1. Antecedentes da investigação

Com base em consensos distribuídos e incentivos económicos, a blockchain fornece novas soluções para o estabelecimento, armazenamento e transferência de valor num espaço de rede aberto e sem permissão. No entanto, com o rápido crescimento do ecossistema cripto nos últimos anos, a criptomoeda tem sido cada vez mais utilizada em várias atividades de risco, fornecendo um método de transferência de valor mais oculto e conveniente para jogos de azar online, indústria negra online, lavagem de dinheiro e outras atividades

Enquanto isso, a criptomoeda é uma das infraestruturas chave da indústria cripto. Um grande número de empresas da web3 também usam stablecoins como o USDT como a principal forma de recolher fundos e efetuar pagamentos. No entanto, essas empresas geralmente ficam sem mecanismos sólidos de controle de risco, como AML, KYT e KYC, resultando em USDT que tem sido usado para atividades de risco fluir desenfreadamente para endereços comerciais, causando danos aos fundos nos endereços da empresa e dos clientes.

Este relatório pretende divulgar os métodos de utilização e a escala da criptomoeda em atividades criptográficas arriscadas, e rastrear o fluxo de fundos relacionados com atividades de risco, analisando dados em cadeia, de modo a lançar luz sobre a ameaça de fundos criptoativos arriscados para as empresas web3.

2. Objetos de investigação

O dano social causado por atividades ilegais e criminosas na Internet está a tornar-se cada vez mais grave. Este dano inclui não só a violação direta de bens pessoais e segurança pública social, mas também riscos legais indiretos para indivíduos ou entidades comerciais causados por indústrias a montante e a jusante relacionadas com atividades ilegais e criminosas. Nos últimos anos, todos os países intensificaram os seus esforços para reprimir atividades ilegais e criminosas na Internet e fizeram alguns progressos na legislação penal e na investigação ecológica na Internet. No entanto, o cibercrime continua a ser um problema persistente a ser completamente erradicado, especialmente com o surgimento de novos ciberespaços como o blockchain. Os jogos de azar online tradicionais, a indústria subterrânea online, o branqueamento de capitais, etc. usaram criptomoedas ou infraestruturas criptográficas em atividades de risco. Isto, por sua vez, cria obstáculos à identificação legal relevante e à supervisão da aplicação da lei.

2.1 Jogos de azar online

O jogo refere-se a apostar dinheiro ou coisas de valor material num evento com um resultado incerto. O objetivo principal é ganhar mais dinheiro ou valor material e, ao mesmo tempo, os participantes ganham prazer espiritual através do jogo do dinheiro e da propriedade. O jogo online refere-se ao comportamento de jogo usando a Internet, demonstrado em vários tipos. Basicamente, todos os principais métodos de jogo na vida real podem ser realizados na Internet.

Na China, qualquer pessoa que estabeleça um site de jogos de azar numa rede de computadores para fins de lucro, ou aja como agente de um site de jogos de azar para aceitar apostas, insere-se na categoria de “abrir um casino”, conforme estipulado no artigo 303 da Lei Penal. Se os cidadãos da República Popular da China se reúnem para jogar ou abrir casinos em áreas circundantes fora do território do nosso país, com o objetivo de atrair cidadãos da República Popular da China como principal fonte de clientes, e isso constitui um crime de jogo, eles também podem ser responsabilizados criminalmente de acordo com as disposições da Lei Penal.

No entanto, noutros países ou regiões, as definições legais de jogos de azar e aberturas de casino são diferentes:

De acordo com a Portaria de Jogos de Hong Kong, China, exceto corridas de cavalos regulamentadas, apostas em futebol e loteria Mark Six, ou outros estabelecimentos de jogo licenciados (como salões de mahjong) e atividades de jogo isentas da lei, outras atividades de jogo são ilegais;

De acordo com o U.S. Illawful Internet Gambling Enforcement Act, é ilegal realizar transações com sites de jogos de azar online através de instituições financeiras. No entanto, a legislação estadual é desigual e existem diferenças na determinação da direção da aplicação da lei para as leis de jogos de azar online e atividades ilegais e relacionadas.

De acordo com um comunicado do Gabinete de Inspeção e Coordenação de Jogos de Macau, China, o governo da RAE de Macau nunca emitiu uma licença de jogo online. Portanto, qualquer informação e sites de apostas que promovam atividades de jogo online em nome do governo da RAE de Macau são falsos e ilegais. O público que conduza jogos de azar online nesses sites não está protegido pelas leis da RAE de Macau.

Pode-se ver que o jogo online não é ilegal em todos os países ou regiões, e os fundos de jogo utilizados pelas plataformas de jogo online licenciadas e regulamentadas pelos departamentos do governo local não podem ser considerados fundos de risco. Portanto, a investigação da Bitrace sobre as atividades de jogo online limita-se a plataformas de jogos de azar que operam empresas de jogos de azar sem licença, agentes de plataformas de jogos de azar que aceitam apostas de utilizadores fora do âmbito das licenças de exploração e instituições de pagamento que fornecem serviços de liquidação de fundos para os dois primeiros.

As plataformas tradicionais de jogos de azar online e os seus agentes, tais como instituições, ajudam os jogadores a liquidar fundos construindo os seus próprios sistemas centralizados de recarga, transação e levantamento de criptomoedas ou acedendo a ferramentas de pagamento de criptomoeda. Tais comportamentos serão difíceis de serem regulados ou aplicados por agências governamentais devido à natureza anónima da criptomoeda. Novas plataformas de jogo online de hash estão instaladas na rede blockchain. As apostas dos jogadores, liquidação de apostas, precipitação de fundos e cobrança são geridas através de contratos inteligentes, com spread mais amplo e desenvolvimento e mudança mais rápidos.

