗钱网络。当我们将这五个地址导入 MetaSleuth 的同一张关系图后,结构一目了然:其中三个是 Binance 充值地址,另外两个则位于这三个地址的上游。交易所在整张关系图中频繁出现——资金从多个交易所直接或间接流入,经由这些地址中转,最终被洗回交易所。
图 1. Ojeda Aviles 五个受制裁地址的资金网络(关系图仅展示金额较大的路径,未包含全部交易):资金从多个交易所流入,经由这些地址中转,最终洗回 Binance。(来源:BlockSec MetaSleuth)
仅作为资金汇聚节点的三个 Binance 充值地址,处理资金总额便超过 400 万美元,MetaSleuth 将该集群标记为"高危"。换言之,该网络的实际规模更大,这三个地址只是直接可见的部分。
最值得关注的是两个上游地址。除向受制裁的 Binance 充值地址输送资金外,这些资金还流向了另外两个尚未受到制裁的 Binance 充值地址。根据资金路径和行为特征,这两个地址极有可能属于同一洗钱网络,只是尚未出现在 OFAC 名单上。这正是链上分析相较于制裁名单的价值所在:名单给出的是已知节点,而追踪链上资金流向往往能够补全名单遗漏的节点。
图 2. 上游地址不仅向受制裁的 Binance 充值地址输送资金,还与两个尚未受到制裁、但可能属于同一网络的充值地址存在关联。(来源:BlockSec MetaSleuth)
Ojeda Aviles 网络的 MetaSleuth 关系图(仅展示金额较大的路径,未包含全部交易):https://metasleuth.io/result/eth/0x038989cbb1710c72b9920dc4fa529158f463e72c?source=0ac18a5e-1134-4ee1-b03a-ebae63a0337c
现金收款人的地址就是一个 Coinbase 账户
相比之下,负责在美国境内收取现金的 Alarcon Palomares,其链上画像更为简单,却同样耐人寻味。他的受制裁地址本身就是一个 Coinbase 充值地址:资金主要来自 Coinbase,也主要流回 Coinbase。
图 3. Alarcon Palomares 受制裁地址的资金流向:本质上是一个 Coinbase 充值地址,资金在 Coinbase 之间进出流转。(来源:BlockSec MetaSleuth)
这意味着该角色的洗钱活动主要发生在一个具备完整 KYC 流程的中心化交易所内部,很可能依托一个已完成身份核验的账户进行操作。与 Ojeda Aviles 的多跳网络不同,现金收取环节的资金路径短、交易对手集中,而这恰恰是合规筛查最具优势、最能有效发现并阻断的活动类型。
Alarcon Palomares 受制裁地址的 MetaSleuth 视图:https://metasleuth.io/result/eth/0xaC4cC4B68ea24BbFAAC8fD127B67Ed445ACcCE22?source=c5a43e44-8fb3-4e6f-ac52-a3e860ee4249
链上关系图告诉我们什么
将两人的资金路径并排对比,有几个事实比任何单一数字都更值得关注。
第一,这条芬太尼洗钱链高度依赖中心化交易所。 无论是 Ojeda Aviles 的三个 Binance 充值地址,还是 Alarcon Palomares 的 Coinbase 充值地址,资金均通过交易所充值通道进出,而非借助混币器或复杂的跨链桥。交易所充值环节仍是毒品资金上链和套现的关键节点。
第二,制裁名单是起点,而非全貌。 与 Ojeda Aviles 上游地址相关联的两个尚未受到制裁的 Binance 充值地址提醒我们:一个洗钱网络的链上足迹,往往比执法机构在任何特定时刻能够公开点名的范围更大。只有将名单上的地址作为种子节点,重建完整的资金流向,才能看清网络的真实边界。
第三,分工明确,但路径短促。 Ojeda Aviles 负责资金归集与跨境转移,Alarcon Palomares 负责现金收取。两者角色不同,但无论哪条链路,链上路径都并不复杂。对于交易所和支付机构而言,这意味着风险可以在资金进入平台之前就被识别出来。
对交易所和支付机构的启示
对虚拟资产服务提供商而言,最直接的警示是:高风险资金可能在你不知情的情况下进入你的平台。毒品收益在抵达交易所之前,可能已经经过了多层地址转账。如果缺乏有效的链上风险识别机制,平台很容易在充值或场外结算环节收到来自受制裁实体的资产,一旦发生这种情况,资金可能遭到冻结,并引发监管调查和牌照风险。
正因如此,越来越多的交易所和支付机构正在将链上风险筛查前移至资金充值之前:对地址进行实时评分,标记其是否与受制裁实体、贩毒网络或异常资金路径存在关联。这种充值前筛查正在从合规加分项演变为核心基础设施。
本次制裁行动涉及的所有个人和地址均已纳入 BlockSec 的情报数据库,我们将持续追踪这些地址和网络的链上活动。对于交易所、支付机构和合规团队,Phalcon Compliance 提供地址和交易的实时风险筛查、精准的地址标签系统以及资金流向分析,帮助识别高风险地址、追溯非法资金来源;本文中的网络重建工作则使用了我们的资金追踪调查平台 MetaSleuth 完成。
如需自行开展链上地址风险筛查,欢迎免费试用 Phalcon Compliance,访问地址:blocksec.com。
