跨链犯罪现状：在跨链世界中应对新时代的加密犯罪和洗钱

Ellipse Transition Chain Report 2 02 2 Transition Chain State 打击犯罪的新时代 跨链世界中的加密货币犯罪和洗钱介绍 0401. 去中心化交易所（敏捷） 09 Aggregators 11 Agile 1102. Transition Chain Bridge 1903. Coin Exchange Services 28 什么是硬币兑换服务？ 29 合法与非法代币兑换服务 30 制裁风险 32 代币兑换服务的犯罪使用 21 基于比特币的犯罪 22 其他加密资产中的非法代币兑换使用 25 恐怖主义融资 2504. 解决“过渡链问题” 41 使用整体 VASP 和遗产进行筛选区块链 42 多资产检查 45 跨资产跟踪 46 过渡链跟踪 47 结论 48 方法论 49 词汇表 50 注释和参考 54 关于作者 56 Ellipse 的其他报告 57 过渡链状态 犯罪 4 执行摘要 区块链最近变得越来越相互关联年。 去中心化交易所 (DEX) 和跨链桥等新技术消除了加密资产之间资金自由流动的诸多障碍。 然而，这些技术也被勒索软件集团和黑客等人滥用于洗钱活动，他们在资产和区块链之间匿名转移数十亿美元的加密货币，以掩盖其非法资金流动。 为了确定这项活动的性质和规模，埃利斯对三种通常可以匿名使用以促进跨链活动的服务进行了研究。 这些服务是去中心化交易所 (DEX)、跨链桥和代币交换服务。

我们的主要发现包括以下内容： • 犯罪分子和高风险实体使用 DEX、跨链桥和代币交换服务混淆了至少 40 亿美元的非法加密货币收益。 一些最多产的肇事者包括黑客、暗网市场、在线赌博平台、非法虚拟资产服务、庞氏骗局和勒索软件。 • 在 DeFi 或交易所盗窃中，大约 12 亿美元的被盗加密货币是通过 DEX 交易的，占被调查的所有被盗加密货币的三分之一以上。 • RenBridge——一个允许用户在不同区块链上交换资产的跨链桥——仅洗了超过 5.4 亿美元的非法加密资产。 • 另外还有 12 亿美元的非法资产使用“交换”服务进行洗钱，该服务允许用户在区块链内部和区块链之间交换资产而无需开设账户。 帐户。 许多在俄罗斯网络犯罪论坛上做广告，几乎完全迎合了犯罪受众。 • 来自受制裁、没收和恐怖分子实体的跨链和跨资产混淆风险增加。 与最终受到美国制裁的组织有关的钱包——包括那些被朝鲜用来进行数百万美元网络攻击的组织——已经通过该技术洗了超过 18 亿美元。 调查结果突出了“跨链问题”的兴起——这个问题在加密货币领域普遍存在，对虚拟资产服务和刑事调查人员构成了关键风险。 犯罪分子现在越来越多地利用跨资产和跨链交易来规避并非旨在跟踪此类活动的传统区块链分析解决方案。

金融行动特别工作组 (FATF) 在其 2022 年 6 月关于虚拟资产风险的报告中也呼吁通过跨链交易（或“跳链”）进行洗钱。 1 过渡链状态下的犯罪 5 本报告将利用案例研究和原始数据来解决对去中心化交易所、跨链桥和代币交换服务的犯罪使用。 随后将介绍Elliptic的整体筛查能力——专为虚拟资产服务和调查人员设计，有效追踪和克服跨资产和跨链犯罪的风险。 对加密货币犯罪早期历史的介绍主要基于比特币盗窃和暗网市场。 从价值 5.3 亿美元的 Mt Gox 交易所抢劫案到臭名昭著的丝绸之路市场，2010 年代初期的非法行为者主要针对当时的主流加密资产。 – 比特币 – 致富并清洗他们的犯罪所得。 快进十多年，威胁行为者处理加密资产的方式发生了巨大变化。 数以千计的新代币——通常为不同的去中心化金融 (DeFi) 协议、元宝或基于区块链的游戏提供支持——已经在以太坊、币安智能链、Polygon 和构建在链上的 Solana 等区块上运行。 示例包括 NFT、模因币和 Tether 等稳定币。 与此同时，许多项目已经全面开发了新的区块链——比如卡尔达诺和狗狗币——它们已经积累了自己庞大的用户群。 对于犯罪分子来说，区块链技术的这种扩展为犯罪活动提供了许多机会。