2.2 Indústria subterrânea da Internet

As indústrias cibernéticas subterrâneas referem-se a indústrias de grande escala e baseadas em cadeia que são formadas no processo de implementação ou ajuda a implementar atividades ilegais e criminosas através de vários meios técnicos com o objetivo de procurar benefícios ilegítimos no ciberespaço. Em essência, têm a finalidade de obter benefícios ilegais ou perturbar a ordem ecológica online. Actualmente, a criptomoeda e algumas infraestruturas da indústria cripto foram grandemente integradas em toda a ecologia da rede subterrânea.

Ao introduzir criptomoedas em atividades ilegais, ou usar ferramentas criptográficas para substituir os meios técnicos originais, a indústria clandestina tradicional da internet aumenta o engano e a destrutividade de certas atividades ilegais e reduz a possibilidade de atividades a montante e a jusante serem percebidas ou sancionadas pelos departamentos governamentais. A nova indústria clandestina de blockchain tem como alvo direto os ativos criptoativos de investidores ou instituições, o que é uma atividade ilegal e criminosa nativa da indústria cripto.

Este relatório apenas divulga algumas das atividades subterrâneas típicas que utilizam criptomoeda.

2.3 Branqueamento de capitais

O branqueamento de capitais é um ato de legalização de rendimentos ilegais. Refere-se principalmente ao uso de rendimentos ilegais e aos rendimentos gerados para encobrir e ocultar a sua origem e natureza através de vários meios para torná-lo legal na forma. As suas ações incluem mas não se limitam a fornecer contas de capital, auxiliar na conversão de formulários de propriedade, auxiliar na transferência de fundos ou remetê-los para o estrangeiro. As criptomoedas — especialmente as stablecoins — foram exploradas por atividades de branqueamento de capitais muito cedo devido aos seus baixos custos de transferência, desgeograficização e certas características anticensura. Esta é uma das principais razões que levaram as criptomoedas a serem criticadas.

As atividades tradicionais de lavagem de dinheiro usam frequentemente o mercado OTC de criptomoedas para trocar de moeda legal para criptomoeda, ou de criptomoeda para moeda legal. Os cenários de lavagem de dinheiro são diferentes e as formas são diversas, mas não importa o que, a essência deste tipo de comportamento é bloquear os agentes da lei de investigar ligações financeiras, incluindo contas em instituições financeiras tradicionais ou contas em instituições criptográficas.

Diferente das atividades tradicionais de lavagem de dinheiro, o alvo de lavagem de dinheiro de novas criptomoedas é a própria criptomoeda, e a infraestrutura da indústria de criptografia, incluindo carteiras, pontes entre cadeias e plataformas de negociação descentralizadas, será usada ilegalmente.

3. O uso de criptomoeda em atividades de jogo online

3.1 Como a criptomoeda é utilizada nas plataformas tradicionais de jogos de azar online

Nos últimos anos, tornou-se muito comum as plataformas de jogos de azar online e os seus agentes aceitarem criptomoedas como fichas, incluindo:

Algumas plataformas de jogos de azar online estabeleceram de forma independente sistemas completos de gestão centralizada para depósitos, transações e retiradas de criptomoedas. Os jogadores precisam comprar criptomoeda (principalmente USDT) de uma plataforma de terceiros e transferi-la para o endereço de depósito atribuído pela plataforma de jogo online a cada jogador para obter fichas. Depois que o jogador iniciar um aplicativo de retirada de moeda, a plataforma começará a partir do endereço unificado da hot wallet e transferirá fundos para o endereço de destino, e a sua lógica de implementação de negócios é consistente com a das principais plataformas de negociação de criptomoedas.

Algumas plataformas de jogos de azar online fornecem aos jogadores canais de depósito e levantamento através do acesso a ferramentas de pagamento criptográfico. Os jogadores não depositam USDT diretamente na plataforma de jogos de azar online, mas transferem dinheiro para a conta da plataforma de pagamento, e as necessidades de levantamento também são satisfeitas por esta última. As liquidações de fundos são realizadas regularmente entre plataformas de jogos de azar online e plataformas de pagamento, para que os detalhes do seu negócio possam ser extraídos através da correlação de fundos.

Tome uma plataforma de jogo que usa USDT para aceitar apostas como exemplo. A plataforma ajuda os jogadores a fazer depósitos e levantamentos em USDT, conectando-se a uma plataforma de pagamento de criptomoeda. A Bitrace conduziu uma auditoria de fundos num dos endereços de carteira quente. Entre 27 de janeiro de 2022 e 25 de fevereiro de 2022, este endereço processou um total de mais de 1.332 milhões de pedidos de depósito e retirada de USDT de jogadores.

Na prática da análise de fundos, verifica-se que geralmente as plataformas de jogos de azar online com maior escala de negócios criarão as suas próprias seções de função de depósito e retirada de criptomoedas, enquanto a maioria das plataformas de jogos de azar online de pequeno e médio porte escolherá aceder a plataformas de pagamento de criptomoeda. De acordo com a monitorização da plataforma de auditoria de risco de fundos de endereços DeTrust, entre setembro de 2021 e setembro de 2023, um total de mais de 46,45 mil milhões de USDT fluíram diretamente para plataformas tradicionais de jogos de azar online, ou plataformas de pagamento criptográfico que fornecem serviços de depósito e levantamento para plataformas de jogos de azar online.

Entre eles, as alterações na escala dos fundos de jogo online em 2021 correspondem ao desenvolvimento do mercado secundário de criptomoedas naquele ano. O crescimento da escala de novembro de 2022 a janeiro de 2023 pode estar relacionado com o grande número de atividades de jogo durante o Campeonato do Mundo daquele ano.

