数字货币洗钱模式及追踪分析

江汉祥 苏玉海

(厦门市美亚柏科信息股份有限公司 福建厦门 361008)

非法获取暴利是各种经济犯罪的根本目的，犯罪分子为了掩饰、隐瞒其非法经济来源与性质，就需要开展各种形式的洗钱活动，以致“非法财产合法化”“把黑钱洗白”.在这过程中，他们为了应对执法机关的侦查取证，要不断利用新技术，改进方法，优化过程，使得洗钱活动不断专业化、科技化.因而洗钱活动给执法机关的侦查带来严峻的挑战，必须深入了解洗钱活动，并掌握其关键命脉，才能有效破解违法犯罪过程，将犯罪分子绳之以法.

1 洗钱模式的演变

洗钱模式经历了3个阶段：传统洗钱阶段、第四方支付洗钱阶段和数字货币洗钱阶段.

1.1 传统洗钱模式

传统洗钱模式主要包括以下4类[1]:

1) 走私携带.包括直接携带和利用邮件.其中直接携带是最原始洗钱方式，也就是俗称的“水客”.利用邮件是将没有提交海关报告的资金通过邮件方式混装运送出去.

2) 购买兑换.将非法所得通过购买特定物品，以改变现金形态，掩饰隐藏犯罪所得，然后再按照货币比值进行兑换，从而达到洗钱的目的.购买的特定物品包括：贵重金属、古玩、艺术品、证券期货、境外濒临倒闭企业、保险保单、已中奖奖券等.

3) 非控机构.借助一些不能掌控的相关机构来开展洗钱.这些机构包括金融机构、地下钱庄、民间借贷公司、赌场等.其中地下钱庄是非控机构的典型形式或代表.地下钱庄拥有境内、外两头资金池 ，即钱并没有真的在跨境流动，客户只是把钱交给地下钱庄境内资金池，并在其境外资金池里得到相应外汇.

4) 可控机构.借助合法经营的公司和直接或间接掌控的空壳公司进行洗钱.这种洗钱模式主要包括使用假单证的贸易合同来进行出口贸易，或者做真实信用证下的虚假出口贸易.这是一种相对高级的、在洗钱者掌控下进行资金跨境汇兑的洗钱模式.

1.2 第四方支付洗钱模式

随着互联网金融的蓬勃发展，自2011年以来，我国央行发放300多家第三方支付牌照，第三方支付在生活中已遍地开花.正是由于众多第三方支付产生了支付渠道、支付场景和支付数据等碎片化问题，以及支付周期长和资金处理不便等问题，从而产生了第四方支付，也称聚合支付[2].

第四方支付没有支付许可牌照的限制，犯罪分子就借第四方支付平台之名义，行非法洗钱之目的.非法第四方支付平台与上游各种犯罪团伙之间分工明确，形成错综复杂的犯罪网络，日益成为网络赌博、网络诈骗等违法犯罪活动洗钱的主要通道，以及网络黑灰产业洗钱的重要工具.

非法第四方支付平台的典型形式就是跑分平台，也就是利用正常用户的支付账户(个人账户或商铺账户)进行洗钱，为网络犯罪及黑灰产团伙规避打击创造条件.如图1所示，为了更好地稳健运行，平台会把支付通道剥离给第三方，通过接口方式交互，同时往往与多个支付通道系统对接.同样，跑分系统前端对接的是大量的“码商”(即代理商)与“码农”(最底层利用个人账户进行跑分获取佣金者).有时平台也可能把跑分系统剥离给第三方，通过接口方式交互.现实中第四方支付平台与外部对接(包括赌博诈骗等非法平台、支付通道系统、跑分平台)都是多对多关系，从而造成全国网络赌博和诈骗及其洗钱体系成了一张交织的网络，每个案件都只是这个网络中的几个节点而已.

图1 非法第四方支付平台+跑分模式

由于目前国内反诈的高压态势，非法第四方支付开始走向国际化，出现诈骗境外人员的趋势：

1) 诈骗对象国际化.日本、韩国、俄罗斯以及东南亚国家的群众都成为新的诈骗对象.

2) 沟通工具国际化.为了达到国际化对象能够受骗的目的，他们就得使用国际化的沟通工具，如：WhatsApp，Telegram，Skype等.

3) 银行账户国际化.对接的银行账户要与诈骗对象同一个国家，才能达到诈骗效果，因而就得利用境外银行账户.

