數(shù)字貨幣洗錢模式及追蹤分析

江漢祥 蘇玉海

(廈門市美亞柏科信息股份有限公司 福建廈門 361008)

非法獲取暴利是各種經(jīng)濟犯罪的根本目的，犯罪分子為了掩飾、隱瞞其非法經(jīng)濟來源與性質，就需要開展各種形式的洗錢活動，以致“非法財產合法化”“把黑錢洗白”.在這過程中，他們?yōu)榱藨獙?zhí)法機關的偵查取證，要不斷利用新技術，改進方法，優(yōu)化過程，使得洗錢活動不斷專業(yè)化、科技化.因而洗錢活動給執(zhí)法機關的偵查帶來嚴峻的挑戰(zhàn)，必須深入了解洗錢活動，并掌握其關鍵命脈，才能有效破解違法犯罪過程，將犯罪分子繩之以法.

1 洗錢模式的演變

洗錢模式經(jīng)歷了3個階段：傳統(tǒng)洗錢階段、第四方支付洗錢階段和數(shù)字貨幣洗錢階段.

1.1 傳統(tǒng)洗錢模式

傳統(tǒng)洗錢模式主要包括以下4類[1]:

1) 走私攜帶.包括直接攜帶和利用郵件.其中直接攜帶是最原始洗錢方式，也就是俗稱的“水客”.利用郵件是將沒有提交海關報告的資金通過郵件方式混裝運送出去.

2) 購買兌換.將非法所得通過購買特定物品，以改變現(xiàn)金形態(tài)，掩飾隱藏犯罪所得，然后再按照貨幣比值進行兌換，從而達到洗錢的目的.購買的特定物品包括：貴重金屬、古玩、藝術品、證券期貨、境外瀕臨倒閉企業(yè)、保險保單、已中獎獎券等.

3) 非控機構.借助一些不能掌控的相關機構來開展洗錢.這些機構包括金融機構、地下錢莊、民間借貸公司、賭場等.其中地下錢莊是非控機構的典型形式或代表.地下錢莊擁有境內、外兩頭資金池 ，即錢并沒有真的在跨境流動，客戶只是把錢交給地下錢莊境內資金池，并在其境外資金池里得到相應外匯.

4) 可控機構.借助合法經(jīng)營的公司和直接或間接掌控的空殼公司進行洗錢.這種洗錢模式主要包括使用假單證的貿易合同來進行出口貿易，或者做真實信用證下的虛假出口貿易.這是一種相對高級的、在洗錢者掌控下進行資金跨境匯兌的洗錢模式.

1.2 第四方支付洗錢模式

隨著互聯(lián)網(wǎng)金融的蓬勃發(fā)展，自2011年以來，我國央行發(fā)放300多家第三方支付牌照，第三方支付在生活中已遍地開花.正是由于眾多第三方支付產生了支付渠道、支付場景和支付數(shù)據(jù)等碎片化問題，以及支付周期長和資金處理不便等問題，從而產生了第四方支付，也稱聚合支付[2].

第四方支付沒有支付許可牌照的限制，犯罪分子就借第四方支付平臺之名義，行非法洗錢之目的.非法第四方支付平臺與上游各種犯罪團伙之間分工明確，形成錯綜復雜的犯罪網(wǎng)絡，日益成為網(wǎng)絡賭博、網(wǎng)絡詐騙等違法犯罪活動洗錢的主要通道，以及網(wǎng)絡黑灰產業(yè)洗錢的重要工具.

非法第四方支付平臺的典型形式就是跑分平臺，也就是利用正常用戶的支付賬戶(個人賬戶或商鋪賬戶)進行洗錢，為網(wǎng)絡犯罪及黑灰產團伙規(guī)避打擊創(chuàng)造條件.如圖1所示，為了更好地穩(wěn)健運行，平臺會把支付通道剝離給第三方，通過接口方式交互，同時往往與多個支付通道系統(tǒng)對接.同樣，跑分系統(tǒng)前端對接的是大量的“碼商”(即代理商)與“碼農”(最底層利用個人賬戶進行跑分獲取傭金者).有時平臺也可能把跑分系統(tǒng)剝離給第三方，通過接口方式交互.現(xiàn)實中第四方支付平臺與外部對接(包括賭博詐騙等非法平臺、支付通道系統(tǒng)、跑分平臺)都是多對多關系，從而造成全國網(wǎng)絡賭博和詐騙及其洗錢體系成了一張交織的網(wǎng)絡，每個案件都只是這個網(wǎng)絡中的幾個節(jié)點而已.