Uma análise das fontes de USDT de endereços transferidos para plataformas de jogos de azar online mostra que mais de 7,43 mil milhões de USDT vieram diretamente de plataformas de negociação centralizadas, representando 16% do total de entrada. Este lote de fundos é ou os jogadores que depositam diretamente do endereço de troca para a plataforma de jogo online, ou o casino e os seus agentes realizam a rotatividade de fundos através da plataforma de negociação. Considerando que os fundos de endereço de segundo nível de outros endereços também vêm da plataforma de negociação centralizada, este número está claramente subestimado. Isto mostra que as plataformas centralizadas de negociação de criptomoedas estão a ser utilizadas para servir a indústria de jogos de azar online.

3.2 Como a nova criptomoeda Hash é utilizada no jogo online

Cada transação na cadeia de blocos corresponderá a um valor hash único. Este valor é gerado aleatoriamente e não pode ser forjado. Portanto, algumas plataformas de jogos de azar online desenvolveram um jogo de adivinhação de hash baseado nisto. A regra é adivinhar o hash da transação: adivinhe se o último dígito ou números são ímpares ou pares, grandes ou pequenos, nos quais o resultado da ação de adivinhação é determinado e as apostas são divididas.

Tome a típica jogabilidade de “adivinhe o número da cauda” como exemplo. O jogador precisa iniciar uma transferência para o endereço de apostas. Se o valor de hash da transferência terminar com um número ou letra específica, o jogador ganha e a plataforma devolve o dobro depois de deduzir alguns pontos; se os últimos números não corresponderem, o jogador perde e as fichas não serão devolvidas.

Portanto, esses endereços de jogos de azar online na cadeia muitas vezes se manifestam como transações de fundos de valor fixo de alta frequência com vários endereços, resultando numa enorme escala de interações com fundos.

Finalmente, com um grande número de jogos e plataformas variantes, este tipo de jogo online de hash já foi muito popular devido ao seu ritmo acelerado e jogabilidade justa. No entanto, como a jogabilidade é demasiado transparente e os fundos são facilmente roubados por hackers, a escala e a quota de mercado destes jogos foram bastante reduzidas.

4. O uso de criptomoeda em atividades da indústria subterrânea

4.1 Como a criptomoeda é usada na indústria subterrânea tradicional

4.1.1 Investimento e fraude financeira

Investimento e fraude financeira é um tipo de fraude de investimento online. Os golpistas muitas vezes afirmam ser “especialistas na indústria” através das redes sociais e outros canais, e atraem a vítima para uma plataforma falsa (normalmente uma APP) ao compreender, preocupar-se e solicitar a vítima, fraudando assim os fundos de investimento. Nestas APPs fraudulentas, os investidores começam a investir grandes quantias depois de receberem lucros pequenos ou mesmo grandes através de investimentos, jogos de azar, compra e venda de bens, compra e venda de títulos, etc. No entanto, neste momento, basicamente todos os fundos serão perdidos e nunca recuperados. Quando a vítima descobriu que os fundos da APP não podiam ser “retirados” e os chamados “especialistas” não podiam ser contactados, de repente percebeu que tinha sido enganado.

Este tipo de fraude tradicional de investimento online também começou a usar criptomoedas ou ferramentas criptográficas para fraudar nos últimos anos, tomando como exemplos a fraude emocional e a fraude clandestina de referência USDT.

4.1.1.1 Fraude emocional

A fraude emocional é frequentemente combinada com fraude de investimento, mas as principais vítimas são utilizadores não-cripto. Os fraudadores criam personalidades online perfeitas e usam a forma de namoro online para induzir parceiros de namoro online a comprar USDT para participar em investimentos em criptomoedas, como arbitragem cambial, negociação de derivativos, mineração de liquidez, etc.

A vítima ganha uma grande quantia de dinheiro com os seus “investimentos” num curto período de tempo e é encorajada a investir mais. Mas na verdade, o USDT da vítima não participou realmente nas chamadas atividades de arbitragem. Em vez disso, foi transferido para lavagem depois de ter sido transferido para a plataforma. Ao mesmo tempo, o pedido de retirada da vítima seria rejeitado pela plataforma por várias razões, até que a vítima finalmente descobrisse que foi enganado.

4.1.1.2 Fraude de referência subterrânea do USDT

A fraude clandestina de referência do USDT é um método fraudulento disfarçado de lavagem de dinheiro. A plataforma geralmente afirma ser uma plataforma de tomada de pedidos para branquear fundos USDT envolvidos no caso, mas na verdade é uma farsa de investimento. Uma vez que os participantes invistam uma grande quantidade de USDT, a plataforma recusar-se-á a devolver o dinheiro por vários motivos.

Tomemos uma “plataforma de referência subterrânea do USDT” que ainda está em funcionamento como exemplo. Permite aos utilizadores usar o “USDT limpo” para trocar por “USDT subterrâneo” a uma “taxa de câmbio” de 1:1.1 ~1.45. O utilizador recolhe o USDT subterrâneo e depois transfere-o para outras plataformas para vender, e a parte excedente é o rendimento da “pontuação” do utilizador.

Até agora, o grupo de fraudes obteve ilegalmente mais de 870.000 USDT através do mesmo método. 784 endereços independentes transferiram USDT para endereços fraudulentos, mas apenas 437 endereços receberam o dinheiro de volta. Quase metade dos participantes não teve sucesso na “arbitragem”.

4.1.2 APP falsa

As aplicações falsas referem-se às aplicações em que os criminosos utilizam vários meios para reembalar aplicações genuínas e passá-las como genuínas. As aplicações falsas que combinam criptomoeda incluem principalmente carteiras falsas e aplicações falsas do Telegram.

