Báo cáo tội phạm tiền điện tử năm 2025: TRON đã trở thành điểm nóng thanh toán và Ethereum đã trở thành “hộp công cụ” rửa tiền
vô giá trị
Tổng quan về các hoạt động tội phạm tiền điện tử lớn vào năm 2025
Phạm vi nghiên cứu
Báo cáo này tập trung vào các hoạt động tội phạm tiền điện tử được quan sát vào năm 2025 trên hai chuỗi khối: Ethereum và TRON. Hai mạng này được chọn vì chúng có quy mô giao dịch cao, được áp dụng rộng rãi trong hệ sinh thái tiền điện tử và thường xuyên xuất hiện trong nhiều loại dòng vốn bất hợp pháp trong các phân tích trước đây. Khi kết hợp với nhau, Ethereum và Tron đại diện cho môi trường blockchain với các bộ phận chức năng khác nhau trong các hoạt động tội phạm tiền điện tử: Ethereum và Tron mang nhiều ứng dụng chuỗi gốc hơn và các hoạt động tài chính phức tạp, trong khi Ethereum chiếm vị trí cốt lõi trong chuyển tiền ổn định và thanh toán xuyên biên giới. Hai mạng hình thành một mối quan hệ bổ sung cao trong việc tạo ra, chuyển giao và rửa tiền bất hợp pháp và cùng nhau tạo thành phương tiện vận chuyển chính cho dòng tiền tội phạm tiền điện tử.
Các loại tội phạm tiền điện tử được phân tích trong báo cáo này bao gồm: lừa đảo, tấn công, tài trợ khủng bố, buôn người, buôn bán ma túy và các hoạt động liên quan đến lệnh trừng phạt. Các danh mục này đại diện cho các hình thức hoạt động bất hợp pháp phổ biến và có ảnh hưởng nhất trong lĩnh vực tiền điện tử hiện tại và từ lâu đã trở thành tâm điểm của các cơ quan quản lý, cơ quan thực thi pháp luật và những người tham gia trong ngành.
Phương pháp
Phân tích của chúng tôi về tội phạm tiền điện tử chủ yếu bao gồm hai khía cạnh: một là đánh giá quy mô dòng vốn của các loại tội phạm khác nhau trong suốt năm 2025 và hai là phân tích các lựa chọn đích đến rửa tiền của chúng vào năm 2025. Các phương pháp phân tích và giải thích liên quan được sử dụng trong hai phần này sẽ được giới thiệu bên dưới.
Phương pháp đánh giá quy mô thu nhập hàng năm của các loại tội phạm
Khi đánh giá quy mô thu nhập hàng năm của các loại tội phạm khác nhau, chúng tôi áp dụng phương pháp thường được sử dụng trong ngành và ước tính quy mô thu nhập tổng thể của loại tội phạm này bằng cách đếm dòng tiền chảy vào từ các địa chỉ liên quan đến một loại tội phạm nhất định vào năm 2025. Cụ thể, dựa trên thư viện thẻ BlockSec AML, chúng tôi đã sắp xếp tập hợp các địa chỉ có liên quan được xác định theo từng phân loại tội phạm và tính toán số tiền số tiền gửi tài sản tiền điện tử chính thống mà các địa chỉ này nhận được trong suốt năm 2025 và sau đó tổng hợp chúng sau khi chuyển đổi thống nhất sang giá trị đô la Mỹ.
Cần lưu ý những điểm sau khi diễn giải kết quả thống kê trên:
1. Do một số địa chỉ bất hợp pháp chưa được phát hiện hoặc đưa vào kịp thời nên kết quả thống kê có thể thấp hơn quy mô thực tế xảy ra;
2. Dòng tiền bất hợp pháp nội bộ giữa các địa chỉ tội phạm khác nhau có thể khiến một số tiền bị tính nhiều lần. Chúng tôi cố gắng tránh vấn đề này nhiều nhất có thể trong phân tích của mình. Ví dụ: trong phân loại cuộc tấn công, chúng tôi ưu tiên các sự kiện tấn công cụ thể dưới dạng mức độ chi tiết thống kê;
3. Các địa chỉ cá nhân có thể tham gia vào nhiều hoạt động tội phạm cùng một lúc và thu nhập tương ứng của họ có thể được đưa vào nhiều danh mục cùng một lúc. Chúng tôi cố gắng xác định các thuộc tính tội phạm chính của các địa chỉ, nhưng trên thực tế, không thể tránh khỏi việc một số địa chỉ xuất hiện trong cả hoạt động bất hợp pháp và phân loại liên quan đến lệnh trừng phạt, như trường hợp của Lazarus Group.
Phương pháp phân tích đích đến rửa tiền của các quỹ đen và xám
Khi phân tích đích đến rửa tiền của các quỹ đen và xám, chúng tôi chủ yếu sử dụng phương pháp mô phỏng dòng vốn được đề xuất trong bài báo MFTracer. Phương pháp cụ thể là xử lý tổng thể tất cả các địa chỉ có liên quan thuộc một loại tội phạm nhất định, đồng thời mô phỏng đường dẫn tiếp theo của các khoản tiền chuyển ra ngoài trên chuỗi cho đến khi tiền đi vào thực thể dịch vụ được xác định hoặc hội tụ tại một nút trung gian được kết nối cao.
