Investigación en profundidad: ¿Cómo se convirtió la criptomoneda en una herramienta para los ciberdelincuentes?

1. Antecedentes de la investigación

Basada en consensos distribuidos e incentivos económicos, blockchain proporciona nuevas soluciones para el establecimiento, almacenamiento y transferencia de valor en un espacio de red abierto y sin permisos. Sin embargo, con el rápido crecimiento del ecosistema criptográfico en los últimos años, las criptomonedas se han utilizado cada vez más en diversas actividades de riesgo, proporcionando métodos de transferencia de valor más ocultos y convenientes para los juegos de azar en línea, la industria negra en línea, el lavado de dinero y otras actividades.

Mientras tanto, las criptomonedas son una de las infraestructuras clave en la industria de las criptomonedas. Una gran cantidad de empresas web3 también utilizan monedas estables como USDT como forma principal de recaudar fondos y realizar pagos. Sin embargo, estas empresas generalmente carecen de mecanismos sólidos de control de riesgos, como AML, KYT y KYC, lo que da como resultado que el USDT que se ha utilizado para actividades riesgosas fluya desenfrenadamente hacia las direcciones comerciales, causando daños a los fondos en las direcciones de la empresa y de los clientes.

Este informe tiene como objetivo revelar los métodos de uso y la escala de las criptomonedas en actividades criptográficas riesgosas y rastrear el flujo de fondos relacionados con actividades riesgosas mediante el análisis de datos en cadena, a fin de arrojar luz sobre la amenaza de los fondos criptográficos riesgosos para las empresas web3. .

2. Objetos de investigación

El daño social causado por las actividades ilegales y delictivas en Internet es cada vez más grave. Este daño incluye no sólo la infracción directa de la propiedad personal y la seguridad pública social, sino también riesgos legales indirectos para individuos o entidades comerciales causados por industrias upstream y downstream relacionadas con actividades ilegales y criminales. En los últimos años, todos los países han intensificado sus esfuerzos para combatir las actividades ilegales y delictivas en Internet y han logrado algunos avances en la legislación penal y la investigación ecológica de Internet. Sin embargo, el ciberdelito sigue siendo un problema persistente que debe ser completamente erradicado, especialmente con la aparición de nuevos ciberespacios como blockchain. Los juegos de azar en línea tradicionales, la industria clandestina en línea, el lavado de dinero, etc. han utilizado criptomonedas o infraestructura criptográfica en actividades de riesgo. Esto, a su vez, crea obstáculos para la identificación legal relevante y la supervisión policial.

2.1 Apuestas en línea

El juego se refiere a apostar dinero o cosas de valor material en un evento con un resultado incierto. El objetivo principal es ganar más dinero o valor material y, al mismo tiempo, los participantes obtienen placer espiritual a través del juego del dinero y las propiedades. El juego en línea se refiere al comportamiento de juego a través de Internet, demostrado en varios tipos. Básicamente, todos los principales métodos de juego de la vida real se pueden realizar en Internet.

En China, cualquier persona que establezca un sitio web de juegos de azar en una red informática con el fin de obtener ganancias, o actúe como agente de un sitio web de juegos de apuestas para aceptar apuestas, entra en la categoría de "abrir un casino", según lo estipulado en el artículo 303 de la Ley Penal. Ley. Si ciudadanos de la República Popular China se reúnen para jugar o abrir casinos en áreas aledañas fuera del territorio de nuestro país, con el objetivo de atraer a ciudadanos de la República Popular China como principal fuente de clientes, y esto constituye un delito de juego. , también podrán ser considerados penalmente responsables de conformidad con lo dispuesto en la Ley Penal.

Sin embargo, en otros países o regiones, las definiciones legales de apertura de juegos de azar y casinos son diferentes:

Según la Ordenanza sobre juegos de azar de Hong Kong, China, excepto las carreras de caballos reguladas, las apuestas de fútbol y la lotería Mark Six u otros establecimientos de juegos de azar autorizados (como salones de mahjong) y las actividades de juegos de azar exentas de la ley, otras actividades de juegos de azar son ilegales. ;

Según la Ley de Estados Unidos para el cumplimiento de los juegos de azar ilegales en Internet, es ilegal realizar transacciones con sitios web de juegos de azar en línea a través de instituciones financieras. Sin embargo, la legislación estatal es desigual y existen diferencias en la determinación de la dirección de aplicación de la ley para las leyes de juegos de azar en línea y actividades ilegales y relacionadas.

Según una declaración de la Oficina de Inspección y Coordinación de Juegos de Azar de Macao, China, el gobierno de la RAE de Macao nunca ha emitido una licencia de juegos de azar en línea. Por lo tanto, cualquier sitio web de información y apuestas que promueva actividades de juegos de azar en línea en nombre del gobierno de la RAE de Macao es falso e ilegal. El público que realiza juegos de azar en línea en dichos sitios web no está protegido por las leyes de la RAE de Macao.

Se puede observar que los juegos de azar en línea no son ilegales en todos los países o regiones, y los fondos de juego utilizados por las plataformas de juego en línea que están autorizadas y reguladas por los departamentos gubernamentales locales no pueden considerarse fondos de riesgo. Por lo tanto, la investigación de Bitrace sobre las actividades de juego en línea se limita a las plataformas de juego que operan negocios de juego sin licencia, los agentes de plataformas de juego que aceptan apuestas de usuarios fuera del alcance de las licencias operativas y las instituciones de pago que brindan servicios de liquidación de fondos para los dos primeros.

Las plataformas tradicionales de juegos de azar en línea y sus agentes, como las instituciones, ayudan a los jugadores a liquidar fondos mediante la creación de sus propios sistemas centralizados de recarga, transacciones y retiro de criptomonedas o accediendo a herramientas de pago con criptomonedas. Será difícil que las agencias gubernamentales regulen o hagan cumplir estos comportamientos debido a la naturaleza anónima de las criptomonedas. Se crean nuevas plataformas de juego de hash en línea en la red blockchain. Las apuestas de los jugadores, la liquidación de apuestas, la precipitación y recaudación de fondos se gestionan a través de contratos inteligentes, con una distribución más amplia y un desarrollo y cambio más rápidos.