4.1.2.1 APP de carteira falsa

O roubo de moeda da APP de carteira falsa é um método de roubar dinheiro induzindo outras pessoas a descarregar e instalar uma APP de carteira falsa com um backdoor para roubar a frase inicial da carteira e depois transferir ilegalmente os ativos de outras pessoas. Ladrões de moedas colocam links de download de aplicativos de carteira falsa em motores de pesquisa, lojas de aplicativos móveis não oficiais, plataformas sociais e outros canais. Depois que a vítima descarregar e instalar a aplicação e criar ou sincronizar o endereço da carteira, a frase inicial será enviada ao ladrão de moedas. Assim que a vítima transferir uma quantidade maior de criptoativos, as moedas roubadas serão transferidas em lotes ou automaticamente.

Actualmente, este método tem sido altamente industrializado. O negócio da equipa de desenvolvimento de carteira falsa e da equipa de operação e promoção estão completamente separados. O primeiro só participa no desenvolvimento e manutenção de produtos, e vende soluções de produtos recrutando agentes em todo o mundo; o último só precisa promover o aplicativo de carteira falsa. Nem precisa de compreender os princípios da encriptação.

O roubo de múltiplas assinaturas é uma variante do falso roubo de carteira. A tecnologia multi-assinatura significa que vários utilizadores assinam um ativo digital ao mesmo tempo. Pode ser simplesmente entendido que uma conta de carteira tem várias pessoas com direitos de assinatura e pagamento ao mesmo tempo. Se um endereço só puder ser assinado e pago por uma chave privada, a expressão é 1/1 e a expressão de multi-assinatura é m/n. Ou seja, um total de n chaves privadas podem assinar uma conta e pode pagar por uma transação quando os endereços a assinarem.

A essência do tradicional roubo de carteira falsa é partilhar os direitos de controlo da carteira com a vítima. O ladrão de moedas não pode impedir a vítima de transferir ativos. No entanto, com base no princípio da tecnologia multi-assinatura, o ladrão de moedas integrará imediatamente a multi-assinatura no endereço da vítima depois que a vítima instalar o aplicativo de carteira falsa. Quando o endereço pessoal é adicionado à multi-assinatura, o próprio proprietário da carteira não poderá transferir os ativos da carteira, e só pode transferi-los para dentro mas não para fora, e o ladrão de moeda poderá transferir os ativos a qualquer momento, o que muitas vezes depende do momento em que a vítima transfere grandes quantias de fundos.

4.1.2.2 APP de telegrama falso

A aplicação típica de falsas APPs na indústria clandestina relacionada com criptomoedas é a implantação maliciosa de backdoor na APP do Telegram. O Telegram APP é um software social comumente usado por investidores em criptomoedas, e muitas atividades de negociação sem receita dependem deste software. Os fraudadores vão usar métodos de ataque de engenharia social para induzir o alvo a “descarregar” ou “atualizar” a falsa APP do Telegram. Uma vez que o utilizador alvo colará o endereço blockchain através da caixa de chat, o malware irá identificá-lo e substituí-lo e enviar o endereço malicioso, fazendo com que a contraparte, que não sabe disso, envie fundos para um endereço malicioso.

4.1.3 Garantia de pagamento de terceiros para a indústria subterrânea

Garantia de pagamento de terceiros significa que depois que o comprador e o vendedor chegarem a uma intenção ou acordo de transação de mercadoria online, o comprador paga o pagamento a um terceiro primeiro e o terceiro o mantém temporariamente. Depois que o comprador receber as mercadorias e inspecioná-las corretamente, ele notifica o intermediário terceiro, após o qual o terceiro pagará o pagamento ao vendedor para concluir toda a transação. Na verdade, é um método de serviço de pagamento online que utiliza um terceiro como intermediário de crédito para supervisionar temporariamente o pagamento de mercadorias para compradores e vendedores antes que o comprador confirme o recebimento dos bens. Durante esta transação, o intermediário terceiro cobrará uma certa percentagem das taxas de serviço.

Atualmente, algumas plataformas clandestinas de garantia de pagamento de terceiros, além dos canais tradicionais de moeda legal, também começaram a usar amplamente o Tether (principalmente TRC20-USDT) como fundos garantidos para fornecer serviços incluindo câmbio ilegal de moeda, transações ilegais de commodities e cobrança ilegal de fundos. Os serviços de garantia de pagamento são fornecidos para transações, incluindo pagamentos de agências e transações de criptomoeda envolvidas no caso. Embora os tipos de transação sejam diferentes, o processo de transação é consistente.

Normalmente, um dos compradores e vendedores vai pagar a plataforma de garantia de pagamento para colocar um anúncio na área de publicidade, seja numa área específica do site ou no grupo oficial do Telegram. O anúncio indicará o tipo de transação, os requisitos da transação e o método de pagamento em detalhe.

Após a conclusão da negociação entre o comprador e o vendedor, eles precisam entrar em contato com o serviço ao cliente da plataforma de garantia de pagamento para estabelecer um “grupo especial”. O grupo especial é um grupo de telegramas não público utilizado apenas para comunicação de transações. Os seus membros incluem compradores, vendedores e robôs de grupo especial. Em princípio, as transações um-para-muitos não são permitidas e nenhum pessoal irrelevante pode ser adicionado.

O vendedor precisa que o comprador transfira o pagamento para a conta oficial da plataforma de garantia e forneça o certificado. Este processo chama-se “staking”. O comerciante notificará o vendedor para entregar a mercadoria depois de confirmar o pagamento; em seguida, o vendedor começará a enviar a mercadoria depois de receber o aviso de entrega do comerciante. O comprador confirma então o recebimento da mercadoria e notifica o comerciante para liberar o empréstimo. Depois de receber a confirmação do recibo do comprador ou o aviso de empréstimo, o comerciante deduz a comissão e libera o empréstimo ao vendedor e fornece o voucher de empréstimo; finalmente, o vendedor confirma o pagamento do recibo, a transação está concluída.

