近日,美國財政部外國資產控制辦公室(ofac)宣佈,兩名中國公民因為透過比特幣場外兌換(otc)業務幫助朝鮮 lazarus 駭客團隊洗錢而遭受制裁,據ofac公開的資訊,涉案金額達到了9100萬美元。而被制裁的一位中國公民表示,自己對此並不知情,他從被指控的另一中國公民在可盈可樂場外交易平臺購買比特幣後,資產因此於2018年末被平臺凍結,所以他也是受害者。
據公開訊息,本次案件涉及了lazarus竊取的價值2.5億美元的數字資產,駭客將相關比特幣資產轉入四個交易所,而涉案的兩位中國公民正是在這些交易所透過otc服務參與到了洗錢過程中。
自然的,人們紛紛猜測涉案的數字資產盜竊案件是哪一起,在向媒體披露的文章中,ofac儘管沒有提及具體交易所名稱,但是提及了相關過程,2018年4月,某交易所員工下載了郵件中的lazarus分發的惡意程式,從而讓駭客侵入系統,並被盜取金鑰。接著,該交易所價值2.5億美元的數字資產被竊取,佔到了當年lazarus預計竊取的數字資產總量的一半,而2018年也被認為是該駭客組織最活躍的一年。
根據公開披露的資訊,2018年4月後對外承認被盜取數字資產數額較大的交易所主要有coinrail、bithumb、zaif,這些日韓交易所被盜都曾經被猜測認為與lazarus相關。當然,我們也不排除一些交易所儘管被盜,但是並未對外披露,而是直接向執法部門報案。
根據相關資訊,北京鏈安透過chainsmap鏈上追溯系統試圖對相關過程進行一定程度的還原,並揭示當前行業在數字貨幣非法活動反洗錢方面面對的挑戰。
ofac在其官網上公佈了兩位中國公民涉案的20個地址,其中li, jiadong(以下簡稱li)涉及地址12個,tian, yinyin(以下簡稱tian)涉及8個地址,透過我們的地址標籤庫可以查詢到它們屬於coincola、localbitcoins等至少四家交易所。這些地址首筆交易最早發生於2017年7月,最晚發生於2018年10月,目前相關地址都已經不再活躍。
我們進一步統計了相關地址流入的比特幣數量,需要注意這只是一個單向交易量的概念,不排除有重複來回的進出。儘管localbitcoins在涉案的20個地址中佔了至少9個地址,但是這些地址大都只是使用一兩次,涉及的歷史金額加起來也只有67枚。coincola成為了涉案兩人主要的otc交易的交易所,li在該交易所的一個地址歷史流入比特幣金額達到了1449btc,而tian在coincola的5個地址涉及的歷史流入比特幣總額更超過了8000btc,在這裡我們再次強調這裡提及的btc流入量是一個歷史交易記錄累積的概念。同時,這些比特幣數額也是相關地址第一筆交易後的總額,本次ofac指控的洗錢交易也只是其中的一部分。
那麼,涉及lazarus的交易又有什麼特點呢?我們根據這些地址的歷史交易,經過回溯和關聯發現了一批相關交易,這裡我們僅舉一例。
2018年月12日,一筆3800btc的相關大額比特幣utxo開始不斷轉賬並分出一些比特幣流入交易所,圖中我們可以看到即包括了ofac公開的涉案地址,每次流入30btc。
從這3800btc的來源來看,絕大部分來自於2018年6月25日到7月5日由hitbtc轉出的數額大多以數十枚比特幣為單位的轉賬。那麼是不是hitbtc被駭客攻擊了呢?從這些交易來看可以排除這種可能,因為它們都是由熱錢包發起的同時向多個無關聯地址發起的數額差別較大的交易,即典型的交易所滿足使用者提幣需求的出幣交易。而在涉案的localbitcoins地址中,接收的比特幣更是大都直接來源於一些交易所的提幣。
由於lazarus此前攻擊的交易所盜取的數字資產不僅僅是比特幣,還涉及多類幣種,所以我們可以推測在其洗錢過程中存在進入一些交易所將其他幣種在場內交易兌換成比特幣後,再轉移到其它交易所場外交易變現的過程。同時,根據披露的資訊,相關比特幣變現後不單單進入銀行賬戶,甚至140萬美元流入蘋果itunes的禮品卡中,更讓數字貨幣洗錢已經跟傳統的多種洗錢方式緊密結合。
綜合來看,儘管ofac公佈的資訊涉及的是一起具體的交易所被盜案,但是實際涉案的數字資產很可能來源於多起駭客盜幣事件,且中間經過了場內交易,並流向了更多行業和服務的資金渠道。北京鏈安認為,當前的數字資產洗錢已經是跨交易所、跨幣種、跨行業的複雜過程,無論從行業還是政府監管角度,都急需專業的技術手段、法律法規,以及行業的共識和協作。