「這個計畫確實是我組織策劃的,我想知道你們是怎麼找到背後的操盤手的?按我的理解,你們是不可能找到我的,你們靠的是什麼?”
以上是莘縣公安局辦理「12.04」虛擬幣傳銷案所揭露的辦案細節,犯罪嫌疑人傳銷頭目張某在審訊過程中,非常不解的詢問辦案民警這個問題。
邵律師在日常辦理涉黑灰產及虛擬貨幣類刑事案件的時候,很多當事人也會有這樣的疑問,比如會問我:「邵律師,當時做這個事情的時候我人在國外,我的上家也在國外,我們平時也是用TG(飛機軟體)溝通的,閱後即焚。虛擬貨幣交易不是匿名的?咋公安就能抓到我呢?
所以今天就來聊聊,虛擬貨幣類刑事案件當中,公安是如何追蹤虛擬貨幣的交易過程並鎖定犯罪嫌疑人身分的?
1 虛擬貨幣交易
真的匿名嗎?
虛擬貨幣作為區塊鏈技術的應用之一,有著去中心化、保護隱私、降低交易成本、高回報率等優點,但同時,由於其一定程度上的匿名性,往往又會被一些不法分子所利用,使虛擬貨幣進行洗錢、灰黑產相關交易的工具。
但虛擬貨幣其實並非完全匿名的,因為交易過程在鏈上是公開的,只是地址不直接關聯身分。另外,由於虛擬貨幣交易所需要遵守了解你的客戶(KYC) 和反洗錢(AML) 規則,這也使得執法部門更容易追蹤區塊鏈上的交易。
由於虛擬貨幣背後有一個公開的、不可竄改的帳本。所以虛擬貨幣交易取證對公安機關來說,其實很友善。
公安機關是如何進行幣流追蹤
鎖定嫌疑人身分的?
可能在早年,各地公安機關對於涉幣類案件缺乏了解,立案偵查的案件數量不多,很多被害人也維權無門。
但隨著辦案單位對虛擬貨幣的認識不斷加深,對於虛擬貨幣流向進行鏈上資料追蹤以及資料研判的能力其實也在不斷加強。簡單介紹幾種常見手段:
1. 鏈上位址關聯分析
透過區塊鏈瀏覽器(如Tronscan、歐科雲鏈)分析交易圖譜,能夠辨識出地址間的共同輸入(Common Input) 和資金歸集模式。例如,多個位址頻繁地向同一目標位址轉賬,可推斷為相同實體控制。
根據邵律師代理涉幣類案件的經驗來看,虛擬貨幣傳銷犯罪案件、開設賭場罪案件當中,常會使用此分析手段。
在上文提到的聊城「12.04」虛擬幣傳銷案中,警方發現傳銷平台透過TokenPocket錢包產生多個地址歸集資金,最終將資金流向主地址,並透過交易所提領。透過分析這些地址的交易頻率和資金規模,鎖定主謀人員。
在邵律師代理的多起開設賭場類案件當中,賭場與支付結算人員的收益結算過程,同樣是以歸集地址為突破口,鎖定涉案人員身分。
2. 交易所KYC調證
目前,大部分主流的虛擬貨幣交易所(如:幣安Binance、歐易OKX、火幣HTX)以及數位錢包平台(如:ImToken)都會在官網上公開配合執法的政策規則以及配合內地公安執法的專門通道。
執法人員可以以郵件的方式向交易所發送協查函,要求調取嫌疑人的註冊資訊、人臉照片、理財資訊、充提幣交易,各幣種錢包地、法幣交易、幣幣交易、合約交易、登入IP,MAC等設備資訊。
另外,交易所也會應執法部門的要求,凍結嫌疑人帳戶內的虛擬貨幣,凍結期限一年,但到期前執法機構可以申請續約。
3. 手續費(Gas費)、交易哈希追踪
每一筆虛擬貨幣的成功交易,都需要支付Gas fee(TRX / ETH等)。那麼在追蹤犯罪嫌疑人收取贓物的錢包地址時,可以追溯嫌疑人從交易所購買Gas 費的記錄。例如警方分析涉案地址的Gas費來源,發現是透過幣安帳戶購買TRX支付手續費,以鎖定交易所帳戶。
在虛擬貨幣交易中,交易哈希可以確保交易的唯一性和不可竄改性,每筆交易產生的哈希值都是獨一無二的。透過交易哈希可以看出交易詳情,如發送方地址、接收方地址、交易金額、交易費等。