A plataforma não atribui endereços independentes aos utilizadores para isolar fundos em cada transação. Em vez disso, todos os depósitos são enviados para o mesmo endereço de depósito dentro de um período de tempo. Assim, este endereço recebe diretamente uma grande quantidade de fundos relacionados com jogos de azar online e indústrias clandestas, branqueamento de capitais e outros fundos de risco. Ao mesmo tempo, devido à sua enorme escala de fundos, também confunde a direção dos fundos até certo ponto e cria obstáculos para as atividades de rastreamento dos investigadores.

A auditoria dos endereços conhecidos da plataforma que garantem atividades de negociação ilegal mostrou que o tamanho dos seus fundos garantidos tem estado numa tendência crescente nos últimos 12 meses, incluindo mais de 17,07 mil milhões de USDT na rede TRON e mais de 670 milhões de USDT na rede Ethereum, indicando que a maioria das transações ilegais asseguradas por essas plataformas ocorrem na rede TRON.

4.2 Novas formas de usar criptomoeda pela indústria clandestina

4.2.1 Roubar moedas através de autorização

Roubar moedas através de autorização é uma técnica de roubo de moeda que transfere ilegalmente os ativos de outras pessoas ao roubar os direitos de gestão do USDT dos endereços de outras pessoas. Cadeias públicas como Tron e Ethereum permitem aos utilizadores transferir os direitos de operação de um determinado ativo na carteira para outros endereços. Este último obterá assim os direitos de gestão de parte ou de todos os ativos da morada e pode ligar para o contrato a qualquer momento para transferir os ativos autorizados no endereço.

Este tipo de pedido de autorização de roubo de moeda malicioso é normalmente disfarçado como um link de pagamento, um acesso a reclamar airdrop, contrato interativo e outros honeypots. Assim que a vítima for induzida a interagir, um ativo no endereço - normalmente USDT - será autorizado ao destinatário sem restrições e será transferido usando o método “transferFrom” posteriormente.

Os ladrões de moedas muitas vezes enganam a vítima alvo fazendo-a clicar no link de phishing e executar o contrato inteligente fraudulento. Neste momento, a frase inicial da carteira da vítima não vazou. Portanto, certas perdas ainda podem ser recuperadas cancelando a autorização a tempo.

4.2.2 Phishing de transferência zero

O phishing de transferência zero é uma farsa que tem como alvo os investidores em criptomoedas que não utilizam aplicações de carteira corretamente. Ao enviar um grande número de transações USDT com um valor de 0 para um endereço blockchain não especificado, o registo de interação do endereço de destino pode ser aumentado sem permissão. Se uma pessoa não especificada tentar copiar o endereço do registo de transferência existente no dispositivo inteligente ao iniciar uma transferência para um endereço, é possível enviar fundos para o endereço errado, causando perdas.

A Bitrace conduziu uma análise de fundos num grande número de endereços fraudulentos que foram marcados como endereços de phishing na rede Tron e definiu transações com valores de transferência inferiores a 1 USDT destes endereços como uma atividade de phishing e transações com mais de 10 USDT como receitas fraudulentas.

A nossa pesquisa mostra que o âmbito de atividade e dano das atividades de phishing de transferência zero têm vindo a expandir-se. A partir de agora, mais de 451 milhões de fundos USDT na rede TRON foram perdidos devido a ataques de phishing.

4.2.3 Fraude falsa de arbitragem de moedas de plataforma

Um método comum de fraude de arbitragem envolvendo moedas de plataforma falsas é que o fraudador alega falsamente ter desenvolvido um certo “contrato de arbitragem inteligente”. Os participantes só precisam investir uma certa quantidade de criptomoeda no contrato para obter uma quantidade excessiva de outra criptomoeda conhecida, como Binance Coin, Huobi Points e OKX Coin. Depois de obterem “ganhos de arbitragem”, os participantes podem obter lucros liquidando-os no mercado de negociação de terceiros.

Os primeiros testes com pequenas quantias devolverão realmente o excesso de criptomoeda, mas uma vez que a vítima investe uma grande quantia, os tokens falsos serão devolvidos e o último não terá nenhum valor de mercado. Esta técnica de fraude é antiga mas eficaz, e ainda há um grande número de variantes ativas na comunidade de investidores em criptomoedas. Não só causa perdas financeiras aos investidores comuns, mas também causa danos negativos ao valor da marca do impostor.

4.2.4 Negociação de endereços de conta fixe do Tron

Como as atividades clandestinas tradicionais, os criminosos da indústria de criptografia clandestina também precisam criar ou comprar identidades virtuais antes de realizar atividades ilegais e criminosas. Nas atividades subterrâneas tradicionais, são contas bancárias e informações de identidade. Nas atividades criptográficas subterrâneas, é o endereço da cadeia de blocos. Normalmente, esses endereços são personalizados e obtidos de prestadores de serviços profissionais de endereços interessantes.

Nas atividades de jogo online, os operadores da plataforma de jogos de azar online Hash são frequentemente utilizadores dos endereços de conta fixos do Tron. Eles vão comprar contas legais a granel de prestadores de serviços de contas legais profissionais e usar essas contas como endereços comerciais, para realizar funções incluindo recebimento e pagamento de fundos, armazenamento, transferência ou aceitação de apostas, liquidação de fundos, etc.

Nas atividades subterrâneas, a personalização de contas legais deu origem diretamente a uma variante mais refinada da pesca com transferência zero - pesca com o mesmo número de cauda. Em comparação com as transferências normais e generalizadas zero USDT direcionadas a objetos blockchain inespecíficos, o phishing com o mesmo número é frequentemente personalizado. Os fraudadores copiarão o primeiro e o último números dos endereços de contraparte comumente usados do alvo e transferirão mais dinheiro.

O custo deste tipo de atividade de pesca é elevado. De acordo com a cotação de um determinado fornecedor de serviços de conta TRON cool, pode ver-se que um endereço personalizado de oito dígitos leva 12 horas a ser entregue e é vendido por 100 USDT. A mesma conta de oito dígitos custa apenas 100 USDT.