2.2 Industria subterránea de Internet

Las industrias cibernéticas clandestinas se refieren a industrias a gran escala y en cadena que se forman en el proceso de implementar o ayudar a implementar actividades ilegales y delictivas a través de diversos medios técnicos con el fin de buscar beneficios ilegítimos en el ciberespacio. En esencia, tienen como objetivo obtener beneficios ilegales o alterar el orden ecológico en línea. En la actualidad, las criptomonedas y algunas infraestructuras de la criptoindustria se han integrado en gran medida en toda la ecología de la red subterránea.

Al introducir criptomonedas en actividades ilegales o utilizar herramientas criptográficas para reemplazar los medios técnicos originales, la industria clandestina tradicional de Internet aumenta el engaño y la destructividad de ciertas actividades ilegales y reduce la posibilidad de que los departamentos gubernamentales perciban o sancionen las actividades anteriores y posteriores. La nueva industria clandestina blockchain apunta directamente a los criptoactivos de inversores o instituciones, lo cual es una actividad ilegal y criminal nativa de la industria criptográfica.

Este informe sólo revela algunas de las actividades clandestinas típicas que utilizan criptomonedas.

2.3 Lavado de dinero

El blanqueo de capitales es un acto de legalización de ingresos ilegales. Se refiere principalmente al uso de ingresos ilegales y los ingresos generados para encubrir y ocultar su fuente y naturaleza a través de diversos medios para darles una forma legal. Sus acciones incluyen, entre otras, proporcionar cuentas de capital, ayudar a convertir formas de propiedad, ayudar a transferir fondos o remitirlos al extranjero. Las criptomonedas, especialmente las monedas estables, han sido explotadas por actividades de lavado de dinero desde muy temprano debido a sus bajos costos de transferencia, su desgeográficaización y ciertas características anticensura. Esta es una de las principales razones que llevaron a que se criticaran las criptomonedas.

Las actividades tradicionales de lavado de dinero a menudo utilizan el mercado OTC de criptomonedas para intercambiar de moneda legal a criptomoneda, o de criptomoneda a moneda legal. Los escenarios de lavado de dinero son diferentes y las formas son diversas, pero pase lo que pase, la esencia de este tipo de comportamiento es impedir que los funcionarios encargados de hacer cumplir la ley investiguen vínculos financieros, incluidas cuentas en instituciones financieras tradicionales o cuentas en criptoinstituciones.

A diferencia de las actividades tradicionales de lavado de dinero, el objetivo de las nuevas actividades de lavado de dinero con criptomonedas es la propia criptomoneda, y la infraestructura de la criptoindustria, incluidas las billeteras, los puentes entre cadenas y las plataformas comerciales descentralizadas, se utilizará ilegalmente.

3. El uso de criptomonedas en actividades de juego online

3.1 Cómo se utilizan las criptomonedas en las plataformas tradicionales de juego en línea

En los últimos años, se ha vuelto muy común que las plataformas de juegos de azar en línea y sus agentes acepten criptomonedas como chips, incluyendo:

Algunas plataformas de juegos de azar en línea han establecido de forma independiente sistemas completos de gestión centralizada para depósitos, transacciones y retiros de criptomonedas. Los jugadores deben comprar criptomonedas (principalmente USDT) de una plataforma de terceros y transferirlas a la dirección de depósito asignada por la plataforma de juego en línea a cada jugador para obtener fichas. Después de que el jugador inicia una solicitud de retiro de moneda, la plataforma comenzará desde la dirección unificada de billetera activa y transferirá fondos a la dirección de destino, y su lógica de implementación comercial es consistente con la de las principales plataformas de comercio de criptomonedas.

Algunas plataformas de juegos de azar en línea brindan a los jugadores canales de depósito y retiro mediante el acceso a herramientas de pago criptográfico. Los jugadores no depositan USDT directamente en la plataforma de juego en línea, sino que transfieren dinero a la cuenta de la plataforma de pago, y esta última también satisface las necesidades de retiro. Las liquidaciones de fondos se llevan a cabo periódicamente entre plataformas de juegos de azar en línea y plataformas de pago, por lo que sus detalles comerciales pueden extraerse mediante la correlación de fondos.

Tomemos como ejemplo una plataforma de juegos de azar que utiliza USDT para aceptar apuestas. La plataforma ayuda a los jugadores a realizar depósitos y retiros en USDT conectándose a una plataforma de pago en criptomonedas. Bitrace realizó una auditoría de fondos en una de las direcciones de billetera activa. Entre el 27 de enero de 2022 y el 25 de febrero de 2022, esta dirección procesó un total de más de 1.332 millones de solicitudes de órdenes de depósito y retiro de USDT de jugadores.

En la práctica del análisis de fondos, se encuentra que, en general, las plataformas de juegos de azar en línea con mayor escala comercial crearán sus propias secciones de funciones de depósito y retiro de criptomonedas, mientras que la mayoría de las plataformas de juegos de apuestas en línea pequeñas y medianas optarán por acceder a plataformas de pago de criptomonedas. Según el seguimiento de la plataforma de auditoría de riesgos de fondos de direcciones DeTrust, entre septiembre de 2021 y septiembre de 2023, un total de más de 46,45 mil millones de USDT fluyeron directamente a las plataformas tradicionales de juegos de azar en línea, o plataformas de criptopagos que brindan servicios de depósito y retiro para plataformas de juegos de azar en línea. .

Entre ellos, los cambios en la escala de los fondos de juegos de azar en línea en 2021 corresponden al desarrollo del mercado secundario de criptomonedas ese año. El crecimiento en escala desde noviembre de 2022 hasta enero de 2023 puede estar relacionado con la gran cantidad de actividades de juego durante la Copa del Mundo de ese año.

