近日,美国财政部外国资产控制办公室(OFAC)宣布,两名中国公民因为通过比特币场外兑换(OTC)业务帮助朝鲜 Lazarus 黑客团队洗钱而遭受制裁,据OFAC公开的信息,涉案金额达到了9100万美元。而被制裁的一位中国公民表示,自己对此并不知情,他从被指控的另一中国公民在可盈可乐场外交易平台购买比特币后,资产因此于2018年末被平台冻结,所以他也是受害者。
据公开消息,本次案件涉及了Lazarus窃取的价值2.5亿美元的数字资产,黑客将相关比特币资产转入四个交易所,而涉案的两位中国公民正是在这些交易所通过OTC服务参与到了洗钱过程中。
自然的,人们纷纷猜测涉案的数字资产盗窃案件是哪一起,在向媒体披露的文章中,OFAC尽管没有提及具体交易所名称,但是提及了相关过程,2018年4月,某交易所员工下载了邮件中的Lazarus分发的恶意程序,从而让黑客侵入系统,并被盗取密钥。接着,该交易所价值2.5亿美元的数字资产被窃取,占到了当年Lazarus预计窃取的数字资产总量的一半,而2018年也被认为是该黑客组织最活跃的一年。
根据公开披露的信息,2018年4月后对外承认被盗取数字资产数额较大的交易所主要有Coinrail、Bithumb、ZAIF,这些日韩交易所被盗都曾经被猜测认为与Lazarus相关。当然,我们也不排除一些交易所尽管被盗,但是并未对外披露,而是直接向执法部门报案。
根据相关信息,北京链安通过ChainsMap链上追溯系统试图对相关过程进行一定程度的还原,并揭示当前行业在数字货币非法活动反洗钱方面面对的挑战。
OFAC在其官网上公布了两位中国公民涉案的20个地址,其中LI, Jiadong(以下简称LI)涉及地址12个,TIAN, Yinyin(以下简称TIAN)涉及8个地址,通过我们的地址标签库可以查询到它们属于Coincola、LocalBitcoins等至少四家交易所。这些地址首笔交易最早发生于2017年7月,最晚发生于2018年10月,目前相关地址都已经不再活跃。
我们进一步统计了相关地址流入的比特币数量,需要注意这只是一个单向交易量的概念,不排除有重复来回的进出。尽管LocalBitcoins在涉案的20个地址中占了至少9个地址,但是这些地址大都只是使用一两次,涉及的历史金额加起来也只有67枚。
coincola成为了涉案两人主要的OTC交易的交易所,LI在该交易所的一个地址历史流入比特币金额达到了1449BTC,而TIAN在coincola的5个地址涉及的历史流入比特币总额更超过了8000BTC,在这里我们再次强调这里提及的BTC流入量是一个历史交易记录累积的概念。同时,这些比特币数额也是相关地址第一笔交易后的总额,本次OFAC指控的洗钱交易也只是其中的一部分。
那么,涉及Lazarus的交易又有什么特点呢?我们根据这些地址的历史交易,经过回溯和关联发现了一批相关交易,这里我们仅举一例。
2018年月12日,一笔3800BTC的相关大额比特币UTXO开始不断转账并分出一些比特币流入交易所,图中我们可以看到即包括了OFAC公开的涉案地址,每次流入30BTC。
从这3800BTC的来源来看,绝大部分来自于2018年6月25日到7月5日由HitBTC转出的数额大多以数十枚比特币为单位的转账。那么是不是HitBTC被黑客攻击了呢?从这些交易来看可以排除这种可能,因为它们都是由热钱包发起的同时向多个无关联地址发起的数额差别较大的交易,即典型的交易所满足用户提币需求的出币交易。而在涉案的LocalBitcoins地址中,接收的比特币更是大都直接来源于一些交易所的提币。
由于Lazarus此前攻击的交易所盗取的数字资产不仅仅是比特币,还涉及多类币种,所以我们可以推测在其洗钱过程中存在进入一些交易所将其他币种在场内交易兑换成比特币后,再转移到其它交易所场外交易变现的过程。同时,根据披露的信息,相关比特币变现后不单单进入银行账户,甚至140万美元流入苹果iTunes的礼品卡中,更让数字货币洗钱已经跟传统的多种洗钱方式紧密结合。
综合来看,尽管OFAC公布的信息涉及的是一起具体的交易所被盗案,但是实际涉案的数字资产很可能来源于多起黑客盗币事件,且中间经过了场内交易,并流向了更多行业和服务的资金渠道。北京链安认为,当前的数字资产洗钱已经是跨交易所、跨币种、跨行业的复杂过程,无论从行业还是政府监管角度,都急需专业的技术手段、法律法规,以及行业的共识和协作。