圖1 非法第四方支付平臺+跑分模式

由于目前國內反詐的高壓態(tài)勢，非法第四方支付開始走向國際化，出現(xiàn)詐騙境外人員的趨勢：

1) 詐騙對象國際化.日本、韓國、俄羅斯以及東南亞國家的群眾都成為新的詐騙對象.

2) 溝通工具國際化.為了達到國際化對象能夠受騙的目的，他們就得使用國際化的溝通工具，如：WhatsApp，Telegram，Skype等.

3) 銀行賬戶國際化.對接的銀行賬戶要與詐騙對象同一個國家，才能達到詐騙效果，因而就得利用境外銀行賬戶.

4) 網(wǎng)絡支付國際化.同樣原因，為了達到詐騙的可信度，就必須對接受害人同一國家的網(wǎng)絡支付平臺.

1.3 數(shù)字貨幣洗錢模式

自2008年1篇題為《比特幣：一種去中心化的加密數(shù)字貨幣系統(tǒng)》的論文發(fā)表以來，以區(qū)塊鏈技術為依托的數(shù)字貨幣，完全去中心化，不受監(jiān)管，交易安全公開且不可逆轉的數(shù)字貨幣系統(tǒng)得到了蓬勃發(fā)展.數(shù)字貨幣最初以非官方機構發(fā)行的加密數(shù)字貨幣形式出現(xiàn)，這些數(shù)字貨幣改變了傳統(tǒng)貨幣的形態(tài)、流通方式及支付方式.目前這類加密數(shù)字貨幣達1萬多種，使用最廣泛的主要有比特幣(BTC)、以太幣(ETH)、泰達幣(USDT)等[3].

2020年以來，全國范圍開展了轟轟烈烈的“斷卡”專項行動，給各類違法犯罪的資金渠道予以沉重的打擊，特別是非法第四方支付洗錢的命脈遭到致命創(chuàng)傷.為此，洗錢團伙開始轉向新興的數(shù)字貨幣渠道.

當前，利用數(shù)字貨幣洗錢的模式主要有以下4種：

1) 直接交易.交易雙方直接達成協(xié)議，用數(shù)字貨幣和等值法幣進行違法犯罪活動的結算，“一手交錢、一手交幣”.這種形式多見于黑灰產與上下游之間的結算，利用數(shù)字貨幣的匿名性來規(guī)避警方的追查.

2) 借用第三方交易.通過直接或間接控制的第三方，利用其與對方進行數(shù)字貨幣結算.這種往往是通過控制境外公司或賬戶，再與境內相關方進行數(shù)字貨幣結算，以達到警方難以追查的目的.

3) 交易所交易.這是目前最主要的數(shù)字貨幣洗錢方法.數(shù)字貨幣交易所一般在境外，交易量大，不便追蹤，監(jiān)管薄弱，因而常被利用以實現(xiàn)匿名地址間或不同種類數(shù)字貨幣間的多次轉換而洗錢.

4) 結合第四方支付平臺交易.其實這是交易所交易洗錢方式的集中體現(xiàn).跑分平臺中原本碼農要給跑分平臺押金，現(xiàn)在去購買數(shù)字貨幣，并轉入跑分平臺提供的充值地址.平臺收集大量充值碼，形成充值碼池，然后與上游賭博詐騙系統(tǒng)對接.上游團伙可以利用數(shù)字貨幣進一步開展復雜交易后再提現(xiàn)，以實現(xiàn)洗錢目的.如圖2所示：

圖2 非法第四方支付平臺+數(shù)字貨幣模式

2 數(shù)字貨幣交易特點與問題

2.1 數(shù)字貨幣交易特點

數(shù)字貨幣是區(qū)塊鏈技術的一種典型應用.區(qū)塊鏈的特性之一為“公開的不可逆的賬本”.這就造成數(shù)字貨幣交易賬本是“公開”的，在公鏈上都能爬取到交易賬本[4]，這似乎對洗錢活動是很不利的.然而，它的另一特征是交易的基于網(wǎng)絡與“非實名性”.也就是說，雖然能看到各個地址間的交易情況，但是實際上交易實體是匿名的，在任何地方利用互聯(lián)網(wǎng)就可以匿名地快速進行數(shù)字貨幣的跨境充值、資金轉移等洗錢活動.數(shù)字貨幣的匿名性及缺乏監(jiān)管為洗錢活動起到隱蔽作用，這也促使它成為洗錢的主要工具[5].