Un análisis de las fuentes de USDT de las direcciones transferidas a plataformas de juegos de azar en línea muestra que más de 7,43 mil millones de USDT provinieron directamente de plataformas comerciales centralizadas, lo que representa el 16% de la entrada total. Este lote de fondos son los jugadores que depositan directamente desde la dirección de intercambio en la plataforma de juegos de azar en línea, o el casino y sus agentes realizan la rotación de fondos a través de la plataforma de negociación. Teniendo en cuenta que los fondos de direcciones de segundo nivel de otras direcciones también provienen de la plataforma comercial centralizada, esta cifra está claramente subestimada. Esto muestra que se están utilizando plataformas centralizadas de comercio de criptomonedas para servir a la industria del juego en línea.

3.2 Cómo se utiliza la nueva criptomoneda Hash en los juegos de azar en línea

Cada transacción en la cadena de bloques corresponderá a un valor hash único. Este valor se genera aleatoriamente y no se puede falsificar. Por lo tanto, algunas plataformas de apuestas en línea han desarrollado un juego de adivinanzas basado en esto. La regla es adivinar el hash de la transacción: adivinar si el último dígito o los últimos números son pares o impares, grandes o pequeños, sobre los cuales se determina el resultado de la acción de adivinar y se dividen las apuestas.

Tomemos como ejemplo el típico juego de “adivina el número de cola”. El jugador debe iniciar una transferencia a la dirección de apuestas. Si el valor hash de la transferencia termina con un número o letra específico, el jugador gana y la plataforma devuelve el doble después de deducir algunos puntos; si los últimos números no coinciden, el jugador pierde y no se le devolverán las fichas.

Por lo tanto, estas direcciones de juegos de azar en línea en la cadena a menudo se manifiestan como transacciones de fondos de monto fijo y de alta frecuencia con múltiples direcciones, lo que resulta en una enorme escala de interacciones de fondos.

Finalmente, con una gran cantidad de variantes de juego y plataformas, este tipo de juego de hash en línea alguna vez fue muy popular debido a su ritmo rápido y juego justo. Sin embargo, debido a que el juego es demasiado transparente y los piratas informáticos roban fácilmente los fondos, la escala y la participación de mercado de estos juegos se han reducido considerablemente.

4. El uso de criptomonedas en actividades de la industria clandestina

4.1 Cómo se utilizan las criptomonedas en la industria clandestina tradicional

4.1.1 Fraude financiero y de inversiones

El fraude financiero y de inversiones es un tipo de fraude de inversiones en línea. Los estafadores a menudo afirman ser “expertos en la industria” a través de las redes sociales y otros canales, y atraen a la víctima a una plataforma falsa (generalmente una aplicación) comprendiéndola, preocupándose por ella y solicitando información, defraudándola así de sus fondos de inversión. En estas aplicaciones fraudulentas, los inversores comienzan a invertir grandes cantidades después de recibir pequeñas o incluso grandes ganancias mediante inversiones, juegos de azar, compra y venta de bienes, compra y venta de valores, etc. Sin embargo, en este momento, básicamente todos los fondos se perderán y nunca se recuperarán. Cuando la víctima descubrió que los fondos de la APP no se podían “retirar” y que no se podía contactar a los llamados “expertos”, de repente se dio cuenta de que había sido engañado.

Este tipo de fraude de inversión en línea tradicional también ha comenzado a utilizar criptomonedas o herramientas criptográficas para defraudar en los últimos años, tomando como ejemplos el fraude emocional y el fraude clandestino de referencia del USDT.

4.1.1.1 Fraude emocional

El fraude emocional a menudo se combina con el fraude de inversiones, pero las principales víctimas son los usuarios que no son usuarios de criptomonedas. Los estafadores crean personalidades en línea perfectas y utilizan la forma de citas en línea para inducir a los socios de citas en línea a comprar USDT para participar en inversiones en criptomonedas, como arbitraje de cambio de divisas, comercio de derivados, extracción de liquidez, etc.

La víctima gana una gran cantidad de dinero con sus “inversiones” en un corto período de tiempo y se la anima a invertir más. Pero, de hecho, el USDT de la víctima realmente no participó en las llamadas actividades de arbitraje. En cambio, fue transferido para su lavado después de ser transferido a la plataforma. Al mismo tiempo, la solicitud de retiro de la víctima sería rechazada por la plataforma por diversos motivos, hasta que la víctima finalmente descubrió que fue engañada.

4.1.1.2 Fraude subterráneo de referencia del USDT

El fraude clandestino del índice de referencia USDT es un método fraudulento disfrazado de blanqueo de dinero. La plataforma generalmente afirma ser una plataforma de toma de órdenes para lavar fondos USDT involucrados en el caso, pero en realidad es una estafa de inversión. Una vez que los participantes inviertan una gran cantidad de USDT, la plataforma se negará a devolver el dinero por varios motivos.

Tomemos como ejemplo una “plataforma subterránea de referencia USDT” que todavía está en funcionamiento. Permite a los usuarios utilizar "USDT limpio" para intercambiar por "USDT subterráneo" a un "tipo de cambio" de 1:1,1 ~ 1,45. El usuario recolecta el USDT clandestino y luego lo transfiere a otras plataformas para venderlo, y la parte sobrante es el ingreso de la "puntuación" del usuario.

Hasta ahora, la banda de estafadores ha obtenido ilegalmente más de 870.000 USDT mediante el mismo método. 784 direcciones independientes transfirieron USDT a direcciones fraudulentas, pero sólo 437 direcciones recibieron la devolución del dinero. Casi la mitad de los participantes no tuvo éxito en el “arbitraje”.

4.1.2 aplicación falsa

Las aplicaciones falsas se refieren a aquellas aplicaciones en las que los delincuentes utilizan diversos medios para volver a empaquetar aplicaciones genuinas y hacerlas pasar por genuinas. Las aplicaciones falsas que combinan criptomonedas incluyen principalmente billeteras falsas y aplicaciones de Telegram falsas.

