相关阅读：《两名中国比特币 OTC 兑换商被美国司法部起诉，不久前曾被美财政部制裁》、《美国制裁两名中国比特币 OTC 兑换商，理由为协助黑客组织 Lazarus 洗钱》

原文标题：《日韩交易所被盗，美国制裁中国 OTC 兑换商？3800BTC 交易揭示背后过程》
撰文：北京链安

近日，美国财政部外国资产控制办公室（OFAC）宣布，两名中国公民因为通过比特币场外兑换（OTC）业务帮助朝鲜 Lazarus 黑客团队洗钱而遭受制裁，据 OFAC 公开的信息，涉案金额达到了 9100 万美元。而被制裁的一位中国公民表示，自己对此并不知情，他从被指控的另一中国公民在可盈可乐场外交易平台购买比特币后，资产因此于 2018 年末被平台冻结，所以他也是受害者。

据公开消息，本次案件涉及了 Lazarus 窃取的价值 2.5 亿美元的数字资产，黑客将相关比特币资产转入四个交易所，而涉案的两位中国公民正是在这些交易所通过 OTC 服务参与到了洗钱过程中。

自然的，人们纷纷猜测涉案的数字资产盗窃案件是哪一起，在向媒体披露的文章中，OFAC 尽管没有提及具体交易所名称，但是提及了相关过程，2018 年 4 月，某交易所员工下载了邮件中的 Lazarus 分发的恶意程序，从而让黑客侵入系统，并被盗取密钥。接着，该交易所价值 2.5 亿美元的数字资产被窃取，占到了当年 Lazarus 预计窃取的数字资产总量的一半，而 2018 年也被认为是该黑客组织最活跃的一年。

根据公开披露的信息，2018 年 4 月后对外承认被盗取数字资产数额较大的交易所主要有 Coinrail、Bithumb、ZAIF，这些日韩交易所被盗都曾经被猜测认为与 Lazarus 相关。当然，我们也不排除一些交易所尽管被盗，但是并未对外披露，而是直接向执法部门报案。

根据相关信息，北京链安通过 ChainsMap 链上追溯系统试图对相关过程进行一定程度的还原，并揭示当前行业在数字货币非法活动反洗钱方面面对的挑战。

OFAC 在其官网上公布了两位中国公民涉案的 20 个地址，其中 LI, Jiadong （以下简称 LI）涉及地址 12 个，TIAN, Yinyin （以下简称 TIAN）涉及 8 个地址，通过我们的地址标签库可以查询到它们属于 coincola、LocalBitcoins 等至少四家交易所。这些地址首笔交易最早发生于 2017 年 7 月，最晚发生于 2018 年 10 月，目前相关地址都已经不再活跃。

我们进一步统计了相关地址流入的比特币数量，需要注意这只是一个单向交易量的概念，不排除有重复来回的进出。尽管 LocalBitcoins 在涉案的 20 个地址中占了至少 9 个地址，但是这些地址大都只是使用一两次，涉及的历史金额加起来也只有 67 枚。coincola 成为了涉案两人主要的 OTC 交易的交易所，LI 在该交易所的一个地址历史流入比特币金额达到了 1449 BTC，而 TIAN 在 coincola 的 5 个地址涉及的历史流入比特币总额更超过了 8000 BTC，在这里我们再次强调这里提及的 BTC 流入量是一个历史交易记录累积的概念。同时，这些比特币数额也是相关地址第一笔交易后的总额，本次 OFAC 指控的洗钱交易也只是其中的一部分。

那么，涉及 Lazarus 的交易又有什么特点呢？我们根据这些地址的历史交易，经过回溯和关联发现了一批相关交易，这里我们仅举一例。

2018 年月 12 日，一笔 3800 BTC 的相关大额比特币 UTXO 开始不断转账并分出一些比特币流入交易所，图中我们可以看到即包括了 OFAC 公开的涉案地址，每次流入 30 BTC。

从这 3800 BTC 的来源来看，绝大部分来自于 2018 年 6 月 25 日到 7 月 5 日由 HitBTC 转出的数额大多以数十枚比特币为单位的转账。那么是不是 HitBTC 被黑客攻击了呢？从这些交易来看可以排除这种可能，因为它们都是由热钱包发起的同时向多个无关联地址发起的数额差别较大的交易，即典型的交易所满足用户提币需求的出币交易。而在涉案的 LocalBitcoins 地址中，接收的比特币更是大都直接来源于一些交易所的提币。

由于 Lazarus 此前攻击的交易所盗取的数字资产不仅仅是比特币，还涉及多类币种，所以我们可以推测在其洗钱过程中存在进入一些交易所将其他币种在场内交易兑换成比特币后，再转移到其它交易所场外交易变现的过程。同时，根据披露的信息，相关比特币变现后不单单进入银行账户，甚至 140 万美元流入苹果 iTunes 的礼品卡中，更让数字货币洗钱已经跟传统的多种洗钱方式紧密结合。

综合来看，尽管 OFAC 公布的信息涉及的是一起具体的交易所被盗案，但是实际涉案的数字资产很可能来源于多起黑客盗币事件，且中间经过了场内交易，并流向了更多行业和服务的资金渠道。北京链安认为，当前的数字资产洗钱已经是跨交易所、跨币种、跨行业的复杂过程，无论从行业还是政府监管角度，都急需专业的技术手段、法律法规，以及行业的共识和协作。

(责任编辑：admin)