2021 年，来自 DeFi 协议的加密货币盗窃金额超过 20 亿美元。 2 平均每三天就有一个协议被利用。 3 暗网实体现在接受多种货币支付，恐怖组织经常为众多加密资产发布捐赠地址。 随着犯罪机会的增加，犯罪分子洗白其非法加密货币的可用策略也在增加。 例如，犯罪分子利用去中心化交易所 (DEX) 在同一区块链上非法获得的代币之间进行转换，以继续洗钱。 或者，跨链桥用于将一个区块链上的非法资产“桥接”到一个完全不同的区块链——这种做法被称为“跳链”。 这两种策略都旨在混淆交易线索并使调查更加困难。 由于传统交易所的反洗钱/了解你的客户 (AML/KYC) 法规越来越多，跨资产洗钱也对犯罪分子具有吸引力。 随着越来越多的虚拟资产服务采用这些检查，犯罪分子越来越多地被吸引到不受监管和匿名的替代方案来处理他们的非法加密货币。 这些服务包括“硬币兑换”服务，用户无需开立账户或验证身份即可兑换硬币。 交换资产。 与 DEX 和桥接器一样盗窃比特币不构成犯罪，由于这些“令牌交换”服务通常不需要身份验证检查，因此它们构成了第三个主要风险点。 从传统区块链分析中混淆非法资金的潜力——传统区块链分析在历史上仅限于一次跟踪一项资产的交易——并不是跨链或跨资产犯罪的唯一驱动因素。

犯罪分子还利用这些功能访问其他区块链上的服务，例如，使用源自比特币的非法资金投资以太坊上的 DeFi 协议或 NFT。 转移链状态的罪 6 因此，所有虚拟资产服务都面临着所谓的“跨链问题”的风险。 在第一代传统区块链分析工具中，犯罪分子将非法资金转换为不同的代币或将其连接到不同的区块链后，虚拟资产服务就丢失了。 跨代币或区块链跟踪这些资金需要耗时的人工调查——而且在许多情况下将被证明是不成功或不可行的。 过渡链问题 加密货币日益相互关联的性质是一个主要驱动力，也是整个行业不可或缺的一部分。 然而，为了发挥跨区块链和资产无缝交换的潜力，面对日益严格的监管审查，必须管理和缓解跨链问题。 总而言之，跨链和跨资产互换是由中心化交易所以外的三种主要虚拟资产服务实现的，本报告对此进行了详细讨论。 它们是 1. 敏捷：去中心化服务——通常在智能合约上运行——允许在同一区块链上进行跨资产交易。 2. 过渡链桥：通常是一种去中心化的服务，允许在不同的区块链平台上进行资产的跨链交换。 3. 代币兑换服务：集中且典型的匿名服务，允许不同资产之间的兑换，无需创建账户或提交身份验证。 许多网站位于俄罗斯，迎合网络犯罪分子的需求。

使用这些服务绝对是合法的——允许交易者、游戏玩家、投资者和其他人在区块链内和区块链之间高效无缝地转移资金。 随着可用代币、区块链和 DeFi 投资机会数量的增加，DEX、桥接和交换服务的使用也在增加——自 2020 年以来处理了 6150 亿美元的比特币和以太坊。下图显示了 BTC 和 ETH 之间交换的美元价值随着时间的推移，通过这些服务的两条链和资产（请注意，这些值受加密货币价格波动的影响）。 在大多数情况下，这些平台缺乏 AML/KYC 检查意味着犯罪分子在利用这些平台进行恶意操作时几乎没有抵抗力。 这些服务已经处理了超过 41 亿美元的非法和高风险加密资产。 不仅仅是传统的网络犯罪分子利用跨链或跨资产机会进行非法活动。 Ellipse 2022 年 8 月关于 NFT 和金融犯罪的报告指出，NFT 诈骗者还使用 DEX、硬币兑换服务和跨链桥来混淆他们的收益。 在来自 320 多起欺诈事件的 6950 万美元被盗 NFT 收益样本中，8.3%（560 万美元）是通过去中心化交易所洗钱的。 4 转换链状态的犯罪 7 2020年以来不同资产和不同区块链之间交换的BTC和ETH Quarter 2020 2021 Q1 2021 Q2 3rd 2021 Q4 2021 2022 Q1 2022 Q2 通过DEXs、跨链桥和coin洗钱的非法高风险加密货币swap services by source $1,250,000,000 $1,000,000,000$750,000,000$500,000,000$250,000,00001.1美元硬币交换服务桥梁敏捷972.7美元510.6美元351.2美元296.4美元286.0美元251.3美元181.1美元65.1美元58.8美元3.5美元98.3美元72.0美元56.3美元53.8美元45.1美元24.9美元25.7美元 1.2美元 1.8美元 传入BTC和B（美元价值） Transition Chain State Crime 8 Transition Chain Sanction Risk 被美国制裁或最终制裁的实体约占总数的一半。