4.1.2.1 APLICACIÓN de billetera falsa

El robo de moneda de una aplicación de billetera falsa es un método para robar dinero induciendo a otros a descargar e instalar una aplicación de billetera falsa con una puerta trasera para robar la frase inicial de la billetera y luego transferir ilegalmente los activos de otras personas. Los ladrones de monedas colocan enlaces de descarga de aplicaciones de billetera falsas en motores de búsqueda, tiendas de aplicaciones móviles no oficiales, plataformas sociales y otros canales. Después de que la víctima descargue e instale la aplicación y cree o sincronice la dirección de la billetera, la frase inicial se enviará al ladrón de monedas. Una vez que la víctima transfiera una mayor cantidad de criptoactivos, las monedas robadas se transferirán en lotes o automáticamente.

En la actualidad, este método está muy industrializado. El negocio del equipo de desarrollo de billeteras falsas y el equipo de operación y promoción están completamente separados. El primero solo participa en el desarrollo y mantenimiento de productos y vende soluciones de productos a través de agentes de contratación en todo el mundo; este último sólo necesita promocionar la aplicación de billetera falsa. Ni siquiera es necesario que comprenda los principios del cifrado.

El robo de firmas múltiples es una variante del robo de billeteras falsas. La tecnología de firma múltiple significa que varios usuarios firman un activo digital al mismo tiempo. Se puede entender simplemente que una cuenta de billetera tiene varias personas con derechos de firma y pago al mismo tiempo. Si una dirección solo puede firmarse y pagarse con una clave privada, la expresión es 1/1 y la expresión de firma múltiple es m/n. Es decir, un total de n claves privadas pueden firmar una cuenta y usted puede pagar una transacción cuando m direcciones la firman.

La esencia del robo tradicional de billeteras falsas es compartir los derechos de control de la billetera con la víctima. El ladrón de monedas no puede impedir que la víctima transfiera bienes. Sin embargo, basándose en el principio de la tecnología de firmas múltiples, el ladrón de monedas integrará inmediatamente la firma múltiple en la dirección de la víctima después de que ésta instale la aplicación de billetera falsa. Cuando la dirección personal se agrega a la firma múltiple, el propio propietario de la billetera no podrá transferir los activos en la billetera y solo podrá transferirlos hacia adentro pero no hacia afuera, y el ladrón de moneda podrá transferir los activos en en cualquier momento, lo que a menudo depende del momento en que la víctima transfiere grandes cantidades de fondos.

4.1.2.2 Aplicación de Telegram falsa

La aplicación típica de aplicaciones falsas en la industria clandestina relacionada con las criptomonedas es la implantación de una puerta trasera maliciosa en la aplicación Telegram. La aplicación Telegram es un software social comúnmente utilizado por inversores en criptomonedas, y muchas actividades comerciales extrabursátiles dependen de este software. Los estafadores utilizarán métodos de ataque de ingeniería social para inducir al objetivo a "descargar" o "actualizar" la aplicación Telegram falsa. Una vez que el usuario objetivo pega la dirección de blockchain a través del cuadro de chat, el malware la identificará, la reemplazará y enviará la dirección maliciosa, lo que provocará que la contraparte, que no lo sabe, envíe fondos a una dirección maliciosa.

4.1.3 Garantía de pago de terceros para la industria subterránea

La garantía de pago de terceros significa que después de que el comprador y el vendedor llegan a un acuerdo o intención de transacción de productos básicos en línea, el comprador paga primero el pago a un tercero y el tercero se lo queda temporalmente. Una vez que el comprador recibe los bienes y los inspecciona correctamente, notifica al tercero intermediario, después de lo cual el tercero pagará al vendedor para completar toda la transacción. En realidad, es un método de servicio de pago en línea que utiliza un tercero como intermediario de crédito para supervisar temporalmente el pago de bienes tanto para compradores como para vendedores antes de que el comprador confirme la recepción de los bienes. Durante esta transacción, el tercero intermediario cobrará un determinado porcentaje de las tarifas del servicio.

Actualmente, algunas plataformas clandestinas de garantía de pagos de terceros, además de los canales tradicionales de moneda legal, también han comenzado a utilizar ampliamente Tether (principalmente trc20-USDT) como fondos garantizados para brindar servicios que incluyen cambio de moneda ilegal, transacciones ilegales de productos básicos y fondos ilegales. recopilación. Se brindan servicios de garantía de pago para transacciones que incluyen pagos de agencias y transacciones de criptomonedas involucradas en el caso. Aunque los tipos de transacciones son diferentes, el proceso de transacción es consistente.

Generalmente uno de los compradores y vendedores pagará a la plataforma de garantía de pago para colocar un anuncio en el área de publicidad, ya sea en un área específica del sitio web o en el grupo oficial de Telegram. El anuncio indicará en detalle el tipo de transacción, los requisitos de la transacción y el método de pago.

Una vez completada la negociación entre el comprador y el vendedor, deben ponerse en contacto con el servicio de atención al cliente de la plataforma de garantía de pago para establecer un "grupo especial". El grupo especial es un grupo de telegramas no público que se utiliza únicamente para la comunicación de transacciones. Entre sus miembros se incluyen compradores, vendedores y robots de grupos especiales. En principio, no se permiten transacciones de uno a muchos y no se permite agregar personal irrelevante.

El vendedor necesita que el comprador transfiera el pago a la cuenta oficial de la plataforma de garantía y proporcione el certificado. Este proceso se llama "replanteo". El comerciante notificará al vendedor la entrega de la mercancía después de confirmar el pago; entonces el vendedor comenzará a enviar la mercancía después de recibir el aviso de entrega del comerciante. A continuación, el comprador confirma la recepción de la mercancía y notifica al comerciante la liberación del préstamo. Después de recibir la confirmación de recibo del comprador o la notificación de préstamo, el comerciante deduce la comisión, libera el préstamo al vendedor y proporciona el comprobante de préstamo; Finalmente, el vendedor confirma el recibo del pago y se completa la transacción.