Além dos prestadores de serviços de conta fixos do TRON, alguns prestadores de serviços de robôs de chat em grupo Telegram APP, fornecedores de serviços de código fonte de sites, prestadores de serviços de ferramentas de transferência em lote, prestadores de serviços de filas rápidas de SEO e outros grupos também fornecem assistência semelhante aos participantes em atividades ilegais. Este artigo não explicará em pormenor as circunstâncias de lucrar com isso.

5. Como a criptomoeda é utilizada em atividades de branqueamento de capitais

5.1 Formulários em que a criptomoeda é usada no branqueamento de capitais tradicional

O uso de criptomoedas nas atividades tradicionais de branqueamento de capitais visa transferir pagamentos de utilizadores de alto risco para as contas de utilizadores de baixo risco, contornando assim as medidas de controlo de risco das instituições de pagamento. Isso geralmente assume a forma de trocar a moeda legal envolvida no caso por fundos criptoativos no mercado de balcão de criptomoeda, ou trocar os fundos criptoativos envolvidos no caso em moeda legal, a fim de bloquear o link de capital e evitar rastreamento e repressões.

Um cenário típico de lavagem de dinheiro roubado é que depois de os fraudadores defraudarem o dinheiro da vítima, eles rapidamente dividem os fundos em pequenas quantias e os transferem para vários cartões bancários sucessivamente, e depois organizam o “vendedor de cartões” para retirar o dinheiro, e depois transferem o dinheiro por indivíduos, carros ou aviões ou transporte público para o local do bando de lavagem de dinheiro. No passado, este dinheiro era frequentemente utilizado para comprar mercadorias, ou convertido em divisas e fluía para fora do país, mas agora é mais frequentemente utilizado para comprar USDT offline. Este lote de USDT será então convertido em dinheiro no mercado OTC de criptomoeda ou será retirado diretamente do país ou de outros grupos de lavagem de dinheiro para processamento posterior. Neste processo, os mercados de negociação de balcão da plataforma de negociação USDT ilegal, plataforma de garantia de pagamento e plataforma de negociação centralizada desempenham um papel importante.

5.1.1 Plataforma USDT ilegal

A plataforma USDT ilegal é um novo método de branqueamento de capitais. O seu modelo básico é combinar transações em moeda digital com plataformas tradicionais de “benchmark”. Primeiro, os organizadores da plataforma recrutaram comerciantes USDT comprando grandes quantidades de USDT e transferindo-os para bolsas no exterior para vendê-los e ganhar a diferença de preço. Em seguida, exigiram que os comerciantes registassem contas de câmbio de moeda digital com os seus nomes reais e vinculassem os cartões bancários com os seus nomes pessoais. Os transferentes precisam comprar uma certa quantia de USDT como depósito de negociação e aposta na plataforma “benchmark”. O organizador da plataforma abrirá uma conta para o cedente na plataforma para marcar o valor e o preço unitário do USDT disponível para venda com base no valor do depósito em USDT pago pelo transferente, e também anotar a conta bancária do destinatário e outras informações. Quando fraudes de telecomunicações no exterior e outras gangues criminosas precisarem receber dinheiro roubado, eles primeiro farão uma ordem com o cedente para comprar USDT através da plataforma “benchmark” e, em seguida, instruirão a vítima a transferir dinheiro para a conta bancária reservada pelo transferente na plataforma. Quando a vítima transfere o seu activo para a conta do fraudador, o fraudador confirma a transação na plataforma, completando assim a primeira transferência do dinheiro roubado. Depois disso, o cedente usou o dinheiro roubado para continuar a comprar USDT da bolsa e retirar as moedas para a plataforma de benchmarking num ciclo repetitivo, ganhando a diferença de preço do USDT e a comissão da plataforma no processo.

Este tipo de atividade chama-se “receber USDT indiretamente” por gangues de lavagem de dinheiro, o que pode ajudar criminosos upstream e gangues de lavagem de dinheiro a evitar completamente os riscos de dinheiro roubado e autenticação de nome real na plataforma de negociação.

5.1.2 Equipa de referência

Além de recrutar pessoal de referência para lavar dinheiro roubado, os branqueadores de dinheiro também costumam usar o modelo mais direto de “equipa de referência” para lavar dinheiro. O formulário é basicamente o mesmo que o da negociação ilegal de USDT, mas a diferença é que, no modelo da “equipa de referência”, as transações de criptomoeda OTC ocorrem offline e são entregues em dinheiro. Primeiro, o líder da equipa recrutará um grande número de pessoas reais para se registarem em contas de cartão bancário de nome real. Quando os criminosos upstream (os chamados “proprietários de materiais”) obtêm ilegalmente dinheiro roubado (o chamado “material”), entram em contacto com o líder da equipa através de uma plataforma ilegal de garantia de pagamento de terceiros para receber encomendas; Em seguida, uma grande quantidade de fundos será dividida e transferida para vários cartões bancários sob o controlo da equipa. Se o dinheiro é dinheiro preto em primeira mão, chama-se “material de primeira mão”. Se for dinheiro preto em segunda mão ou em terceira mão, chama-se “material de segunda mão” e “materiais de terceira mão”, dos quais o último tem riscos financeiros mais baixos e comissões mais baixas; então o líder da equipa conduzirá com o condutor para recolher o proprietário do cartão correspondente para retirar dinheiro num multibanco local. Após vários levantamentos em dinheiro, o líder da equipa continuará a usar o seu transporte pessoal ou público para transportar o dinheiro para um local designado para transações offline; finalmente, com a intervenção de uma plataforma de garantia de pagamento de terceiros, o líder da equipa transfere o dinheiro para o alvo para ganhar comissão, e a outra parte transfere o USDT para o endereço de garantia para concluir o processo de lavagem de dinheiro.