So với phương pháp phân tích các địa chỉ riêng lẻ, phương pháp này có thể mô tả rõ hơn cấu trúc rửa tiền tổng thể của các hoạt động bất hợp pháp có tổ chức liên quan đến nhiều địa chỉ và tránh tích tụ nhiều lần vào cùng một điểm đến rửa tiền. Cần lưu ý rằng phương pháp này cũng có thể có những hạn chế sau trong quá trình áp dụng:
1. Các phân tích liên quan được thực hiện dựa trên các quy trình tự động. Để đảm bảo tính khả thi và ổn định của tính toán, chiến lược cắt tỉa đã được áp dụng trong quá trình phân tích, điều này có thể khiến một lượng tiền nhỏ bị bỏ qua trong quá trình mô phỏng;
2. Việc xác định nơi ở của tiền dựa vào thư viện thẻ BlockSec AML. Khi tiền chảy vào một địa chỉ hoặc tổ chức chưa được đánh dấu, điểm đến cụ thể của nó có thể không được xác nhận thêm;
3. Một số đơn vị dịch vụ tham gia vào nhiều loại hình kinh doanh cùng một lúc (ví dụ: 1inch cung cấp cả dịch vụ trao đổi tài sản cùng chuỗi và trao đổi tài sản xuyên chuỗi). Trong trường hợp này, khi tiền chảy vào thực thể, đích đến của chúng sẽ được phân loại thống nhất là loại hình kinh doanh chính và kết quả phân tích liên quan có thể bị mất độ chính xác nhất định.
Thang thu nhập của các loại tội phạm khác nhau
Hình sau đây cho thấy sự phân bổ quy mô thu nhập của các loại tội phạm khác nhau trên hai chuỗi khối Ethereum và TRON vào năm 2025. Khi thang thu nhập của một số loại tội phạm nhất định trên một chuỗi thấp, để tránh kéo dài tỷ lệ trục tung tổng thể và ảnh hưởng đến khả năng đọc, thu nhập được hiển thị là 0 trong hình để có được hiệu ứng hình dung rõ ràng hơn.
Nhìn vào mức phân phối tổng thể, doanh thu từ tài trợ khủng bố, buôn người và buôn bán ma túy rõ ràng tập trung vào chuỗi Tron. Các tình huống sử dụng chính của tiền điện tử đối với ba loại tội phạm này tập trung vào việc giải quyết giao dịch và rửa tiền. Mạng Tron có lợi thế đáng kể về chi phí chuyển nhượng và hiệu quả thanh toán, do đó, nó dễ dàng được sử dụng hơn để thực hiện các dòng vốn đó.
Ngược lại, gian lận và các cuộc tấn công đã cho thấy quy mô hoạt động tương đối đáng kể trên cả hai chuỗi. Điều này chủ yếu là do hai loại tội phạm này có thuộc tính "bản địa chuỗi" mạnh hơn: cho dù đó là gian lận hay tấn công, bất kể chúng có xu hướng xảy ra trên chuỗi nào, số tiền thu được bất hợp pháp tương ứng trước tiên sẽ được tạo ra và kết tủa trên chuỗi đó. Trong số đó, quy mô doanh thu của các cuộc tấn công vào Ethereum cao hơn đáng kể so với Tron. Một mặt, điều này là do Ethereum có hệ sinh thái DeFi phức tạp và tích cực hơn và đã trở thành mục tiêu chính của các cuộc tấn công hợp đồng thông minh; mặt khác, chỉ riêng cuộc tấn công Bybit của Tập đoàn Lazarus vào năm 2025 đã liên quan đến khoảng 1,5 tỷ USD giá trị Ethereum và được tính vào doanh thu tấn công từ phía Ethereum, càng làm tăng thêm sự khác biệt này.
Hoạt động liên quan đến lệnh trừng phạt cho thấy sự gia tăng đáng kể bất thường vào năm 2025. So với năm 2024, doanh thu liên quan của nó đã tăng gần 100 tỷ USD. Sự tăng trưởng này chủ yếu được thúc đẩy bởi hai yếu tố: Thứ nhất, Nga tung ra đồng rúp stablecoin A7A5 với mục đích lách các biện pháp trừng phạt kinh tế. Tổng quy mô giao dịch của tài sản này trên hai chuỗi Ethereum và Tron vào năm 2025 là khoảng 70 tỷ USD; thứ hai, Huione Group, BYEX Exchange, v.v. bị xử phạt vì tham gia sâu vào các hoạt động lừa đảo và rửa tiền ở Đông Nam Á, đồng thời các dòng vốn liên quan của họ cũng được đưa vào phạm vi thống kê của các hoạt động liên quan đến lệnh trừng phạt.
Nhìn chung, sự phân bổ thu nhập này phản ánh sự khác biệt về cơ cấu trong việc lựa chọn chuỗi giữa các loại tội phạm khác nhau: các hoạt động tội phạm hướng tới giải quyết giao dịch và rửa tiền có xu hướng sử dụng các mạng lưới giải quyết chi phí thấp, hiệu quả cao; trong khi các tội phạm có nguồn gốc từ chuỗi phụ thuộc nhiều hơn vào chính hệ sinh thái blockchain nơi chúng xảy ra. Sự khác biệt này cung cấp nền tảng quan trọng cho việc phân tích tiếp theo về con đường rửa tiền, mức độ tập trung rủi ro và hệ sinh thái tội phạm khu vực.
Điểm đến rửa tiền của các loại tội phạm khác nhau
Tiếp theo, chúng tôi sẽ phân tích điểm đến rửa tiền của nhiều loại tội phạm khác nhau trên Ethereum và chuỗi Tron. Cần lưu ý rằng báo cáo này không tiến hành phân tích sâu hơn về nguồn tiền dành cho các hoạt động liên quan đến lệnh trừng phạt. Không giống như các loại tội phạm khác, các biện pháp trừng phạt không phải là một tội phạm cụ thể mà là các biện pháp hành chính do các cơ quan quản lý hoặc thực thi pháp luật áp đặt, có thể bao gồm nhiều loại hoạt động bất hợp pháp khác nhau. Nếu các địa chỉ bị xử phạt có nguồn gốc khác nhau được kết hợp để phân tích các điểm đến rửa tiền của chúng thì rất dễ nhầm lẫn giữa đặc điểm quỹ của các hoạt động tội phạm khác nhau, do đó làm giảm khả năng giải thích của kết quả phân tích.
