北京時間 6 月24 日,當中國人民準備迎接端午佳節的時候, 789,534 枚 ETH 的鏈上轉賬引發了業界關注,因為這些ETH 正是數位貨幣領域迄今為止涉案金額最大的 PlusToken 事件中的ETH 資產,沉默了許久之後,這些ETH 在一個特別的時間節點開始了新的活動。
對於 PlusToken 具體的崩盤日期,或許還有不同的說法,但是業內基本上認為,2019 年6 月底是這一涉案金額超200 億人民幣的數位貨幣騙局崩盤的大致時間範圍。掐指一算, PlusToken 崩盤也已經過去一周年,迄今為止,對於這起案件本身和相關數位貨幣的歸屬,依然迷霧重重,餘波未了。
北京鏈安曾經參與了 PlusToken 相關比特幣和ETH 資金洗錢過程的長期追踪,特別在比特幣的洗錢分析上,更是與相關機構緊密合作,做出了業內最全面的剖析。在這裡,就讓我們回顧一下PlusToken 崩盤這一年,相關數位貨幣資金走向的一些痕跡。
昔日「幣圈餘額寶」,席捲幣圈,至今餘波未了。
事實上, PlusToken 崩盤前可不是今天這樣人人喊打,又讓受害人心緒難平的魔鬼,當年它被認為是賺錢利器,「幣圈餘額寶」 ,一時間風光無比。
PlusToken 當時宣稱自己是繼imToken 之後全球第二大數位貨幣錢包,整個團隊也很神秘,在早期的白皮書中,它以此類項目的慣常套路稱自己由三星和谷歌具備多年豐富經驗的原技術團隊開發,研發實驗室在韓國首爾。
在其最初的一份官方宣傳材料中提及創始人是谷歌阿爾法狗算法研究員 LEO ,聯合創始人為三星團隊核心技術金鐘仁,PlusToken 甚至聲稱,谷歌和三星占其股份的 17% 。到後來,他們都懶得再包裝,直接表示:不必在乎團隊是誰,中本聰也不露面有錢賺就行!那時的 PlusToken 風頭正勁,很多人琢磨了一下,好像是這麼個理兒啊!
在那個時候,網絡上有大量關於 PlusToken 的介紹,特別賺錢的「原理」,甚至各類操作視頻,而這一切並非僅僅由官方製作,也有很多人主動進行推薦和介紹,其原因正在於PlusToken 本身帶有傳銷性質。
PlusToken 建立了所謂的兩類收益方式,一類稱之為靜態收益,或者說「智能狗」收益,即將幣存入PlusToken 就可以享受「每月10% 的穩定收益」,「幣圈餘額寶」 的大名就來源於此。說白了,這就是P2P 常見的套路,以高息為名的非法集資。在P2P 領域,我們常說年化收益率敢往10% ,15% 宣傳,那一定要提高警惕。而在數位貨幣領域更甚,比如 PlusToken 的月度10% 的收益,本應該是高掛警鐘的,但還是有很多人上套。
與此同時, PlusToken 還設計了動態收益模式,即所謂的「分享」收益,這就帶有傳銷性質了,從其官方宣傳資料舉例來看,直接就列出了十層的收益結構。
於是,那個時候,你會發現大量「老師」 在各類社區出沒,他們熱心的向你推介 PlusToken 這一巨大的投資機會,生怕不能帶著你共同富裕。
上圖是當時的 PlusToken 宣傳資料之一,今天你看著好笑,但是當時正是這樣的口號讓很多投資者如打了雞血一般成為今天的受害者,又可能參與其中的傳銷過程成為加害者。
崩盤一年,資金頻繁轉移,屢成行業熱點
關於 PlusToken 的結局我們早已知曉,那就是崩盤,但是對於這一騙局當年的盛況,涉及的資產規模你可能也感覺有些模糊。通過相關線索,我們早已經摸清了PlusToken 最大的資產類型比特幣的錢包結構,可以從鏈上數據角度詳細的分析它的崛起和崩盤過程。