4) 网络支付国际化.同样原因，为了达到诈骗的可信度，就必须对接受害人同一国家的网络支付平台.

1.3 数字货币洗钱模式

自2008年1篇题为《比特币：一种去中心化的加密数字货币系统》的论文发表以来，以区块链技术为依托的数字货币，完全去中心化，不受监管，交易安全公开且不可逆转的数字货币系统得到了蓬勃发展.数字货币最初以非官方机构发行的加密数字货币形式出现，这些数字货币改变了传统货币的形态、流通方式及支付方式.目前这类加密数字货币达1万多种，使用最广泛的主要有比特币(BTC)、以太币(ETH)、泰达币(USDT)等[3].

2020年以来，全国范围开展了轰轰烈烈的“断卡”专项行动，给各类违法犯罪的资金渠道予以沉重的打击，特别是非法第四方支付洗钱的命脉遭到致命创伤.为此，洗钱团伙开始转向新兴的数字货币渠道.

当前，利用数字货币洗钱的模式主要有以下4种：

1) 直接交易.交易双方直接达成协议，用数字货币和等值法币进行违法犯罪活动的结算，“一手交钱、一手交币”.这种形式多见于黑灰产与上下游之间的结算，利用数字货币的匿名性来规避警方的追查.

2) 借用第三方交易.通过直接或间接控制的第三方，利用其与对方进行数字货币结算.这种往往是通过控制境外公司或账户，再与境内相关方进行数字货币结算，以达到警方难以追查的目的.

3) 交易所交易.这是目前最主要的数字货币洗钱方法.数字货币交易所一般在境外，交易量大，不便追踪，监管薄弱，因而常被利用以实现匿名地址间或不同种类数字货币间的多次转换而洗钱.

4) 结合第四方支付平台交易.其实这是交易所交易洗钱方式的集中体现.跑分平台中原本码农要给跑分平台押金，现在去购买数字货币，并转入跑分平台提供的充值地址.平台收集大量充值码，形成充值码池，然后与上游赌博诈骗系统对接.上游团伙可以利用数字货币进一步开展复杂交易后再提现，以实现洗钱目的.如图2所示：

图2 非法第四方支付平台+数字货币模式

2 数字货币交易特点与问题

2.1 数字货币交易特点

数字货币是区块链技术的一种典型应用.区块链的特性之一为“公开的不可逆的账本”.这就造成数字货币交易账本是“公开”的，在公链上都能爬取到交易账本[4]，这似乎对洗钱活动是很不利的.然而，它的另一特征是交易的基于网络与“非实名性”.也就是说，虽然能看到各个地址间的交易情况，但是实际上交易实体是匿名的，在任何地方利用互联网就可以匿名地快速进行数字货币的跨境充值、资金转移等洗钱活动.数字货币的匿名性及缺乏监管为洗钱活动起到隐蔽作用，这也促使它成为洗钱的主要工具[5].

2.2 数字货币应用无监管

数字货币在国内没有得到官方的认可，因而也就没有相应的管理监督措施出台；另一方面，数字货币又在市场上广泛流行，各种钱包APP遍地开花，操作简单，购买便捷，与法币之间兑换自如.这样就形成投资、传销和洗钱活动等，各种行为鱼龙混杂，每年给国民资产造成大量外流.

目前，较为流行的钱包APP有：imtoken，RenrenBit，bitpie，kcash，ubank，Token Pocket，Trust Wallet，Mytoken，DragonEx等等.

2.3 数字货币交易无监管

数字货币交易有多种形式，但主要还是通过交易所的方式来实现.由于国内不认可数字货币，因而也就无法正规注册成立交易所.大量交易所注册地都在境外，特别是在一些监管松散的小国家注册成立，并在境外架设服务器开展交易服务，起到类似证券交易所的功能，进行充值、换购、提现等交易业务.

这些交易所大量在境外注册，数字货币的交易却是大量中国人在开展.正因为公司在境外，标的物又没有官方认可，整个过程缺乏监管制度，造成有些交易所没有实名注册，追查难、调证难.甚至有些交易所实则是非法组织，达到非法暴利目的后就卷款消失.

目前，主要的交易所有：Huobi，Binance，Coinbase，OKEX，BKEX，HBTC，RenrenBit，HOO，ZB，BigONE等.

3 数字货币洗钱追踪分析

数字货币作为新技术的新兴产物，为大多人所不甚了解，加之其所特有的匿名性和无监管现状，给执法机关侦查带来极大的难度，从而也为洗钱者造就了天时地利的条件.