La plataforma no asigna direcciones independientes a los usuarios para aislar fondos en cada transacción. En cambio, todos los depósitos se envían a la misma dirección de depósito dentro de un período de tiempo. Así, esta dirección recibe directamente una gran cantidad de fondos relacionados con el juego online y las industrias clandestinas, el blanqueo de capitales y otros fondos de riesgo. Al mismo tiempo, debido a su enorme escala de fondos, también confunde hasta cierto punto la dirección de los fondos y crea obstáculos para las actividades de seguimiento de los investigadores.

La auditoría de las direcciones de plataformas conocidas que garantizan actividades comerciales ilegales mostró que el tamaño de sus fondos garantizados ha tenido una tendencia creciente en los últimos 12 meses, incluidos más de 17,07 mil millones de USDT en la red TRON y más de 670 millones de USDT en Ethereum. red, lo que indica que la mayoría de las transacciones ilegales aseguradas por dichas plataformas ocurren en la red TRON.

4.2 Nuevas formas de utilizar las criptomonedas por parte de la industria clandestina

4.2.1 Robar monedas mediante autorización

Robar monedas mediante autorización es una técnica de robo de moneda que transfiere ilegalmente los activos de otras personas robando los derechos de administración del USDT de las direcciones de otras personas. Las cadenas públicas como Tron y Ethereum permiten a los usuarios transferir los derechos de operación de un determinado activo en la billetera a otras direcciones. Este último obtendrá así los derechos de administración de parte o de la totalidad de los bienes del domicilio, pudiendo reclamar en cualquier momento el contrato para transferir los bienes autorizados en el domicilio.

Este tipo de solicitud de autorización de robo de moneda maliciosa generalmente se disfraza como un enlace de pago, un acceso para reclamar un lanzamiento aéreo, un contrato interactivo y otros señuelos. Una vez que se induce a la víctima a interactuar, un activo en la dirección (normalmente USDT) se autorizará al destinatario sin restricciones y se transferirá utilizando el método "TransferFrom" en un momento posterior.

Los ladrones de monedas a menudo engañan a la víctima objetivo para que haga clic en el enlace de phishing y ejecute el contrato inteligente fraudulento. En este momento, la frase inicial de la billetera de la víctima no se filtra. Por lo tanto, aún se pueden recuperar ciertas pérdidas cancelando la autorización a tiempo.

4.2.2 Phishing de transferencia cero

El phishing de transferencia cero es una estafa dirigida a inversores en criptomonedas que no utilizan correctamente las aplicaciones de billetera. Al enviar una gran cantidad de transacciones USDT con una cantidad de 0 a una dirección de blockchain no especificada, el registro de interacción de la dirección de destino se puede aumentar sin permiso. Si una persona no especificada intenta copiar la dirección del registro de transferencia existente en el dispositivo inteligente al iniciar una transferencia a una dirección, es posible enviar fondos a la dirección incorrecta, provocando pérdidas.

Bitrace realizó un análisis de fondos en una gran cantidad de direcciones fraudulentas que han sido marcadas como direcciones de phishing en la red Tron, y definió las transacciones con montos de transferencia de menos de 1 USDT desde estas direcciones como una actividad de phishing, y las transacciones con más de 10 USDT. como producto fraudulento.

Nuestra investigación muestra que la actividad y el alcance del daño de las actividades de phishing de transferencia cero se han ido ampliando. Hasta ahora, se han perdido más de 451 millones de fondos USDT en la red TRON debido a ataques de phishing.

4.2.3 Fraude de arbitraje de monedas de plataforma falsa

Un método común de fraude de arbitraje que involucra monedas de plataforma falsas es que el estafador afirma falsamente haber desarrollado un determinado "contrato de arbitraje inteligente". Los participantes solo necesitan invertir una cierta cantidad de criptomonedas en el contrato para obtener una cantidad excedente de otra criptomoneda conocida, como Binance Coin, Huobi Points y OKX Coin. Después de obtener "ganancias de arbitraje", los participantes pueden obtener ganancias liquidándolas en el mercado comercial de terceros.

Las primeras pruebas con pequeñas cantidades arrojarán un exceso real de criptomonedas, pero una vez que la víctima invierte una gran cantidad, se devolverán tokens falsos y estos últimos no tienen ningún valor de mercado. Esta técnica de fraude es antigua pero eficaz, y todavía hay una gran cantidad de variantes activas en la comunidad de inversores en criptomonedas. No sólo causa pérdidas financieras a los inversores comunes, sino que también causa daños negativos al valor de la marca del impostor.

4.2.4 El genial comercio de direcciones de cuentas de Tron

Al igual que las actividades clandestinas tradicionales, los delincuentes de la industria criptográfica clandestina también necesitan crear o comprar identidades virtuales antes de llevar a cabo actividades ilegales y delictivas. En las actividades clandestinas tradicionales, se trata de cuentas bancarias e información de identidad. En las actividades criptográficas clandestinas, es la dirección de blockchain. Por lo general, estas direcciones se personalizan y se obtienen de proveedores profesionales de servicios de direcciones interesantes.

En las actividades de juego en línea, los operadores de la plataforma de juego en línea Hash suelen ser usuarios de las interesantes direcciones de cuenta de Tron. Comprarán cuentas interesantes al por mayor de proveedores profesionales de servicios de cuentas interesantes y utilizarán estas cuentas como direcciones comerciales para realizar funciones que incluyen recepción y pago de fondos, almacenamiento, transferencia o aceptación de apuestas, liquidación de fondos, etc.

En las actividades clandestinas, la personalización de cuentas geniales dio origen directamente a una variante más refinada de la pesca con transferencia cero: pescar con el mismo número de cola. En comparación con las transferencias ordinarias y generalizadas de cero USDT dirigidas a objetos de blockchain no específicos, el phishing del mismo número a menudo se personaliza. Los estafadores copiarán el primer y último número de las direcciones de contraparte comúnmente utilizadas por el objetivo y transferirán más dinero.

El coste de este tipo de actividad pesquera es elevado. Según la cotización de un determinado proveedor de servicios de cuentas geniales de TRON, se puede ver que una dirección personalizada de ocho dígitos tarda 12 horas en entregarse y se vende por 100 USDT. La misma cuenta de ocho dígitos sólo cuesta 100 USDT.