Gian lận
Trên chuỗi Tron, đích đến rửa tiền của các quỹ lừa đảo cho thấy mức độ tập trung cao độ. Dữ liệu cho thấy hơn 80% số tiền lừa đảo cuối cùng sẽ chảy vào các sàn giao dịch tập trung khác nhau, trong đó HTX và Binance là người nhận chính, chiếm tổng cộng khoảng 50%, tiếp theo là các nền tảng như Kraken, OKX, Bybit, v.v. Ngoài ra, Huione Group nắm giữ khoảng 2,73%. Tỷ lệ này phù hợp với cáo buộc rằng FinCEN xác định đây là đầu mối rửa tiền quan trọng trong hoạt động lừa đảo ở Đông Nam Á.
Ngoại trừ các sàn giao dịch và các thực thể chủ chốt riêng lẻ, tỷ lệ các loại dịch vụ khác tương đối hạn chế. Nhìn chung, sự phân bổ này cho thấy các hoạt động gian lận trên chuỗi TRON chú trọng hơn đến việc thực hiện nhanh chóng và lưu thông hiệu quả trong giai đoạn rửa tiền, trong đó các sàn giao dịch tập trung đóng vai trò cốt lõi trong xuất khẩu vốn.
Ngược lại, con đường rửa tiền của các quỹ lừa đảo trên chuỗi Ethereum đa dạng và phân tán hơn. Mặc dù các sàn giao dịch phi tập trung (DEX) vẫn là một trong những điểm đến quan trọng nhất, chiếm khoảng 30% nhưng chúng vẫn chưa hình thành được sự thống trị tuyệt đối. Đồng thời, tỷ lệ dịch vụ trộn tiền (Mixer) vào các quỹ lừa đảo tăng lên đáng kể, chiếm khoảng 20%, trong đó Tornado Cash là đối tượng nhận chính. Ngoài ra, một số tiền cũng chảy vào nhiều loại nút dịch vụ khác nhau như sàn giao dịch tập trung, dịch vụ ví, cầu nối chuỗi chéo và giao thức stablecoin, cho thấy các quỹ gian lận trong hệ sinh thái Ethereum có xu hướng làm tăng sự nhầm lẫn về quỹ thông qua các hoạt động đa cấp và kết hợp trên chuỗi.
Lý do tại sao các cấu trúc đường dẫn rửa tiền khác nhau như vậy được hình thành trên hai chuỗi trước tiên bắt nguồn từ sự khác biệt về hình thức tài sản của các quỹ lừa đảo. Các quỹ đen và xám thu được do gian lận trên chuỗi TRON chủ yếu là USDT, có dạng tài sản tương đối duy nhất và đương nhiên có tính thanh khoản và khả năng thanh toán mạnh mẽ. Ngược lại, các loại tài sản lừa đảo trên Ethereum đa dạng hơn và bọn tội phạm thường cần chuyển đổi chúng thành dạng tài sản có tính thanh khoản cao hơn, giá trị ổn định hơn và các hoạt động tiếp theo an toàn hơn thông qua trao đổi tài sản. Sự khác biệt này sẽ được mở rộng hơn nữa trong Chương 2 kết hợp với dữ liệu liên quan đến stablecoin.
Thứ hai, hai chuỗi cũng có những ưu tiên khác nhau đáng kể trong các phương thức rửa tiền. Trong hệ sinh thái Tron, phương thức lừa đảo phổ biến hơn là kéo dài con đường rửa tiền thông qua việc chuyển nhiều địa chỉ, sau đó chảy vào các sàn giao dịch để hoàn tất việc mua lại; trong khi ở hệ sinh thái Ethereum, bọn tội phạm có xu hướng sử dụng sự kết hợp phong phú của các công cụ trên chuỗi, chẳng hạn như dịch vụ trộn tiền tệ và các cơ chế DeFi khác, để tăng độ khó trong việc theo dõi quỹ thông qua các hoạt động đa cấp.
Nói chung, con đường rửa tiền của tội phạm lừa đảo trên hai chuỗi Ethereum và Tron phản ánh rõ ràng tác động của các cấu trúc sinh thái khác nhau đối với hành vi rửa tiền: Tron thích mô hình rút tiền trực tiếp với nền tảng giao dịch tập trung làm cốt lõi, trong khi Ethereum thể hiện con đường rửa tiền phức tạp hơn và mang tính công cụ hơn. Sự khác biệt này còn được phản ánh trong việc phân tích các loại tội phạm khác. Mặc dù các lựa chọn đường đi cụ thể khác nhau đáng kể nhưng mục tiêu cốt lõi của quỹ đen và quỹ xám trong giai đoạn rửa tiền vẫn giống nhau, đó là tối đa hóa tính thanh khoản và khả năng hiện thực hóa của tài sản đồng thời giảm rủi ro bị theo dõi liên tục.
Tấn công
Trước khi chính thức phân tích đích đến rửa tiền của các khoản tiền tấn công, cần phải làm rõ: phân tích trong phần này không bao gồm các cuộc tấn công do Nhóm Lazarus khởi xướng. Nhiều cuộc tấn công trị giá nhiều đô la do Tập đoàn Lazarus thực hiện vào năm 2025 có tác động đáng kể đến sự phân bố chung của các loại tội phạm tấn công. Để tránh làm biến dạng cấu trúc tổng thể do quy mô quá lớn của một chủ đề duy nhất, việc phân tích liên quan sẽ được thực hiện riêng sau đó; các kết quả trình bày trong phần này chủ yếu được sử dụng để mô tả các đặc điểm rửa tiền chung của các loại tội phạm tấn công trên các chuỗi khác nhau.