Este tipo de atividade de branqueamento de capitais assume a forma de transferências de contas bancárias multicamadas, levantamentos em dinheiro em multibanco e transações offline de criptomoeda. Não só interrompe o link de rastreamento de fundos muitas vezes, mas também contorna a supervisão de fundos bancários.

A Bitrace realizou uma auditoria de fundos em alguns endereços da rede Tron que estavam marcados como tendo riscos de branqueamento de capitais e com um montante de fundo superior a 1 milhão de USDT. O período de auditoria foi de setembro de 2021 a março de 2023, e o conteúdo da auditoria foi transferência de USDT.

Os dados mostram que de setembro de 2021 a março de 2023, os endereços com riscos de lavagem de dinheiro na rede TRON tiveram entrada total de mais de 64.25 mil milhões de USDT, e a escala dos fundos não foi afetada pelo mercado em baixa no mercado secundário das criptomoedas. Não é difícil ver que os participantes do negócio não são investidores no verdadeiro sentido.

5.2 Como os Cryptos são utilizados de uma nova forma no branqueamento de capitais

Para os cibercriminosos nativos da indústria cripto, as trocas anónimas baseadas em infraestruturas criptográficas e ofuscação em cadeia são os métodos mais utilizados para branquear fundos.

5.2.1 Confusão de fundos na cadeia

As plataformas de divisão de fundos em cadeia e de mistura de moeda são os canais mais comuns para confusão de fundos.

A divisão de fundos significa que os criminosos usam transações complexas e em várias camadas para transferir moedas virtuais passo a passo através de diferentes endereços e contas de carteira e, finalmente, transferi-las para os endereços de carteira de associados no exterior, cortando assim a conexão entre entrada e saída de capital e borrando a moeda virtual. Este método é igualmente eficaz em atividades de branqueamento de dinheiro em criptomoedas e é um método comum usado por profissionais para lidar com fundos na indústria clandestina.

Tome a tela de endereços de um caso de fraude de investimento e financiamento como exemplo. Depois de recolher os fundos encriptados da vítima, os ganhos ilegais foram divididos através de vários canais de fundos e, finalmente, recolhidos em alguns endereços de conta de câmbio para retirar os fundos.

A mistura de moedas é misturar a criptomoeda do utilizador com as moedas de outros utilizadores e depois transferir a moeda mista para o endereço de destino para encobrir o caminho do fluxo de moeda original, tornando difícil rastrear a origem e o destino da criptomoeda. Portanto, muitas plataformas de mistura de criptomoedas foram sancionadas por governos de vários países, incluindo o mais conhecido Tornado.cash, que foi sancionado pelo Office of Foreign Assets Control (OFAC) do Departamento do Tesouro dos EUA em 8 de agosto de 2022. Alguns dos endereços Ethereum relacionados com eles estão incluídos na lista de nacionais especialmente formulados nos Estados Unidos. Uma vez adicionados a esta lista, os direitos de propriedade e propriedade de indivíduos ou entidades relacionadas enfrentarão o risco de serem congelados.

Mas apesar disso, uma vez que o contrato de mistura de moeda do Tornado.Cash é público e sem licença, outros utilizadores ainda podem realizar atividades de mistura de moeda ligando diretamente para o contrato. Tomemos o ataque OnyxProtocol que ocorreu a 1 de novembro de 2023 como exemplo. O atacante obteve a taxa de tratamento do endereço através da plataforma de mistura de moeda e lavou ainda mais os fundos.

5.2.2 Troca anónima na cadeia

As plataformas de negociação sem KYC e as pontes de cadeia cruzada são os dois canais de troca anónimos on-chain mais importantes.

Até agora, excepto alguns endereços físicos que foram sancionados, este tipo de infraestrutura de encriptação não implementou mais controlos de risco em fundos de encriptação de risco ou endereços de encriptação de alto risco. Como resultado, os fundos ilegais podem muitas vezes ser trocados nestes endereços imediatamente após um ataque.

Veja-se o ataque do Nirvana Finance que ocorreu a 25 de junho de 2023 como exemplo. Depois que o atacante obteve ilegalmente os fundos encriptados da instituição vítima, transferiu imediatamente parte dos fundos para a THORWallet DEX, que é uma plataforma de negociação descentralizada sem permissão e altamente privada que permite aos utilizadores conduzir diretamente trocas entre cadeias de blocos sem divulgar informações sobre a transação. Portanto, o THORWallet pode ser visto em muitos incidentes de segurança de encriptação que ocorreram no passado.

6. Fundos de encriptação arriscados contaminam endereços corporativos web3

6.1 Abordar a poluição em plataformas de negociação centralizadas

As plataformas de negociação centralizadas são um dos locais mais importantes para o branqueamento de fundos USDT arriscados. Neste relatório, a Bitrace auditou 126 endereços de hot wallet de plataformas de negociação centralizadas comuns e conduziu uma auditoria de fundos criptoativos relacionados com jogos de azar online, indústrias clandestas e atividades de lavagem de dinheiro. A sua situação de entrada de janeiro de 2021 até o presente também foi totalmente investigada.

De janeiro de 2021 a setembro de 2023, um total de mais de 41,52 mil milhões de USDT em risco fluíram para algumas plataformas de negociação centralizadas na rede Tron, incluindo 22.579 mil milhões de USDT relacionados com jogos de azar online, 10.570 mil milhões de USDT relacionados com ativos subterrâneos e 8.373 mil milhões de USDT ligados ao branqueamento de capitais.

De janeiro de 2021 a setembro de 2023, um total de mais de 3.315 mil milhões de USDT arriscados fluíram para algumas plataformas de negociação centralizadas na rede Ethereum, incluindo 1,1 mil milhões de USDT relacionados com jogos de apostas online, 1.842 mil milhões de USDT relacionados com a indústria subterrânea e 372 milhões de branqueamento de capitais ligado ao USDT.