Además de los excelentes proveedores de servicios de cuentas de TRON, algunos proveedores de servicios de robot de chat grupal de Telegram APP, proveedores de servicios de código fuente de sitios web, proveedores de servicios de herramientas de transferencia por lotes, proveedores de servicios de cola rápida SEO y otros grupos también brindan asistencia similar a los participantes en actividades ilegales. Este artículo no explicará en detalle las circunstancias para beneficiarse de él.

5. Cómo se utilizan las criptomonedas en actividades de lavado de dinero

5.1 Formas en que se utilizan las criptomonedas en el lavado de dinero tradicional

El uso de criptomonedas en actividades tradicionales de lavado de dinero tiene como objetivo transferir pagos de usuarios de alto riesgo a cuentas de usuarios de bajo riesgo, eludiendo así las medidas de control de riesgos de las instituciones de pago. Esto generalmente toma la forma de intercambiar la moneda legal involucrada en el caso por fondos criptográficos en el mercado extrabursátil de criptomonedas, o intercambiar los fondos criptográficos involucrados en el caso por moneda legal, para bloquear el vínculo de capital y evitar el seguimiento. y represiones.

Un escenario típico de lavado de dinero robado es que después de que los estafadores defraudan a la víctima con dinero en efectivo, rápidamente dividen los fondos en pequeñas cantidades y los transfieren a varias tarjetas bancarias sucesivamente, y luego organizan un "vendedor de tarjetas" para retirar el efectivo y luego transferirlo. el efectivo por individuos, automóviles o aviones o transporte público hasta la ubicación de la banda de lavado de dinero. En el pasado, este efectivo se usaba a menudo para comprar productos básicos o se convertía en divisas y salía del país, pero ahora se usa con mayor frecuencia para comprar USDT fuera de línea. Este lote de USDT luego se convertirá en efectivo en el mercado OTC de criptomonedas o se sacará directamente del país o de otros grupos de lavado de dinero para su posterior procesamiento. En este proceso, los mercados comerciales extrabursátiles de la plataforma comercial ilegal USDT, la plataforma de garantía de pago y la plataforma comercial centralizada desempeñan un papel importante.

5.1.1 Plataforma USDT ilegal

La plataforma ilegal USDT es un nuevo método de lavado de dinero. Su modelo básico es combinar transacciones de moneda digital con plataformas tradicionales "de referencia". Primero, los organizadores de la plataforma reclutaron comerciantes de USDT comprando grandes cantidades de USDT y transfiriéndolas a bolsas extranjeras para venderlas y ganar la diferencia de precio. Luego exigieron a los comerciantes que registraran cuentas de cambio de divisas digitales con sus nombres reales y vincularan tarjetas bancarias con sus nombres personales. Los transferentes deben comprar una cierta cantidad de USDT como depósito comercial y apostarlo en la plataforma de "referencia". El organizador de la plataforma abrirá una cuenta para el transferente en la plataforma para marcar la cantidad y el precio unitario de USDT disponible para la venta en función del monto del depósito en USDT pagado por el transferente, y también anotará la cuenta bancaria del destinatario y otra información. Cuando los fraudes de telecomunicaciones en el extranjero y otras bandas criminales necesitan recibir dinero robado, primero harán una orden al transferente para comprar USDT a través de la plataforma "benchmark" y luego le indicarán a la víctima que transfiera dinero a la cuenta bancaria reservada por el transferente en la plataforma. Cuando la víctima transfiere su activo a la cuenta del defraudador, este confirma la transacción en la plataforma, completando así la primera transferencia del dinero robado. Después de eso, el transferente usó el dinero robado para continuar comprando USDT en el intercambio y retirar las monedas a la plataforma de evaluación comparativa en un ciclo repetitivo, ganando la diferencia de precio del USDT y la comisión de la plataforma en el proceso.

Las bandas de lavado de dinero denominan este tipo de actividad "recibir USDT indirectamente", lo que puede ayudar a los delincuentes y a las bandas de lavado de dinero a evitar por completo los riesgos de robo de dinero y autenticación de nombre real en la plataforma comercial.

5.1.2 Equipo de referencia

Además de contratar personal de referencia para lavar dinero robado, los blanqueadores de dinero también suelen utilizar el modelo más directo de “equipo de referencia” para lavar dinero. La forma es básicamente la misma que la del comercio ilegal de USDT, pero la diferencia es que, en el modelo del “equipo de referencia”, las transacciones de criptomonedas OTC se realizan fuera de línea y se entregan en efectivo. Primero, el líder del equipo reclutará una gran cantidad de personas reales para que se registren en cuentas de tarjetas bancarias con nombres reales. Cuando los delincuentes upstream (los llamados "propietarios de materiales") obtienen ilegalmente dinero robado (el llamado "material"), se comunicarán con el líder del equipo a través de una plataforma ilegal de garantía de pago de terceros para recibir órdenes; Luego, una gran cantidad de fondos se dividirá y transferirá a varias tarjetas bancarias bajo el control del equipo. Si el dinero es dinero negro de primera mano, se le llama “material de primera mano”. Si se trata de dinero negro de segunda o tercera mano, se le llama “material de segunda mano” y “material de tercera mano”, de los cuales este último tiene menores riesgos financieros y menores comisiones; luego, el líder del equipo conducirá con el conductor para recoger al propietario de la tarjeta correspondiente para retirar efectivo de un cajero automático local. Después de múltiples retiros de efectivo, el líder del equipo continuará usando su transporte público o personal para transportar el efectivo a una ubicación designada para transacciones fuera de línea; finalmente, con la intervención de una plataforma de garantía de pago de terceros, el líder del equipo transfiere el efectivo al objetivo para ganar una comisión y la otra parte transfiere USDT a la dirección de garantía para completar el proceso de lavado de dinero.