Trên Ethereum, mục đích rửa tiền thu được từ các cuộc tấn công có cấu trúc rất đa dạng. Sàn giao dịch phi tập trung (DEX) vẫn là điểm đến chính, chiếm 38,49% và tiền chủ yếu chảy vào các giao thức như Uniswap, Cow Protocol, 1inch, Balancer và Kyber Network. Thứ hai, dịch vụ trộn (Mixer) chiếm 16,76%, trong đó Tornado Cash là đối tượng nhận chính. Ngoài ra, một số tiền cũng chảy vào các cầu nối chuỗi chéo, giao thức stablecoin, dịch vụ ví và giao thức cho vay, v.v., cho thấy những kẻ tấn công có xu hướng sử dụng kết hợp nhiều công cụ trên chuỗi trong giai đoạn rửa tiền để tăng sự nhầm lẫn về quỹ và tăng khó khăn trong việc theo dõi.
Ngược lại, nơi cất giữ các quỹ tấn công trên chuỗi TRON tập trung nhiều vào các cầu nối chuỗi chéo. Dữ liệu cho thấy khoảng 90% số tiền liên quan đến cuộc tấn công chảy ra thông qua các dịch vụ cầu nối chuỗi chéo và tập trung vào cầu nối chuỗi chéo Bridgers. Ngoài các cầu nối chuỗi chéo, một lượng nhỏ tiền chảy vào các sàn giao dịch tập trung hoặc dịch vụ giao dịch không có KYC. Phân phối này cho thấy rằng trong hệ sinh thái Tron, những kẻ tấn công có xu hướng nhanh chóng chuyển tiền sang các mạng khác để rửa tiền sau đó, thay vì hoàn thành các hoạt động rửa tiền phức tạp trong chuỗi này.
Tài trợ khủng bố
Trong số các hoạt động liên quan được quan sát vào năm 2025, các quỹ liên quan đến tài trợ khủng bố chủ yếu tập trung vào chuỗi Tron, vì vậy chỉ có phần này phân tích sự phân bổ các điểm đến rửa tiền trên chuỗi Tron.
Đánh giá từ điểm đến cuối cùng, 77,06% quỹ tài trợ khủng bố cuối cùng đã chảy vào các sàn giao dịch tập trung khác nhau, trong đó Binance chiếm 28,17% và là người nhận chính, tiếp theo là các nền tảng như Bybit, Kraken và OKX. Ngược lại, chỉ có 2,7% số tiền được chuyển sang các blockchain khác để rửa tiền thông qua các dịch vụ cầu nối chuỗi chéo, một tỷ lệ hoàn toàn trái ngược với các tội phạm liên quan đến tấn công.
Điều đáng chú ý là trong quá trình theo dõi thực tế, con đường rửa tiền tài trợ cho khủng bố thường dài hơn. Các khoản tiền được đề cập thường đi qua nhiều địa chỉ trung gian hơn và các bước chuyển tiền trước khi đến được tổ chức dịch vụ được xác định, đòi hỏi mức độ truy tìm sâu hơn để xác định điểm đến cuối cùng của chúng. Đặc điểm này cho thấy tài trợ khủng bố có xu hướng giảm thiểu rủi ro bằng cách mở rộng đường dẫn vốn trong quá trình rửa tiền.
Buôn người
Các quỹ liên quan đến buôn người cũng cho thấy đặc điểm tập trung nhiều vào chuỗi Tron theo hướng rửa tiền. Do đó, phần này chủ yếu phân tích dòng tiền trên chuỗi TRON.
Đánh giá từ điểm đến cuối cùng, các sàn giao dịch tập trung là nguồn vốn chính cho các quỹ buôn người, chiếm hơn 60% tổng số. Các khoản tiền liên quan được phân phối giữa nhiều nền tảng giao dịch, trong đó OKX, Binance và Huione Group là những người nhận nổi bật hơn. Ngoài ra, một số tiền cũng chảy vào các sàn giao dịch như HTX, MaskEx, Gate.io, v.v. nhưng dòng tiền tổng thể vẫn chủ yếu chảy trong hệ thống sàn giao dịch.
Ngoài trao đổi, một lượng tiền nhỏ còn chảy vào các dịch vụ cờ bạc (Cờ bạc). Tuy chiếm tỷ trọng không cao nhưng cũng phần nào mang tính đại diện trong các hoạt động liên quan đến mua bán người. Hiện tượng này có thể chỉ ra rằng một số quỹ trước tiên sẽ chuyển đổi sang các kịch bản giải trí hoặc giao dịch với tính thanh khoản cao hơn trước khi thâm nhập vào các cửa hàng tài chính chính thống để giảm việc xác định nguồn tiền.
Buôn bán ma túy
Các quỹ trên chuỗi liên quan đến buôn bán ma túy cũng tập trung nhiều vào mạng TRON. Việc phân tích các điểm đến rửa tiền được trình bày trong phần này cũng dựa trên các dòng vốn liên quan đến ma túy trên chuỗi TRON.
Theo hướng rửa tiền, các quỹ buôn bán ma túy vẫn sử dụng các sàn giao dịch tập trung làm lối thoát chính. Như trong hình, khoảng 77% số tiền liên quan đã chảy vào các sàn giao dịch khác nhau, trong đó Binance chiếm tỷ lệ lớn nhất, tiếp theo là các nền tảng chính thống như Bybit và OKX. Sự phân bổ này cho thấy rằng mặc dù các quỹ đã trải qua nhiều vòng chuyển tiền trên chuỗi nhưng các sàn giao dịch vẫn là nút quan trọng để tiền thu được từ ma túy đi vào hệ thống tài chính thực.