辦案人員將Gas費交易記錄、交易雜湊提供給虛擬貨幣交易所,即可取得嫌疑人的KYC資訊(如護照、身分證、信箱、手機號碼等)。
4. 設備指紋與IP關聯
辦案人員透過交易所或錢包的登入IP、裝置ID(如手機IMEI、MAC位址)關聯多個位址的操作行為,從而鎖定目標。
如在麻省理工駭客兄弟案中,FBI透過分析嫌疑人使用的VPN日誌和裝置指紋,發現其多次登入同一交易所帳戶,最終定位實體位置[i]。
5. 跨鏈兌換與混幣破解
許多嫌疑人以為交易跨鏈或使用混幣器,就可以更好的隱匿身份,但並非如此。
跨鏈追蹤:透過跨鏈橋(如比特幣→以太坊)的交易哈希,追蹤資金轉移路徑。
混幣分析:使用鏈上指紋技術(如交易時間、金額模式)識別混幣器(如Tornado Cash)的輸入輸出位址。
如美國司法部在追回科洛尼爾管線贖金時,透過分析駭客的「鍊式洗錢」路徑,最終截獲一串以「dh77gls」字元結尾的關鍵位址的私鑰[ii]。
6.國際合作與穩定幣凍結
對USDT等穩定幣,公安可要求發行方(如Tether公司)凍結涉案地址資金。也可以進行國際合作。
例如湖北荊門警方偵破的一起涉案流水達4000 億的跨國網路賭博案(全國「虛擬貨幣第一案」),據報道,「因該平台全部用虛擬貨幣結算,公安機關就與該虛擬貨幣發行機構進行對接,將相關涉案虛擬貨幣帳戶凍結」。
再例如在四川內江5,500萬以太坊竊盜案中,據報道,「為了偵破這起案件,四川警方與新加坡、美國、荷蘭開展了14次國際合作,在實戰中提煉出1套分析區塊鏈位址的技戰法,調取境外虛擬貨幣資料70餘次,溯源區塊地址20000個區塊地址20000個交易」[iii]。
7.從最終的出金流向倒查
嫌疑人所持有的虛擬貨幣,在大部分國家,是不能直接用於日常消費的,所以黑灰產交易總有一個出口,也就是將虛擬貨幣兌換為法幣。那幫助兌換法幣的人,就成了追查上游犯罪人員身分的突破口。
8.異常交易觸發風控
許多人的銀行卡被凍結的原因就在於,由於頻繁的快進快出交易觸發了銀行的風控系統。而在Web3的世界裡,也是同理。
一般情況下,一般炒幣人員是會把資金放在平台上買賣,而不是經常性的進行大額資金的高頻率快進快出。所以,在對於幣流追蹤事實,如果發現地址存在資金的快進快出,則會被視為可疑地址。
結語
不法分子會誤以為:虛擬貨幣交易是匿名的、所以辦案人員無法鎖定自己的真實身分;虛擬貨幣交易所都在國外,國內公安肯定難以調查取證;透過跨鏈、混幣器就無法追蹤等等。因此,會肆無忌憚的從事黑灰產量交易。然而,這種僥倖心理最終只會讓他們陷入更深的困境。
但有些當事人在被抓後,會和我探討自己有多麼後悔,但他們後悔的並非是觸犯了法律,而是後悔當初沒有將交易鏈條設計的更加隱秘。
面對這樣的當事人,有時我也不知道該說啥,只能一聲嘆息作為回應。
[i] 12秒竊走2500萬美元加密貨幣,麻省理工畢業的黑客兩兄弟被捕 http://note.f5.pm/go-240378.html
[ii] 美國司法部截獲駭客勒索的63.7枚比特幣,比特幣單日跌幅超10% | 介面新聞 https://m.jiemian.com/article/6209923.html
[iii] 四川內江5,500萬區塊鏈資產竊盜案破案! https://xinjiapo.news/news/215601/
誒凍結的虛擬或 能否強制執行
深挖細查,莘縣公安局成功偵破全市首例虛擬幣傳銷大案 https://mp.weixin.qq.com/s/KduRfmY5hk8r6xLO5t_epQ