Este tipo de actividad de lavado de dinero adopta la forma de transferencias de cuentas bancarias multicapa, retiros de efectivo en cajeros automáticos y transacciones de criptomonedas fuera de línea. No sólo interrumpe muchas veces el enlace de seguimiento de fondos, sino que también elude la supervisión de fondos bancarios.

Bitrace realizó una auditoría de fondos en algunas direcciones de la red Tron que estaban marcadas como con riesgos de lavado de dinero y con un monto de fondo superior a 1 millón de USDT. El período de auditoría fue de septiembre de 2021 a marzo de 2023 y el contenido de la auditoría fue la transferencia de USDT.

Los datos muestran que desde septiembre de 2021 hasta marzo de 2023, las direcciones con riesgo de lavado de dinero en la red TRON han ingresado un total de más de 64,25 mil millones de USDT, y la escala de los fondos no se ha visto afectada por el mercado bajista en el mercado secundario de criptomonedas. No es difícil ver que los participantes del negocio no son inversores en el verdadero sentido.

5.2 Cómo se utilizan las criptomonedas de una nueva forma en el lavado de dinero

Para los ciberdelincuentes nativos de la industria de la criptografía, los intercambios anónimos basados en infraestructura criptográfica y ofuscación en cadena son los métodos más utilizados para lavar fondos.

5.2.1 Confusión de fondos en la cadena

Las plataformas de división de fondos y mezcla de divisas en cadena son los canales más comunes de confusión de fondos.

La división de fondos significa que los delincuentes utilizan transacciones complejas y de múltiples capas para transferir monedas virtuales paso a paso a través de diferentes direcciones de billetera y cuentas, y finalmente transferirlas a las direcciones de billetera de asociados en el extranjero, cortando así la conexión entre la entrada y salida de capital y desdibujando la moneda virtual. Este método es igualmente eficaz en actividades de lavado de dinero en criptomonedas y es un método común utilizado por los profesionales para manejar fondos en la industria clandestina.

Tomemos como ejemplo el lienzo de direcciones de un caso de fraude de inversión y financiación. Después de recolectar los fondos cifrados de la víctima, las ganancias ilegales se dividieron a través de varios canales de fondos y finalmente se recolectaron en algunas direcciones de cuentas de intercambio para retirar los fondos.

La mezcla de monedas consiste en mezclar la criptomoneda del usuario con las monedas de otros usuarios y luego transferir la moneda mixta a la dirección de destino para cubrir la ruta del flujo de moneda original, lo que dificulta el seguimiento del origen y el destino de la criptomoneda. Por lo tanto, muchas plataformas de mezcla de criptomonedas han sido sancionadas por gobiernos de varios países, incluida la más conocida Tornado.cash, que fue sancionada por la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE. UU. el 8 de agosto de 2022. . Algunas de las direcciones de Ethereum relacionadas con ellos están incluidas en la lista de nacionales especialmente formulados en los Estados Unidos. Una vez agregadas a esta lista, la propiedad y los derechos de propiedad de individuos o entidades relacionadas correrán el riesgo de ser congelados.

Pero a pesar de esto, dado que el contrato de mezcla de divisas de Tornado.Cash es público y no tiene licencia, otros usuarios aún pueden realizar actividades de mezcla de divisas llamando directamente al contrato. Tomemos como ejemplo el ataque OnyxProtocol que ocurrió el 1 de noviembre de 2023. El atacante obtuvo la tarifa de manejo de direcciones a través de la plataforma de mezcla de divisas y luego lavó fondos.

5.2.2 Intercambio anónimo en la cadena

Las plataformas comerciales libres de KYC y los puentes entre cadenas son los dos canales de intercambio anónimo en cadena más importantes.

Hasta ahora, salvo algunas direcciones físicas que han sido sancionadas, este tipo de infraestructura de cifrado no ha implementado más controles de riesgo sobre fondos de cifrado riesgosos o direcciones de cifrado de alto riesgo. Como resultado, a menudo es posible intercambiar fondos ilegales en estas direcciones inmediatamente después de un ataque.

Tomemos como ejemplo el ataque de Nirvana Finance que ocurrió el 25 de junio de 2023. Después de que el atacante obtuvo ilegalmente los fondos cifrados de la institución víctima, inmediatamente transfirió parte de los fondos a THORWallet DEX, que es una plataforma comercial descentralizada altamente privada y sin permiso que permite a los usuarios realizar intercambios entre cadenas directamente entre cadenas de bloques sin revelar información de la transacción. Por lo tanto, THORWallet se puede ver en muchos incidentes de seguridad de cifrado que han ocurrido en el pasado.

6. Los fondos de cifrado arriesgados contaminan las direcciones corporativas de web3

6.1 Abordar la contaminación en las plataformas comerciales centralizadas

Las plataformas comerciales centralizadas son uno de los lugares más importantes para el lavado de fondos USDT riesgosos. En este informe, Bitrace auditó 126 direcciones de billeteras activas de plataformas comerciales centralizadas comunes y realizó una auditoría de fondos criptográficos relacionados con juegos de azar en línea, industrias clandestinas y actividades de lavado de dinero. También se ha investigado a fondo su situación de afluencia desde enero de 2021 hasta la actualidad.

Desde enero de 2021 hasta septiembre de 2023, un total de más de 41,52 mil millones de USDT en riesgo fluyeron hacia algunas plataformas comerciales centralizadas en la red Tron, incluidos 22,579 mil millones de USDT relacionados con juegos de azar en línea, 10,570 mil millones de USDT relacionados con activos clandestinos y 8,373 mil millones de USDT vinculados. al lavado de dinero.

Desde enero de 2021 hasta septiembre de 2023, un total de más de 3,315 mil millones de USDT de riesgo fluyeron hacia algunas plataformas comerciales centralizadas en la red Ethereum, incluidos 1,1 mil millones de USDT relacionados con los juegos de azar en línea, 1,842 mil millones de USDT relacionados con la industria clandestina y 372 millones de USDT relacionados con el lavado de dinero. al USDT.