Các quỹ buôn bán ma túy thường yêu cầu mức độ truy tìm sâu hơn để tiếp cận một thực thể dịch vụ được xác định hơn là tội phạm lừa đảo hoặc hành hung. Điều này có nghĩa là đường dẫn rửa tiền thường dài hơn, có nhiều bước nhảy hơn và được phân lớp đầy đủ hơn trước khi tham gia trao đổi. Cấu trúc "các điểm đến tập trung cao độ và các con đường kéo dài đáng kể" này khiến cho việc theo dõi các quỹ liên quan đến ma túy trên chuỗi trở nên tốn kém hơn và cũng phản ánh các chiến lược rửa tiền thận trọng và trưởng thành hơn của nó trong việc xử lý các rủi ro thực thi pháp luật.
Tập đoàn Lazarus
Là một trong những thực thể có mối đe dọa tấn công tích cực và có ảnh hưởng nhất vào năm 2025, Tập đoàn Lazarus có những đặc điểm khác biệt trong thiết kế cấu trúc của con đường rửa tiền và việc lựa chọn công cụ. Do quy mô lớn của các sự cố tấn công liên quan và tác động đáng kể đến sự phân bố của tội phạm tấn công tổng thể, báo cáo này tiến hành phân tích riêng về dòng vốn của nó.
Trên chuỗi TRON, tiền của Tập đoàn Lazarus tập trung nhiều vào các sàn giao dịch tập trung. Dữ liệu cho thấy hơn 60% số tiền liên quan cuối cùng đã chảy vào hệ thống sàn giao dịch, trong đó Binance, OKX, Huione Group và HTX là những người nhận chính. Ngoài các sàn giao dịch, chỉ một lượng nhỏ tiền chảy vào các sàn giao dịch phi tập trung hoặc các loại dịch vụ khác.
Ngược lại, trên Ethereum, dòng vốn Lazarus thể hiện các đặc điểm cấu trúc khác nhau đáng kể. Con đường rửa tiền của nó tập trung vào các cầu nối chuỗi chéo, trong đó Thorchain chiếm vị trí thống trị tuyệt đối và trở thành kênh chính cho dòng vốn chảy ra. Đồng thời, một số tiền được chuyển đổi thông qua các sàn giao dịch phi tập trung (chẳng hạn như Paraswap, Uniswap, OKX Web3, v.v.) và một lượng nhỏ tiền chảy vào các giao thức stablecoin, dịch vụ cầm cố và nền tảng giao dịch không cần KYC. Nhìn chung, con đường rửa tiền trên Ethereum nhấn mạnh vào việc chuyển tiền xuyên chuỗi và sử dụng kết hợp nhiều công cụ, đồng thời độ phức tạp của nó cao hơn đáng kể so với Tron.
Nhìn chung, Tập đoàn Lazarus Các chiến lược rửa tiền trên hai chuỗi cho thấy sự phân công lao động theo chức năng rõ ràng: Tron tập trung nhiều hơn vào việc tập trung và mua lại quỹ do sàn giao dịch dẫn đầu, trong khi Ethereum đóng vai trò là môi trường cốt lõi cho cross-chain transfers and complex operations. Việc sử dụng trên chuỗi khác biệt này phản ánh việc sử dụng có ý thức và cấu hình tinh tế của các khả năng sinh thái blockchain khác nhau trong giai đoạn rửa tiền.
Tóm tắt
Tổng hợp lại, các loại tội phạm khác nhau thể hiện các cấu trúc đường đi khác biệt đáng kể trong giai đoạn rửa tiền. Những khác biệt này không chỉ được phản ánh ở các loại công cụ và dịch vụ trên chuỗi được sử dụng mà còn ở việc lựa chọn và phân công lao động của các chức năng sinh thái blockchain khác nhau theo các đối tượng tội phạm.
Tội phạm lừa đảo nói chung lấy hiệu quả và tính thanh khoản làm mục tiêu cốt lõi của chúng. Trên chuỗi TRON, tiền tập trung nhiều vào các sàn giao dịch tập trung và con đường rửa tiền là trực tiếp và tập trung. Trên chuỗi Ethereum, các quỹ lừa đảo chủ yếu được vận hành thông qua sự kết hợp của các sàn giao dịch phi tập trung, dịch vụ trộn tiền tệ và các công cụ trực tuyến khác nhau, tạo thành một cấu trúc rửa tiền tương đối phi tập trung phản ánh đặc điểm của sự chuyển đổi và nhầm lẫn dần dần.
Tội phạm tấn công thể hiện đặc điểm kết hợp công cụ và kỹ thuật mạnh mẽ hơn trong giai đoạn rửa tiền. Trên Ethereum, số tiền thu được từ các cuộc tấn công sử dụng rộng rãi cơ sở hạ tầng như sàn giao dịch phi tập trung, dịch vụ trộn tiền tệ và cầu nối chuỗi chéo để hình thành các đường dẫn dòng vốn phức tạp; trong khi trên Tron, quỹ tấn công tập trung nhiều vào các cầu nối chuỗi và có xu hướng nhanh chóng di chuyển tiền sang các chuỗi khác để hoàn tất việc dọn dẹp tiếp theo. Do một số thực thể tấn công có giá trị cao có tác động đáng kể đến mức phân phối tổng thể, báo cáo này tiến hành phân tích riêng về các thực thể có liên quan.
Tài trợ khủng bố tập trung nhiều ở điểm đến cuối cùng, với hầu hết các khoản tiền liên quan đều chảy vào các sàn giao dịch tập trung, chủ yếu là trên chuỗi TRON. Tuy nhiên, trong quá trình theo dõi thực tế, đường dẫn rửa tiền của nó thường dài hơn và yêu cầu mức độ truy tìm sâu hơn để tiếp cận thực thể dịch vụ được xác định, cho thấy rằng nó muốn giảm rủi ro phơi nhiễm trực tiếp bằng cách mở rộng đường dẫn hơn là tăng độ phức tạp của công cụ.