根據統計數據,我們可以發現儘管 PlusToken 啟動於2018 年,但是其大規模比特幣的流入開始於 2019 年2 月,不考慮可能的重複流入流出,累積流入比特幣數量超過了20 萬枚。
從錢包結構管理上, PlusToken 大致由兩個地址集群圍繞三個熱錢包地址歸集進行日常的運營,這兩個地址群包含的地址大都為PlusToken 用戶分配的充幣地址,總數超過了53 萬個。三大熱錢包地址在2018 年8 月到2019 年6 月間,按照時間順序切換使用。同時,歸集在熱錢包的比特幣會進一步向一些其它地址進行低頻但是大額的匯集,類似於熱錢包向冷錢包的歸集。最終, PlusToken 崩盤,留下了大筆的數位資產於相關地址中,接著這些地址的實控人開始了持續一年的資產轉移和洗錢過程,到今天都沒有徹底完成。
在這一年的洗錢過程中,北京鏈安通過 ChainsMap 鏈上追溯系統持續跟進,並多次通過快訊的形式向行業同步最新進展,接下來,就讓我們回顧一下當時我們發布的快訊片斷,重溫一下大致過程。
2019 年6 月30 日:
當時 PlusToken 主要錢包資產分佈在三個地址,分別為:
31odn4*** (68562 枚比特幣)
14BWH6*** (95228 枚比特幣)
33FKcw*** (37922 枚比特幣)
2019 年8 月13 日:
PlusToken 相關地址中33FKcw 打頭地址通過轉賬產生兩筆巨額UTXO (分別為15000 ,22848 比特幣)。
2019 年8 月14 日:
13 日拆解的兩筆UTXO 於8 月14 日再度拆分到9 個新地址。
其中 33FKcw 開頭的一個主要錢包地址轉移22922 個BTC 至四個新地址中,數額分別為4922 、5000 、6000 、7000 不等;
另一個主要錢包地址轉移 22922 個BTC 至五個新地址中,數額分別為2000 、2800 、3000 、3400 、3800 不等。
2019 年8 月17 日:
緊接著, 8 月17 日18 點後,這些地址再度發生轉賬,但都是分別轉到一個新生成的地址。晚上11 點後到18 日凌晨,上述地址再度開始轉賬,主要是大量拆分工作,又進一步被切分為1 到10BTC 不等的大量小額獨立地址。
2019 年8 月18 日:
截止 18 日, Plustoken 錢包地址共轉出37922 枚比特幣至新地址,已有29805 個BTC 被切分為小額轉移。
2019 年8 月28 日:
ChainsMap 安全人員跟進分析發現於前幾日發生大量拆解後地址,最近兩天被頻繁切分為0.1-10BTC 不等的大量小額地址,進一步被匯聚轉出。
這些資金並沒有直接流入交易所,而是通過類似 ChipMixer 的工具進行混淆,再通過場外OTC 的渠道賣出。
2019 年8 月23 日:
近期 PlusToken 另一個大資產錢包14BWH6 打頭地址通過大量拆分轉賬操作,向1Li4mU 開頭地址歸集,已完成33706 枚BTC 轉移。
2019 年8 月29 日:
1Li4mU 開頭地址於今日凌晨3:10 發生異動再次拆分轉賬,並於今日將相關比特幣轉賬到以下地址,
1Npr4Z*** (1932BTC )
1Nrwpr*** (2433BTC )
1FEYD9*** (1937BTC )
1BWvR7*** (3222BTC )