No es difícil ver a partir de la cantidad total de fondos de riesgo y la proporción de fondos de riesgo que la escala de utilización ilegal de USDT en la red Tron es mayor que la de la red Ethereum, y la proporción de fondos de riesgo en los juegos de azar en línea. categoría es superior. Esto es consistente con lo observado en la práctica. La situación es consistente: los agentes de casino y los jugadores comunes prefieren usar Tron USDT para ahorrar tarifas de gestión.

6.2 Contaminación del mercado OTC

Además del sector OTC de plataformas comerciales centralizadas, ciertas plataformas de pago, grupos de inversores en criptomonedas y comunidades de aceptantes establecerán mercados OTC de cierta escala. Dichos lugares carecen de mecanismos completos de KYC y KYT y no pueden manejar transacciones. Es difícil juzgar el riesgo de capital de la contraparte, y es difícil limitar los fondos de riesgo posteriormente, y una mayor proporción de USDT riesgosos a menudo fluirá hacia él.

Bitrace realizó una auditoría de fondos en direcciones con características típicas del mercado OTC y un tamaño de fondo de más de 1 millón de USDT. Los datos muestran que en los últimos dos años, al menos 3.439 millones de USDT asociados con actividades de riesgo han ingresado a estas direcciones, y el volumen de entrada ha aumentado con el tiempo y básicamente no se ha visto afectado por la desaceleración del mercado secundario.

6.3 La plataforma de pago cifrado aborda la contaminación

Como una de las infraestructuras en el campo de las finanzas descentralizadas, las herramientas de pago con criptomonedas brindan servicios de liquidación de fondos para instituciones blockchain, por un lado, y ciertos servicios de aceptación de criptomonedas para usuarios comunes, por otro. Por lo tanto, se enfrentan a la misma contaminación riesgosa del criptocapital.

Bitrace realizó una auditoría de fondos en las principales direcciones de plataformas de criptopagos que atienden principalmente a clientes en el Sudeste Asiático y el Este de Asia. Los datos muestran que entre enero de 2021 y septiembre de 2023, un total de más de 40,51 mil millones de USDT en riesgo fluyeron hacia estas direcciones, de los cuales 334,6 mil millones estaban en la red Tron y 7,04 mil millones de USDT en la red Ethereum. Casi en todo momento, el riesgo del USDT en la red TRON contamina más gravemente la plataforma de pagos criptográficos que la red Ethereum.

7. Conclusiones y sugerencias

Los participantes en juegos de azar en línea, industria clandestina, lavado de dinero y otras actividades están haciendo un uso extensivo de las criptomonedas, incluido el USDT, para mejorar el anonimato de los fondos y evitar el seguimiento por parte de las agencias reguladoras y policiales. El resultado directo es que las empresas Web3 que operan negocios de cifrado compatibles y los inversores comunes en criptomonedas carecen de la capacidad de identificar riesgos financieros y recaudar pasivamente dichos fondos criptográficos relacionados con actividades riesgosas, lo que a su vez hace que las direcciones de los fondos se contaminen e incluso se involucren en el caso.

Las organizaciones industriales deben fortalecer su conciencia sobre el control del riesgo de capital, establecer activamente una cooperación con las agencias policiales locales y acceder a los servicios de inteligencia sobre amenazas proporcionados por proveedores de seguridad para percibir, identificar, prevenir y bloquear fondos cifrados riesgosos para proteger sus direcciones comerciales y de usuarios. estando contaminado.

7.1 Fortalecer la conciencia sobre el control del riesgo de capital

Además de las actividades básicas de conocimiento de su usuario (KYC), que consisten en verificar la verdadera identidad de los clientes, la ejecución de transacciones y el origen de los fondos de acuerdo con la ley, las instituciones de la industria también deben realizar responsabilidades de gestión y monitoreo de transacciones anormales (KYT) de los clientes e informar violaciones de manera oportuna. Llevar a cabo una gestión jerárquica de los usuarios con actividades financieras sospechosas y riesgosas y adoptar medidas de gestión para restringir algunas o todas las funciones de la plataforma.

7.2 Comprender activamente las leyes y regulaciones locales y cooperar con las agencias encargadas de hacer cumplir la ley.

Las plataformas deben establecer o confiar un equipo profesional para llevar a cabo el acoplamiento de cumplimiento y la revisión de las solicitudes de aplicación de la ley de todo el mundo, ayudar a identificar, combatir y prevenir actividades delictivas relacionadas con las divisas, reducir las pérdidas económicas causadas y evitar fondos en la plataforma. direcciones comerciales y cuentas de usuarios de la contaminación.

7.3 Establecer una red de inteligencia sobre amenazas y un mecanismo de intercambio de información

Las organizaciones de la industria deben prestar atención a la inteligencia de la red de código abierto y estar atentos a las direcciones de ataque y los fondos relacionados con los incidentes actuales de seguridad de cifrado para garantizar que puedan contrarrestar los fondos involucrados en el flujo hacia la plataforma lo antes posible; también necesitan acceder a fuentes externas de inteligencia sobre amenazas para cooperar con empresas de seguridad y datos criptográficos para establecer retratos DID para los usuarios y adoptar restricciones de control de riesgos apropiadas para direcciones que están asociadas con direcciones riesgosas y carecen de un buen historial de interacción. Y sobre esta base, establecer y mantener una base de datos abierta de inteligencia sobre amenazas compartida por toda la industria para garantizar la seguridad y la confianza de toda la industria.

Descargo de responsabilidad:

1. Este artículo se reimprime de [panews]. Todos los derechos de autor pertenecen al autor original [Bitrace]. Si hay objeciones a esta reimpresión, comuníquese con el equipo de Gate Learn y ellos lo manejarán de inmediato.
2. Descargo de responsabilidad: los puntos de vista y opiniones expresados en este artículo son únicamente los del autor y no constituyen ningún consejo de inversión.
3. Las traducciones del artículo a otros idiomas están a cargo del equipo de Gate Learn. A menos que se mencione, está prohibido copiar, distribuir o plagiar los artículos traducidos.