Con đường rửa tiền tổng thể của nạn buôn người tương đối đơn giản. Tron cũng được sử dụng làm chuỗi hoạt động chính và tiền chủ yếu chảy vào các sàn giao dịch tập trung. So với các loại tội phạm khác, một tỷ lệ nhất định các dịch vụ cờ bạc xuất hiện trong cấu trúc điểm đến, phản ánh rằng một số quỹ có thể chuyển đổi qua các tình huống có tính thanh khoản cao cụ thể trước khi vào các cửa hàng tài chính chính thống.
Các hoạt động liên quan đến buôn bán ma túy cũng tập trung nhiều vào mạng TRON và cuối cùng chủ yếu chảy đến các sàn giao dịch tập trung dưới dạng xuất khẩu vốn. Đồng thời, trước khi tham gia sàn giao dịch, các khoản tiền liên quan thường trải qua một con đường chuyển tiền trên chuỗi dài hơn và nhiều lớp hơn, phản ánh chiến lược rửa tiền tương đối trưởng thành hơn.
Ngoài ra, một phân tích riêng của Lazarus Group cho thấy các blockchain khác nhau có sự phân công lao động rõ ràng trong chiến lược rửa tiền của họ: Tron chủ yếu được sử dụng để tập trung và mua lại quỹ do sàn giao dịch dẫn đầu, trong khi Ethereum đóng vai trò là môi trường thực thi cốt lõi cho chuyển giao xuyên chuỗi và các hoạt động phức tạp.
Nhìn chung, tội phạm tiền điện tử không thể hiện một mô hình thống nhất trong giai đoạn rửa tiền mà hình thành một cấu trúc đường dẫn đa dạng trên chuỗi dựa trên các đặc điểm hành vi khác nhau và các ràng buộc thực tế. Những khác biệt này cung cấp thông tin tham khảo quan trọng để xác định các địa điểm tập trung rủi ro, cơ sở hạ tầng quan trọng và trọng tâm của hoạt động giám sát và thực thi tiếp theo.
Cơ cấu tập trung rủi ro và đòn bẩy thực thi pháp luật
Khi đánh giá rủi ro tội phạm liên quan đến tiền điện tử, việc chỉ tập trung vào quy mô của quỹ thường không đủ để hỗ trợ các quyết định quản trị và thực thi pháp luật hiệu quả. Một câu hỏi quan trọng không kém là: các quỹ đen và xám được phân phối như thế nào trên chuỗi, liệu chúng có tập trung ở một số địa chỉ chính, thực thể hoặc nút trung gian hay không, thay vì phân tán giữa một số lượng lớn các cá nhân độc lập. Nếu các dòng tài chính thể hiện các cấu trúc tập trung rõ ràng thì sự can thiệp xung quanh các địa điểm tập trung này thường có thể dẫn đến các kết quả quản trị và thực thi có đòn bẩy cao hơn.
Dựa trên phân tích trước đây về dòng vốn cho các loại tội phạm khác nhau, chương này tập trung trả lời hai câu hỏi sau từ góc độ cấu trúc tập trung rủi ro:
●Những thực thể nào tạo ra nhiều quỹ đen và xám nhất vào năm 2025;
●Địa chỉ, thực thể hoặc dịch vụ nào đã nhận và thu thập nhiều quỹ đen và quỹ xám nhất trong giai đoạn rửa tiền.
Ai tạo ra nhiều quỹ đen và xám nhất
Từ góc độ tạo quỹ, gian lận và tấn công là những nguồn quỹ đen và xám quan trọng nhất vào năm 2025, nhưng có sự khác biệt đáng kể trong cơ cấu tập trung rủi ro của cả hai.
Tội phạm lừa đảo thể hiện đặc điểm cấu trúc của "sự cùng tồn tại của phân cấp và tập trung" khi kết thúc quá trình tạo quỹ. Một mặt, số lượng lớn các hoạt động lừa đảo được thực hiện bởi các cá nhân phân tán hoặc các băng nhóm quy mô nhỏ, nhìn chung chúng thể hiện đặc điểm đa dạng về hình thức, đối tượng phân tán; mặt khác, cũng có những mạng lưới lừa đảo quy mô lớn, có tính tổ chức cao và tập trung theo khu vực, tạo thành hiệu ứng tập trung rõ ràng vào cuối quá trình tạo quỹ. Loại nút này có ảnh hưởng không cân xứng đến hệ sinh thái gian lận và phương thức hoạt động cụ thể cũng như phân bổ khu vực của nó sẽ được phát triển hơn nữa cùng với các hoạt động sản xuất đen và xám khu vực trong các chương tiếp theo.
Ngược lại, tội phạm tấn công có cấu trúc tập trung và không đồng đều ở phía tạo quỹ. Bất chấp số lượng lớn các vụ tấn công, quy mô tài trợ tổng thể chủ yếu được đóng góp bởi một số vụ tấn công có giá trị lớn. Một sự cố đơn lẻ có thể có tác động quyết định đến quy mô tài trợ cho tội phạm tấn công trong suốt cả năm. Điều này cho thấy trong tội phạm tấn công, một số ít thực thể có năng lực kỹ thuật và trình độ tổ chức mạnh là nguồn tài trợ cốt lõi.
Nói chung, cấu trúc tập trung rủi ro do các loại tội phạm khác nhau thể hiện ở giai đoạn cuối tạo quỹ là không nhất quán: tội phạm lừa đảo tập trung về mặt cấu trúc hơn, trong khi tội phạm tấn công tập trung cao độ ở cấp độ sự kiện và chủ đề. Điều này có nghĩa là, ở cấp độ sản xuất cuối cùng, các điểm đòn bẩy thực thi pháp luật tiềm năng sẽ khác nhau tùy theo loại tội phạm.