1QEEdd*** (1140BTC )
2019 年8 月30 日:
上述 1Li4mU 開頭地址拆分的若干大額比特幣,於昨日下午,今天凌晨再度進行拆分,已經拆分成個位數BTC 存放於大量新生成的地址。
凌晨 4 點後,上述部分地址再度開始拆分,繼續產生大量個位數BTC 。起始於29 日凌晨的相關大額比特幣轉賬大都已經拆分在20 枚BTC 以下,相關比特幣暫時都存於獨立地址。
2019 年9 月10 日:
1Li4mU 開頭地址再度開始轉賬,自昨晚22:20 開始,連續轉出三筆4000BTC 左右的大額BTC 到獨立地址,累積12646 枚BTC 。今天11 點後,這些大額BTC 再度開始拆分轉賬,相關過程仍在進行,已經拆分出個位數BTC 。
1Li4mU 開頭地址於今年8 月23 日創建,當日即接收了33705 枚比特幣,其賬上地址已經減少到4233 枚。
2019 年9 月16 日:
PlusToken 另一個大資產錢包14BWH6 打頭地址資產匯集的1H2zrV*** 地址正在啟動相似策略拆分,晚上23:08 在同一塊上連續轉出四筆3000~3800 枚BTC 的大額轉賬,其策略特徵與之前相似,每筆轉賬都拆分到300 個左右的新地址。
2019 年9 月17 日:
北京鏈安鏈上監測系統發現, 1Li4mU 開頭再度轉賬並基本「清空」。
2019 年9 月20 日:
PlusToken 被曝跑路後ETH 資產的首次異動,0xef13a2 開頭的地址向0xe380e0 開頭的地址轉移了20,008 個ETH ,暫未監測到流入交易所,主錢包地址中789,534 個ETH 尚未發生異動。
2019 年12 月19 日:
789524 枚ETH 自0xf4a2 開頭的Plustoken 地址轉至一未知0x997114***
2020 年2 月12 日:
北京時間 2 月12 日凌晨4 點34 分之後,PlusToken 昨日開始洗錢的相關BTC 進行進一步拆分,在將11999 枚BTC 拆分為7 組大額比特幣後,進一步拆分為個位數到兩位數的比特幣。此外,PlusToken 尚有一地址存有超7000 枚比特幣,近期也很有可能有進一步動作。
2020 年3 月6 日:
昨日啟動轉賬的兩個 PlusToken 相關地址,儘管時間上基本同步,但從今天的進一步行為來看,初期策略略有差別。其中一批採取了一次性均分為1000BTC 左右到若干地址,再繼續均分逐步拆解成三位數、兩位數的方式;另一批則採取不斷轉賬過程中,剝離出三位數BTC ,再進一步拆分的策略。
2020 年6 月25 日:
北京時間 6 月24 日晚間PlusToken 涉案的789,534 枚ETH 在連續兩次轉賬後,已經有超過3.5 萬枚ETH 進一步通過52 筆交易拆分轉移到新的地址,其中最大份額達9925 枚,最小份額在100 枚左右,根據其此前在比特幣上的行為模式類比推測,這很可能是一系列混淆洗錢過程的開始。
以上還只是 PlusToken 相關數位貨幣轉移的片斷,但是其每次轉移都會引發從受害人到業界人士的關注,那段時間 PlusToken 甚至成了比特幣價格下跌的背鍋俠,多次比特幣下跌後都有人驚呼「PlusToken 又在砸盤」。甚至,還有相關安全機構對比了PlusToken 洗錢活動熱度和比特幣價格曲線圖,煞有介事的進行分析,那麼PlusToken 是如何洗錢的,真的有這麼大的威力?