3.1 执法人员知识储备不足

追踪数字货币洗钱往往需要具备区块链相关的专业知识，然而这些新技术对于大多执法者而言都较为陌生，因而也就缺乏侦查这类洗钱的能力，造成以下不良后果：

1) 有些基层遇到此类案件就知难而退，让犯罪分子逍遥法外；

2) 有些办案人员对此一知半解，从而侦查中缺乏思路，不知重点，逻辑混乱，最后打草惊蛇或草草了结，以致犯罪分子侥幸法外；

3) 部分办案人员不知借助外力，遇到交易的匿名状态后一筹莫展，或是知道交易所后无法取得调证的进展，最终错过案件黄金时间，使得犯罪分子溜之大吉.

3.2 难以克服的匿名性

数字货币是基于区块链技术，所以其交易在区块链上是公开的，而且不能进行修改与删除操作[6]，大家都能查询得到.但问题是其所有交易地址是匿名的，因而对办案人员来说这种只有哈希地址的交易记录基本是没有侦查意义的.如图3所示，“星号”地址的交易对象及交易数量在链上都能够查询并展示，但每个交易地址只是一串哈希值，这种交易图无法给下一步侦查提供帮助的.这就是区块链的交易匿名性给办案人员带来的工作问题.

图3 数字货币匿名交易记录

3.3 交易所调证和冻结难

基于区块链的数字货币发行只是一种数学算法的运行，不是国家发行，因而交易过程也没有国界.在国内没有官方认可数字货币的情况下，大量的交易所注册在境外，交易服务器也在境外.因而没有官方的调证通道，更谈不上冻结与预警功能.目前，只有个别交易所在国内设有办事处，从而对国内的办案相对配合度比较好.但是大多交易所没有正规的调证渠道，甚至需要国际刑警组织协调.这种情况下从组织上与时间上都无法满足案件办理的需要.

3.4 数字货币洗钱应对思路

为了了解数字货币交易过程，特别是个人与交易所之间的交易过程，以及交易过程在公链及交易所上的记录情况，我们先举例加以说明.

例如： 张三把1个比特币(BTC)通过交易所换成5万个泰达币(USDT).

如图4所示，张三首先应该在钱包APP上有个钱包地址(A)，里面有1个比特币(BTC)；他需要换币，所以就在某交易所上注册，并获取1个充值地址(B)，然后用地址A给地址B充值1个比特币.这时交易所会自动把B中的1个比特币转入交易所自己的热钱包(C).如果热钱包数额已经太大，则会从C中转入一定数额数字货币到交易所的冷钱包.接着，用户需要把充入的1个比特币换成5万个泰达币.则交易所会从其泰达币热钱包地址(D)中提取5万个泰达币转入张三的泰达币钱包地址(E).这样，整个交易过程结束.

图4 数字货币交易流程

对于这个交易过程，公链及交易所上都记录了什么，对数字货币洗钱侦办的意义何在.实际上，如图5(a)所示，公链上有3笔记录:第1笔是张三的钱包地址A给交易所充值地址B充值1个比特币;第2笔记录是从地址B自动转入交易所热钱包地址C;第3笔记录是用户提币5万个泰达币，从交易所泰达币热钱包地址D到用户钱包地址E的过程.从这3笔记录上，我们无法判断用户把数字货币转入了交易所，也无法判断第3笔记录与第1笔记录有关.正是因为交易的匿名性，无法判断B是交易所充值地址，也无法判断C和D是同一交易所热钱包地址，更无法判断A和E是张三的2个钱包地址.即使我们把B，C标签了同一个交易所，我们还是无法将第3笔记录与第1笔记录关联.

图5 数字货币交易日志记录

那么交易所上会记录怎样的日志呢？尽管每个交易所的日志有所差别，但大致都会记录2条记录，如图5(b)所示.第1条是张三从地址A给地址B充值了1个比特币，第2条是张三提取了5万个泰达币到地址E.只有通过交易所的这种实名的记录，我们才能把这2笔记录关联在一起，而且也才知道是张三行为.所以交易所调证对数字货币洗钱的侦办是极其重要的.

鉴于以上数字货币调查中的问题，我们不仅要对办案人员加强培训和普及知识外，还要从以下几个方面强化能力，从而破解数字货币调查的难题.