Ai đã nhận được nhiều quỹ đen và xám nhất
So với bên tạo quỹ, quỹ đen và xám cho thấy cấu trúc tập trung rủi ro ổn định và nhất quán hơn ở bên nhận. Mặc dù có sự khác biệt rõ ràng giữa các loại tội phạm khác nhau về đường dẫn rửa tiền, độ phức tạp trong hoạt động và các công cụ trên chuỗi được sử dụng, kết quả cuối cùng là các sàn giao dịch tập trung liên tục nổi lên như một nút hội tụ chính cho nhiều loại quỹ tội phạm.
Trong các loại tội phạm khác nhau như lừa đảo, tấn công, tài trợ khủng bố và buôn người, các sàn giao dịch là nơi nhận tiền quan trọng nhất. Mặc dù trong quá trình rửa tiền, một số tiền sẽ chảy qua các sàn giao dịch phi tập trung, cầu nối chuỗi chéo hoặc cơ sở hạ tầng trên chuỗi khác, dựa trên đặc điểm đường dẫn của chúng, có thể thấy rằng các dịch vụ đó chịu trách nhiệm nhiều hơn về chức năng chuyển giao và chuyển đổi hơn là điểm đến cuối cùng. Các khoản tiền liên quan có nhiều khả năng tiếp tục chảy vào hệ thống trao đổi sau khi hoàn thành chuyển đổi tài sản, phân chia đường dẫn hoặc chuyển giao chuỗi chéo.
Hiện tượng này cho thấy từ góc độ cơ cấu tập trung rủi ro, các quỹ đen và quỹ xám chưa thực sự bị phân tán do sự phức tạp của các con đường rửa tiền. Ngược lại, các loại tội phạm khác nhau cuối cùng vẫn dựa vào một số lượng hạn chế các nút trung gian quan trọng để hoàn thành việc tổng hợp và mua lại tiền, làm cho đầu nhận trở thành địa điểm tập trung rủi ro được thực thi pháp luật ổn định nhất và được thực thi pháp luật nhiều nhất.
Summary
Taken together, the risk concentration structure of cryptocurrency-related black and gray funds shows the overall characteristics of "diversified generating ends and concentrated receiving ends". Different crime types have different centralization mechanisms at the capital generation end, while at the receiving end they generally rely on a few key intermediary nodes to complete the aggregation and realization of funds.
This structural feature means that effective entry points for law enforcement and governance may not only exist in specific high-impact fund-generating entities or events, but also more stably exist at key fund receiving and transfer nodes. Carrying out targeted monitoring, intervention and collaboration around these centralized locations will help amplify governance effects with limited resources and provide a clear direction for the formulation of subsequent supervision and enforcement strategies.
Stablecoins: Executable regulatory infrastructure
With the development of the cryptocurrency ecosystem, stablecoins have gradually evolved from a payment and settlement tool to an important interface connecting on-chain activities and real-world regulation. Unlike other crypto-assets, mainstream stablecoins are usually managed by centralized issuers, and their issuance, redemption and circulation are all subject to real-world legal and regulatory frameworks. This gives stablecoins a unique attribute - supervision and law enforcement will can be directly implemented on the chain level.
In practice, stablecoin issuers have been able to exert actual influence on addresses on specific chains through mechanisms such as address freezing, asset seizure, and compliance review. This means that sanctions, enforcement and compliance requirements in the real world no longer just stay in exchanges or traditional financial systems, but are directly mapped to executable actions on the chain.
This chapter will focus on the analysis of the role of stablecoins in the governance of cryptocurrency crimes, and explore how stablecoins can gradually become an "executable regulatory infrastructure."
The core position of stablecoins in black and gray industries
In order to evaluate the actual role of stablecoins in cryptocurrency-related black and gray industry activities, this report comparatively analyzes the income asset structure of different crime types on the two chains of Ethereum and Tron. Specifically, we divide the annual total income of various types of criminal activities into native tokens, stablecoins and other tokens by asset type, and do not display the corresponding asset proportions when the income scale is lower than the statistical threshold and does not have analytical significance.
Judging from the overall results, stablecoins have occupied a core position in many types of black and gray industry activities, but this feature shows obvious differences in different blockchain ecosystems.
On the TRON chain, income assets of almost all analyzed crime types are highly concentrated in stablecoins, and the proportion of stablecoins is generally close to or reaching 100%. This shows that in the Tron ecosystem, black and gray activities have been highly "stable currency" in the fund generation stage, and stable coins have become the de facto default value carrier, rather than a simple settlement tool or transitional asset.
In contrast, on the Ethereum chain, the asset structure of black and gray income is relatively more diverse. Although native tokens still account for a certain proportion in some crime types (such as attack activities), stablecoins still maintain a significant proportion in major crime types such as fraud and attacks, constituting one of the most important forms of value carrying. This reflects that even in an ecosystem with richer asset forms and more complex financial instruments, stablecoins are still an indispensable key asset in black and gray industry activities.
In general, whether it is on the Tron chain, where stablecoin usage is highly concentrated, or on the Ethereum chain, where the asset structure is more complex, stablecoins have become one of the most important carriers of black and gray funds. This fact provides critical context for understanding the role of stablecoins in the governance of cryptocurrency crime and their potential impact as “enforceable regulatory infrastructure.” It also lays the foundation for subsequent analysis of stablecoin freezing and law enforcement practices.