15 亿美元的非法加密资产由去中心化交易所、跨链桥或代币兑换服务处理。 该数字的近三分之二，即 9.72 亿美元，来自 Tornado 现金。 其他主要来源包括非法制裁的交易所，例如 SUEX、Chatex、Garantex、暗网市场 Hydra 和朝鲜的 Lazarus Group 国家网络黑客。 此外，去中心化交易所、桥接器和代币互换服务还处理了价值超过 3.51 亿美元的资金，这些资金在据称由 Lazarus Group 策划的加密货币抢劫案中被盗。 这意味着，这些服务处理的总计超过 18 亿美元的加密资产可能与美国制裁的实体有关。 这略低于这些服务处理的来自非法或高风险来源的 41 亿美元的一半。 这些服务。 为了强调与 DEX 和跨链桥相关的风险，以下案例研究介绍了有史以来最臭名昭著的加密货币抢劫案之一——Lazarus 集团在 2022 年 3 月盗窃了 5.4 亿美元，这导致美国对朝鲜和其他两个加密资产服务。 价值 5.4 亿美元的 Ronin Heist 使用 DEX 和桥 Ronin 是一个跨链桥，用于访问流行的 Axie 无限区块链游戏，该游戏在以太坊的侧链上运行以加速交易。 然而，提高交易速度的驱动力使 Ronin 成为一个有效的中心化链，使其容易受到对抗性社会工程攻击。

朝鲜的 Lazarus 组织——之前与几起基于加密货币的抢劫案有关——通过用虚假的招聘广告对他们的控制器进行网络钓鱼盗窃比特币不构成犯罪，设法控制了大部分桥梁的交易验证器。 2022 年 3 月 23 日，攻击者窃取了超过 138,600 ETH 和 2550 万美元的 USDC——当时价值超过 5.4 亿美元。 攻击者首先使用两个去中心化交易所将 USDC 换成 ETH。 然后，他们开始通过一种名为 Tornado Cash 的流行的基于以太坊的混合器来洗钱。 2022 年 5 月 6 日，美国财政部宣布已确定这些资金中的 2050 万美元，然后将这些资金跨链桥接到比特币区块链，在那里他们使用 Blender.io——一种基于比特币的混合器进行混合。 5 美国于 5 月制裁了 Blender.io，并最终于 2022 年 8 月制裁了 Tornado Cash，因为它参与清洗被盗的朝鲜加密货币。 过渡链状态9浪人抢劫案证明非法资金的跨链跨资产流动带来明显的制裁风险。 美国外国资产控制办公室 (OFAC)——与财政部有关联的实体——已将 400 多个加密货币钱包列入其与受制裁实体相关的制裁名单。 但是，OFAC 也澄清说该清单并不详尽。 6 虚拟资产服务有责任确保与他们合作的任何加密货币钱包不隶属于受制裁实体，无论钱包本身是否出现在制裁名单上。

如果一个受制裁的实体在多个区块链上持有加密资产，那么确认这种联系的能力就会变得困难——尤其是对于不支持自动化和程序化跨链可追溯性解决方案的传统区块链分析。 随着加密货币生态系统变得越来越相互关联，显然需要充分理解、考虑和减轻跨链和跨资产犯罪的风险。 本报告旨在揭示这些趋势、风险和跨链问题的下一代解决方案。 Transition Chain States 中的罪犯 10 关于本报告 与上述 Ronin 的情况一样，本报告将深入了解 (1) DEX 的犯罪使用。 (2) 跨链桥和 (3) 通过专有数据和案例研究示例提供的代币兑换服务。 案例研究示例将借鉴观察到的最引人注目的高风险趋势——包括受制裁实体、勒索软件、DeFi 漏洞和恐怖主义融资。 随后的章节还将讨论跨链和跨资产服务提供的功能如何被不同类型的犯罪分子利用，并在整个洗钱计划中用于不同的目的和用例。 此外，它将强调执法行动（例如对 Tornado Cash 的制裁）如何导致犯罪分子越来越多地使用跳链和跨资产互换作为替代洗钱方法。 该报告以整体筛选作为结尾——下一代区块链分析，可以跟踪跨资产和链的非法活动。这些可以