3.4.1 强化数字货币地址的取证与采集能力

获取数字货币钱包地址是数字货币调查的起点，因而办案人员需要具备从APP中获取钱包地址的能力.同时取证装备更应该具备获取各种钱包APP的地址能力.一方面可以通过取证提醒工作人员所取证对象的介质中存在数字货币钱包；另一方面也弥补有些工作人员尚未掌握获取钱包地址能力的问题.

更关键的是，执法机关当前对大量嫌疑人员的手机等介质进行取证时，钱包APP数据尚未有效采集与汇聚.所以应当强化钱包地址的提取采集能力，并制定数据标准，有效汇聚相关数据.通过时间与空间维度的积累就可以形成大量钱包地址的虚实对应库.这些知识库可以直接对办案中的交易数据进行打标，也可以脱敏后再进行打标.给大量的钱包地址开展实名化打标工作能够为数字货币交易匿名性的难题作出部分应对.

3.4.2 强化交易地址的标签能力

解决交易匿名性的最好办法就是给交易地址打标签，标签的类别有：

1) 交易所地址.包括交易所充值地址、热钱包地址、冷钱包地址，同时还要标识出是否与交易所建立调证通道.

2) 钱包地址.能根据上述收集的钱包地址实名打标库进行关联，标识出实名钱包.

3) 恶意地址.对于曾经涉嫌洗钱、诈骗、敲诈等犯罪的钱包地址，要根据收集的恶意地址库进行关联打标.

这里的关键是如何准确、全面地标签出交易所地址.主要方法有以下几种：

1) 获取热钱包地址.通过模拟对某个交易所开展数字货币交易从而追踪到该交易所的热钱包地址.模拟次数越多获取的热钱包地址就越多.

2) 获取充值地址.在公链上追踪上述热钱包地址，所有转入这个地址的都是交易所充值地址.

3) 判定冷钱包地址.在公链上追踪上述热钱包地址，大笔转入某个地址(特别是有2个以上热钱包地址都给其大笔转入时)，同时这个地址交易都是大笔金额，那么这个地址可判定为交易所的冷钱包地址.

4) 再次获取热钱包地址.所有给冷钱包地址转入的都是交易所的热钱包地址.

通过以上方法不断循环扩展，就能够给大量的交易所地址打上标签，从而解决交易匿名的问题.

3.4.3 交易链条的可视化

可视化展示是数字货币洗钱交易过程最好呈现，能够简洁明了地展现出交易过程.当然图形位置的算法是可视化直观性的重点，但对于交易匿名性的数字货币而言，更重要的是在可视化图形上打出标签.如图6所示，经过打标地址，原来图3的匿名展示就转换成有交易所、有恶意地址和有实名钱包地址的可视化图.图中清晰地展现出什么地址是钱包、什么地址是交易所、交易所是否可调证(绿色标识)、哪些地址是恶意地址(红色标识)、钱包地址实名化标签等等.这样才会给办案人员带来便捷，提高工作效率.所以交易可视化是上述地址标签能力、交易所标签能力的集中体现.

图6 数字货币交易标签化

3.4.4 建立交易所通道机制

能够根本性克服数字货币交易匿名性的唯一关键点就是交易所，因为大多交易所在交易前需要用户进行KYC实名认证[7]，从而把匿名与实名关联起来.在交易所调取相关证据后就能够得到交易实名，同时也只有交易所的相关日志才能把公链上的各种交易记录关联起来，形成完整的洗钱链条.因而有效建立交易所的调证通道是办理数字货币洗钱的关键环节.

目前的调证通道往往是临时性的、松散的，一方面没有官方的法律程序认证体系，另一方面通道是否畅通完全任由天命，无法掌控与缺乏保障, 缺乏正规的渠道与制度保证.因而急待建立一个统一的官方通道，规范认证审批程序，稳定通道有效性，从而有效保障调证、冻结等法律措施的顺利开展.

4 结束语

本文阐述了洗钱模式的演变，从传统地下钱庄、“水客”模式到第四方支付模式，以及到当前兴起的数字货币洗钱模式.然后重点分析了数字货币洗钱的现状与问题，并作出应对措施，也就是对交易匿名性的破解，即交易所地址打标、钱包地址实名化打标，建立交易所调证通道，并做好交易过程的可视化展示等几个方面，为打击数字货币洗钱工作提出了一些方法和建议.但本文只针对主要洗钱的方法，即交易所交易模式，并没有针对更复杂的混币交易[8]、跨链交易等作出解释与应对措施，这将是下一步的重点研究方向.