2.2 數(shù)字貨幣應用無監(jiān)管

數(shù)字貨幣在國內沒有得到官方的認可，因而也就沒有相應的管理監(jiān)督措施出臺；另一方面，數(shù)字貨幣又在市場上廣泛流行，各種錢包APP遍地開花，操作簡單，購買便捷，與法幣之間兌換自如.這樣就形成投資、傳銷和洗錢活動等，各種行為魚龍混雜，每年給國民資產造成大量外流.

目前，較為流行的錢包APP有：imtoken，RenrenBit，bitpie，kcash，ubank，Token Pocket，Trust Wallet，Mytoken，DragonEx等等.

2.3 數(shù)字貨幣交易無監(jiān)管

數(shù)字貨幣交易有多種形式，但主要還是通過交易所的方式來實現(xiàn).由于國內不認可數(shù)字貨幣，因而也就無法正規(guī)注冊成立交易所.大量交易所注冊地都在境外，特別是在一些監(jiān)管松散的小國家注冊成立，并在境外架設服務器開展交易服務，起到類似證券交易所的功能，進行充值、換購、提現(xiàn)等交易業(yè)務.

這些交易所大量在境外注冊，數(shù)字貨幣的交易卻是大量中國人在開展.正因為公司在境外，標的物又沒有官方認可，整個過程缺乏監(jiān)管制度，造成有些交易所沒有實名注冊，追查難、調證難.甚至有些交易所實則是非法組織，達到非法暴利目的后就卷款消失.

目前，主要的交易所有：Huobi，Binance，Coinbase，OKEX，BKEX，HBTC，RenrenBit，HOO，ZB，BigONE等.

3 數(shù)字貨幣洗錢追蹤分析

數(shù)字貨幣作為新技術的新興產物，為大多人所不甚了解，加之其所特有的匿名性和無監(jiān)管現(xiàn)狀，給執(zhí)法機關偵查帶來極大的難度，從而也為洗錢者造就了天時地利的條件.

3.1 執(zhí)法人員知識儲備不足

追蹤數(shù)字貨幣洗錢往往需要具備區(qū)塊鏈相關的專業(yè)知識，然而這些新技術對于大多執(zhí)法者而言都較為陌生，因而也就缺乏偵查這類洗錢的能力，造成以下不良后果：

1) 有些基層遇到此類案件就知難而退，讓犯罪分子逍遙法外；

2) 有些辦案人員對此一知半解，從而偵查中缺乏思路，不知重點，邏輯混亂，最后打草驚蛇或草草了結，以致犯罪分子僥幸法外；

3) 部分辦案人員不知借助外力，遇到交易的匿名狀態(tài)后一籌莫展，或是知道交易所后無法取得調證的進展，最終錯過案件黃金時間，使得犯罪分子溜之大吉.

3.2 難以克服的匿名性

數(shù)字貨幣是基于區(qū)塊鏈技術，所以其交易在區(qū)塊鏈上是公開的，而且不能進行修改與刪除操作[6]，大家都能查詢得到.但問題是其所有交易地址是匿名的，因而對辦案人員來說這種只有哈希地址的交易記錄基本是沒有偵查意義的.如圖3所示，“星號”地址的交易對象及交易數(shù)量在鏈上都能夠查詢并展示，但每個交易地址只是一串哈希值，這種交易圖無法給下一步偵查提供幫助的.這就是區(qū)塊鏈的交易匿名性給辦案人員帶來的工作問題.

圖3 數(shù)字貨幣匿名交易記錄

3.3 交易所調證和凍結難

基于區(qū)塊鏈的數(shù)字貨幣發(fā)行只是一種數(shù)學算法的運行，不是國家發(fā)行，因而交易過程也沒有國界.在國內沒有官方認可數(shù)字貨幣的情況下，大量的交易所注冊在境外，交易服務器也在境外.因而沒有官方的調證通道，更談不上凍結與預警功能.目前，只有個別交易所在國內設有辦事處，從而對國內的辦案相對配合度比較好.但是大多交易所沒有正規(guī)的調證渠道，甚至需要國際刑警組織協(xié)調.這種情況下從組織上與時間上都無法滿足案件辦理的需要.