Não é difícil ver pelo montante total de fundos de risco e pela proporção de fundos de risco que a escala de utilização ilegal do USDT na rede Tron é maior do que a da rede Ethereum, e a proporção de fundos de risco na categoria de jogos de azar online é maior. Isto é consistente com o que foi observado na prática. A situação é consistente - os agentes do casino e os jogadores comuns preferem usar o Tron USDT para poupar taxas de manuseamento.

6.2 Poluição no mercado OTC

Além do setor OTC de plataformas de negociação centralizadas, certas plataformas de pagamento, grupos de investidores em criptomoedas e comunidades aceitadoras estabelecerão mercados OTC de uma certa escala. Esses locais carecem de mecanismos KYC e KYT completos e não podem lidar com transações. É difícil julgar o risco de capital da contraparte, e é difícil limitar os fundos de risco depois, e uma proporção maior de USDT arriscado fluirá frequentemente para ele.

A Bitrace conduziu uma auditoria de fundos em endereços com características típicas de mercado OTC e um tamanho de fundo de mais de 1 milhão de USDT. Os dados mostram que nos últimos dois anos, pelo menos 3.439 mil milhões de USDT associados a atividades de risco fluíram para estes endereços, com o volume de entrada a aumentar ao longo do tempo e basicamente não a ser afetado pela desaceleração do mercado secundário.

6.3 A plataforma de pagamento encriptada aborda a poluição

Como uma das infraestruturas no domínio das finanças descentralizadas, as ferramentas de pagamento de criptomoeda fornecem serviços de liquidação de fundos para instituições blockchain, por um lado, e certos serviços de aceitação de criptomoedas para utilizadores comuns, por outro. Portanto, enfrentam a mesma poluição arriscada de capital cripto.

A Bitrace conduziu uma auditoria de fundos nos principais endereços de plataformas de pagamento criptográfico que servem principalmente clientes no Sudeste Asiático e no Leste Asiático. Os dados mostram que entre janeiro de 2021 e setembro de 2023, um total de mais de 40,51 mil milhões de USDT em risco fluíram para estes endereços, dos quais 334,6 mil milhões estavam na rede Tron e 7.04 mil milhões de USDT estavam na rede Ethereum. Em quase todos os momentos, o risco de USDT na rede TRON polui a plataforma de pagamento criptográfico mais seriamente do que a rede Ethereum.

7. Conclusões e sugestões

Os participantes em jogos de azar online, indústria clandestina, lavagem de dinheiro e outras atividades estão a fazer uso extensivo de criptomoedas, incluindo USDT, para aumentar o anonimato dos fundos e evitar o rastreamento por agências reguladoras e de aplicação da lei. O resultado direto é que as empresas Web3 que operam negócios de criptografia compatíveis e os investidores comuns em criptomoedas não têm a capacidade de identificar riscos financeiros e coletar passivamente esses fundos de criptografia relacionados a atividades de risco, o que, por sua vez, faz com que os endereços dos fundos sejam contaminados e até se envolvam no caso.

As organizações do setor devem reforçar a sua consciência sobre o controlo do risco de capital, estabelecer ativamente a cooperação com as agências locais de aplicação da lei e aceder a serviços de inteligência sobre ameaças fornecidos por fornecedores de segurança para perceber, identificar, prevenir e bloquear fundos cifrados arriscados para proteger os seus endereços comerciais e endereços de utilizador de serem poluídos.

7.1 Reforçar a sensibilização para o controlo do risco de capital

Além das atividades básicas do know-your-user (KYC) - verificar a verdadeira identidade dos clientes, a execução da transação e a fonte de fundos de acordo com a lei, as instituições do setor também devem realizar o monitoramento anormal das transações do cliente e responsabilidades de gestão (KYT) e relatar violações em tempo hábil. Realizar uma gestão hierárquica de utilizadores com atividades financeiras suspeitas de risco e adoptar medidas de gestão para restringir algumas ou todas as funções da plataforma.

7.2 Compreender ativamente as leis e regulamentos locais e cooperar com as agências de aplicação da lei

As plataformas precisam estabelecer ou confiar uma equipa profissional para conduzir o encaixe de conformidade e a revisão de pedidos de aplicação da lei de todo o mundo, ajudar a identificar, combater e prevenir atividades criminosas relacionadas com a moeda, reduzir as perdas económicas causadas e impedir que os fundos na plataforma, endereços comerciais e contas de utilizadores sejam poluídos.

7.3 Estabelecer uma rede de inteligência de ameaças e um mecanismo de partilha de informações

As organizações do setor precisam prestar atenção à inteligência de rede de código aberto e ficar de olho nos endereços de ataque e nos fundos relacionados aos atuais incidentes de segurança de criptografia para garantir que possam contrariar os fundos envolvidos no fluxo para a plataforma o mais rápido possível; eles também precisam acessar fontes externas de inteligência de ameaças para cooperar com dados criptográficos e empresas de segurança para estabelecer retratos DID para usuários e adotar restrições de controle de risco apropriadas para endereços associados a endereços de risco e não têm um bom histórico de interação. E com base nisso, estabelecer e manter uma base de dados aberta de inteligência contra ameaças partilhada por toda a indústria para garantir a segurança e a confiança de toda a indústria.

Isenção de responsabilidade：

1. Este artigo foi reimpresso de [panews]. Todos os direitos de autor pertencem ao autor original [Bitrace]. Se houver objeções a esta reimpressão, contacte a equipa do Gate Learn, e eles tratarão disso imediatamente.
2. Isenção de responsabilidade: As opiniões e opiniões expressas neste artigo são exclusivamente do autor e não constituem nenhum conselho de investimento.
3. As traduções do artigo para outras línguas são feitas pela equipa do Gate Learn. A menos que mencionado, é proibido copiar, distribuir ou plagiar os artigos traduzidos.