PlusToke 的鏈上洗錢:專業、耐心,市場影響力卻可能被誇大
整體來看, PlusToken 的洗錢過程非常專業,大致策略如下:
1. 階段性從起始地址轉出千枚 BTC 以上的超大額UTXO
2. 大額 UTXO 進行數十層的平行轉移或拆分,拆解成個最小至個位BTC 的大量UTXO
3. 不同階段分出的大額 UTXO 拆分後的UTXO 間進一步混淆拆分組合
4. 最終歸集數十枚 UTXO 進入交易所
5. 從啟動到進入交易所,通常需要經過 40 層以上轉賬
在 2019 年,這個1Li4mU 開頭的地址可謂當年知名度最高的巨鯨地址之一,媒體提及度更是當年最熱沒有之一。事實上,它正是PlusToken 相關資金的一個匯聚地址,但是在眾目睽睽之下,它依然淡定的按節奏分批洗錢。
他們的「底氣」來源於其複雜的洗錢過程,通過ChainsMap 系統追溯其中過程,可以看到每一批比特幣進入洗錢過程後,都會馬上進行逐層的拆分,通常是不斷分拆成二位數、個位數的比特幣後進行混淆,往往處理一批三四千枚比特幣的中間過程就可能產生超過 20 萬筆交易,如果沒有專業的技術手段很難剖析這個過程。
在這個過程中,最令人頭疼的就是其不同批次比特幣拆分後,相對小額數量的比特幣間的混淆和再拆分,如果通過人工分析,完全無法理清這個過程。
由於一些原因,儘管我們最終依然穿透了整個過程,但是在這裡我們無法一步介紹詳細的過程和細節,相信各位讀者已經能對其基本特點有所了解,那麼這樣的過程之下, PlusToken 擔得起近一年的比特幣價格下跌中的「砸盤」 之名嗎?
因為 PlusToken 涉案比特幣數量特別巨大,人們天然的擔心這些比特幣可能一下子砸盤的危險。但是通過前面介紹的PlusToken 洗錢的大致脈絡,我們也看到了,這不是一個快速的「砸」的過程,就其中一筆3.3 萬枚比特幣的資產也用了幾個月才清空,而且整個過程最終也是以數十枚比特幣為單位派發,它是一個漸進的舒緩的過程,何況中間的主要交易很可能在場外,涉及場內的交易從時機到節奏會進一步被分散,恐怕很難形成持續的「砸盤」的合力。
結局:騙局未有終局
從一起資金盤或者說騙局的角度, PlusToken 從崩盤之際就可算已經落下帷幕,但是從法律、社會影響角度來看,它的結局尚未到來,依然有很多受害人在努力追回損失,而對這一案件的司法行動和處理也仍在進行,在此不再贅述。
我們更想說的是, PlusToken 的崩盤結局絕不意味著數位貨幣騙局的結局,甚至就在 PlusToken 崩盤後,依然有關於PlusToken 重啟,或者所謂「PlusToken3.0」為名的新的騙局問世,這些騙局依然能吸引不少投資者參與,其中正包括部分PlusToken 的受害人。
而在 PlusToken 之後,也有新的各類模式的數位貨幣資金盤出現,而「搬磚」 似乎已經成為一種經典行騙模式,屢試不爽,包括近期曝光的所謂的「伊朗交易所」騙局。
儘管近一年暫未出現規模超過 PlusToken 的案件發生,但是我們發現數億、數十億的大案依然多次出現,數位資產騙局也正從一種新型犯罪類型成為一種新型犯罪手段,更頻繁的與傳統經濟犯罪結合。
這樣的背景下,一方面,數位貨幣相關案件覆蓋的潛在受害人群在擴大,他們對數位貨幣不了解,對 PlusToken 這樣的案例也沒聽說,這讓他們非常容易被一種所謂的「新的暴富機會」 這樣的話術所欺騙。另一方面,對於一線的司法機關來說,也在各類案件中更頻繁的發行數位貨幣相關線索,對於此類案件偵破手段的提升已經成為一個亟待解決的問題。
在我們這篇專題的結尾,我們再次提醒各位,在人類頻繁交往的社會,騙局永遠沒有終局,它們時刻可能以新的形態,新的手段,新的模式出現在你的面前。請你保持常識,對承諾過高收益率的「暴富機會」保持高度警惕,避免成為下一次騙局的受害人,成為一個更加理性成熟的投資者。
與此同時,就在我們準備發布這篇專題的時候, PlusToken 涉案的ETH 又開始了拆分過程。
(以上內容獲合作夥伴 火星財經 授權節錄及轉載,原文鏈接 | 作者:北京鏈安)
聲明:文章僅代表作者個人觀點意見,不代表區塊客觀點和立場,所有內容及觀點僅供參考,不構成投資建議。投資者應自行決策與交易,對投資者交易形成的直接間接損失作者及區塊客將不承擔任何責任。