3.4 數(shù)字貨幣洗錢應對思路

為了了解數(shù)字貨幣交易過程，特別是個人與交易所之間的交易過程，以及交易過程在公鏈及交易所上的記錄情況，我們先舉例加以說明.

例如： 張三把1個比特幣(BTC)通過交易所換成5萬個泰達幣(USDT).

如圖4所示，張三首先應該在錢包APP上有個錢包地址(A)，里面有1個比特幣(BTC)；他需要換幣，所以就在某交易所上注冊，并獲取1個充值地址(B)，然后用地址A給地址B充值1個比特幣.這時交易所會自動把B中的1個比特幣轉入交易所自己的熱錢包(C).如果熱錢包數(shù)額已經(jīng)太大，則會從C中轉入一定數(shù)額數(shù)字貨幣到交易所的冷錢包.接著，用戶需要把充入的1個比特幣換成5萬個泰達幣.則交易所會從其泰達幣熱錢包地址(D)中提取5萬個泰達幣轉入張三的泰達幣錢包地址(E).這樣，整個交易過程結束.

圖4 數(shù)字貨幣交易流程

對于這個交易過程，公鏈及交易所上都記錄了什么，對數(shù)字貨幣洗錢偵辦的意義何在.實際上，如圖5(a)所示，公鏈上有3筆記錄:第1筆是張三的錢包地址A給交易所充值地址B充值1個比特幣;第2筆記錄是從地址B自動轉入交易所熱錢包地址C;第3筆記錄是用戶提幣5萬個泰達幣，從交易所泰達幣熱錢包地址D到用戶錢包地址E的過程.從這3筆記錄上，我們無法判斷用戶把數(shù)字貨幣轉入了交易所，也無法判斷第3筆記錄與第1筆記錄有關.正是因為交易的匿名性，無法判斷B是交易所充值地址，也無法判斷C和D是同一交易所熱錢包地址，更無法判斷A和E是張三的2個錢包地址.即使我們把B，C標簽了同一個交易所，我們還是無法將第3筆記錄與第1筆記錄關聯(lián).

圖5 數(shù)字貨幣交易日志記錄

那么交易所上會記錄怎樣的日志呢？盡管每個交易所的日志有所差別，但大致都會記錄2條記錄，如圖5(b)所示.第1條是張三從地址A給地址B充值了1個比特幣，第2條是張三提取了5萬個泰達幣到地址E.只有通過交易所的這種實名的記錄，我們才能把這2筆記錄關聯(lián)在一起，而且也才知道是張三行為.所以交易所調證對數(shù)字貨幣洗錢的偵辦是極其重要的.

鑒于以上數(shù)字貨幣調查中的問題，我們不僅要對辦案人員加強培訓和普及知識外，還要從以下幾個方面強化能力，從而破解數(shù)字貨幣調查的難題.

3.4.1 強化數(shù)字貨幣地址的取證與采集能力

獲取數(shù)字貨幣錢包地址是數(shù)字貨幣調查的起點，因而辦案人員需要具備從APP中獲取錢包地址的能力.同時取證裝備更應該具備獲取各種錢包APP的地址能力.一方面可以通過取證提醒工作人員所取證對象的介質中存在數(shù)字貨幣錢包；另一方面也彌補有些工作人員尚未掌握獲取錢包地址能力的問題.

更關鍵的是，執(zhí)法機關當前對大量嫌疑人員的手機等介質進行取證時，錢包APP數(shù)據(jù)尚未有效采集與匯聚.所以應當強化錢包地址的提取采集能力，并制定數(shù)據(jù)標準，有效匯聚相關數(shù)據(jù).通過時間與空間維度的積累就可以形成大量錢包地址的虛實對應庫.這些知識庫可以直接對辦案中的交易數(shù)據(jù)進行打標，也可以脫敏后再進行打標.給大量的錢包地址開展實名化打標工作能夠為數(shù)字貨幣交易匿名性的難題作出部分應對.

3.4.2 強化交易地址的標簽能力

解決交易匿名性的最好辦法就是給交易地址打標簽，標簽的類別有：

1) 交易所地址.包括交易所充值地址、熱錢包地址、冷錢包地址，同時還要標識出是否與交易所建立調證通道.

2) 錢包地址.能根據(jù)上述收集的錢包地址實名打標庫進行關聯(lián)，標識出實名錢包.

3) 惡意地址.對于曾經(jīng)涉嫌洗錢、詐騙、敲詐等犯罪的錢包地址，要根據(jù)收集的惡意地址庫進行關聯(lián)打標.

這里的關鍵是如何準確、全面地標簽出交易所地址.主要方法有以下幾種：

1) 獲取熱錢包地址.通過模擬對某個交易所開展數(shù)字貨幣交易從而追蹤到該交易所的熱錢包地址.模擬次數(shù)越多獲取的熱錢包地址就越多.

2) 獲取充值地址.在公鏈上追蹤上述熱錢包地址，所有轉入這個地址的都是交易所充值地址.

3) 判定冷錢包地址.在公鏈上追蹤上述熱錢包地址，大筆轉入某個地址(特別是有2個以上熱錢包地址都給其大筆轉入時)，同時這個地址交易都是大筆金額，那么這個地址可判定為交易所的冷錢包地址.

4) 再次獲取熱錢包地址.所有給冷錢包地址轉入的都是交易所的熱錢包地址.

通過以上方法不斷循環(huán)擴展，就能夠給大量的交易所地址打上標簽，從而解決交易匿名的問題.

3.4.3 交易鏈條的可視化

可視化展示是數(shù)字貨幣洗錢交易過程最好呈現(xiàn)，能夠簡潔明了地展現(xiàn)出交易過程.當然圖形位置的算法是可視化直觀性的重點，但對于交易匿名性的數(shù)字貨幣而言，更重要的是在可視化圖形上打出標簽.如圖6所示，經(jīng)過打標地址，原來圖3的匿名展示就轉換成有交易所、有惡意地址和有實名錢包地址的可視化圖.圖中清晰地展現(xiàn)出什么地址是錢包、什么地址是交易所、交易所是否可調證(綠色標識)、哪些地址是惡意地址(紅色標識)、錢包地址實名化標簽等等.這樣才會給辦案人員帶來便捷，提高工作效率.所以交易可視化是上述地址標簽能力、交易所標簽能力的集中體現(xiàn).

圖6 數(shù)字貨幣交易標簽化

3.4.4 建立交易所通道機制

能夠根本性克服數(shù)字貨幣交易匿名性的唯一關鍵點就是交易所，因為大多交易所在交易前需要用戶進行KYC實名認證[7]，從而把匿名與實名關聯(lián)起來.在交易所調取相關證據(jù)后就能夠得到交易實名，同時也只有交易所的相關日志才能把公鏈上的各種交易記錄關聯(lián)起來，形成完整的洗錢鏈條.因而有效建立交易所的調證通道是辦理數(shù)字貨幣洗錢的關鍵環(huán)節(jié).

目前的調證通道往往是臨時性的、松散的，一方面沒有官方的法律程序認證體系，另一方面通道是否暢通完全任由天命，無法掌控與缺乏保障, 缺乏正規(guī)的渠道與制度保證.因而急待建立一個統(tǒng)一的官方通道，規(guī)范認證審批程序，穩(wěn)定通道有效性，從而有效保障調證、凍結等法律措施的順利開展.

4 結束語

本文闡述了洗錢模式的演變，從傳統(tǒng)地下錢莊、“水客”模式到第四方支付模式，以及到當前興起的數(shù)字貨幣洗錢模式.然后重點分析了數(shù)字貨幣洗錢的現(xiàn)狀與問題，并作出應對措施，也就是對交易匿名性的破解，即交易所地址打標、錢包地址實名化打標，建立交易所調證通道，并做好交易過程的可視化展示等幾個方面，為打擊數(shù)字貨幣洗錢工作提出了一些方法和建議.但本文只針對主要洗錢的方法，即交易所交易模式，并沒有針對更復雜的混幣交易[8]、跨鏈交易等作出解釋與應對措施，這將是下一步的重點研究方向.