Stablecoin Freezing Mechanism: From Contract Privileges to Regulatory Enforcement
For centralized stablecoins, manageability is one of the core features in their design. To ensure that tokens are controllable in compliance, risk control and law enforcement collaboration scenarios, stablecoin contracts usually have built-in privileged functions. These privileged functions not only support the issuer’s ability to manage the supply and circulation of tokens, but also constitute a key interface for supervision and law enforcement to directly access the assets on the chain.
The following takes USDT issued by TEDA as an example, combined with its contract implementation on the Ethereum and TRON networks, to illustrate the technical structure of the stablecoin freezing mechanism and how it operates in reality.
Three key functions at the contract level
The USDT smart contract has three functions that can only be called by privileged addresses to control specific addresses and assets:
●addBlackList: Mark the specified wallet address as frozen. After execution, the address will be unable to send or receive USDT, and the tokens will still appear in the wallet, but will completely lose liquidity. This operation triggers the AddedBlackList event on the chain.
●removeBlackList: Unfreeze the frozen state, restore the normal transfer function of the address, and trigger the RemovedBlackList event. This function is called significantly less frequently than the freeze operation.
●destroyBlackFunds: Permanently destroy the USDT held in the frozen address, thereby reducing the total supply of tokens. The destroyed tokens will not return to the market, and the corresponding operation will trigger the DestroyedBlackFunds event.
These three functions together form a complete control chain from "restriction of flow" to "substantial disposal" of stablecoins, allowing assets to be restricted, frozen or even removed directly at the contract level without relying on intermediary custody.
Trigger paths for freezing behavior
Although Tether has not publicly released a complete set of freezing policy documents, combined with its official statement, publicly disclosed information and observable behavior on the chain, the three main triggering paths for USDT addresses to be frozen can be clearly summarized.
The first, and most common, approach is a direct request from law enforcement. Law enforcement agencies around the world—including the FBI, U.S. Department of Justice, Secret Service, Drug Enforcement Administration, Europol, and more than 275 agencies in 59 jurisdictions with whom Tether works—can submit verified freeze requests to Tether after identifying suspicious wallets during investigations.实践中,Tether 并不总是要求正式的法院命令;只要请求来自官方机构域名,并附带明确的法律依据,即可被视为有效。在紧急情况下,Tether 甚至会基于非正式的电子邮件通知先行冻结相关地址,并在事后补充正式文件。公开信息显示,过去三年中,Tether 已处理超过 900 份执法冻结请求,其中仅美国执法机构就提出了约 460 份。
第二类途径源于对制裁规则的自动化遵循。自 2023 年 12 月起,Tether 开始主动冻结所有被列入 OFAC 特别指定国民(SDN)名单的地址,而无需等待执法部门的个案请求。该政策生效后,Tether 立即封禁了当时 SDN 名单中的全部 161 个相关地址。这一机制标志着稳定币制裁执行从“个案触发”向“规则自动触发”的转变。
第三类途径是基于区块链情报的主动冻结。通过与 T3 金融犯罪部门(由 TRON 与 TRM Labs 于 2024 年联合成立)的合作,Tether 可依据链上分析结果,对与黑客攻击、诈骗或恐怖主义融资相关的地址实施冻结,有时甚至早于正式执法请求提出之前。截至 2025 年 10 月,仅 T3 金融犯罪部门已在 23 个司法管辖区协助冻结超过 3 亿美元的犯罪资产。
冻结所涉及的主要犯罪类型
从被冻结地址所涉及的活动类型来看,其覆盖范围已相当广泛,主要包括以下几类:
●恐怖主义融资相关活动。在部分案件中,Tether 在正式查封令公开之前,已主动将与哈马斯相关的 17 个地址列入黑名单。 2025 年 6 月的执法行动中,波场链上共有 151 个与恐怖组织有关联的地址被冻结。
●各类欺诈与骗局,包括“杀猪盘”、庞氏骗局及投资诈骗。 2025 年 6 月,美国联邦检察官提起民事没收诉讼,涉及约 2.25 亿美元的 USDT,相关资金被指与加密货币投资诈骗活动有关。
●黑客攻击资金的追踪与追回。例如,T3 金融犯罪部门冻结了 2025 年 3 月 Bybit 黑客攻击事件中约 900 万美元的资产;在另一起案件中,在区块链调查人员 ZachXBT 的分析支持下,包括 Tether 在内的稳定币发行商冻结了约 500 万美元与 Lazarus Group 相关的资金。
●洗钱及非法商品交易。根据 T3 金融犯罪部门的年度报告,非法商品与服务相关案件约占其调查类型的 39%,其余则分布在欺诈、黑客攻击、与朝鲜相关的行动及恐怖主义融资等领域。
需要特别强调的是,冻结与扣押在法律与技术层面并不等同。冻结(通过 addBlackList 实现)本质上是一种临时性控制措施,其目的在于阻止资产继续流动,并不要求法院命令。而真正意义上的资产扣押,发生在 Tether 调用 destroyBlackFunds 函数,销毁被冻结的 USDT,并向政府控制的钱包重新铸造等值代币之时。这一“销毁并重新发行”的过程,通常需要通过民事资产没收程序获得法院授权,才构成执法部门对资金的正式接管。
泰达币冻结的规模化执行实践
从长期趋势来看,稳定币冻结行为在过去数年中呈现出显著上升态势。自 2017 年以来,与 USDT 相关的冻结地址数量持续增长,并在近两年出现明显加速。这一变化表明,稳定币对链上地址实施冻结的能力,已从早期的零星、个案式操作,逐步演变为一种常态化、规模化的执行。
仅在 2025 年全年,Tether 即将 4,163 个地址列入黑名单,累计冻结约 12.6 亿美元的 USDT。其中,超过一半的冻结资产(约 6.98 亿美元)已被销毁。按照 Tether 的执行机制,这部分被销毁的资金通常会被重新铸造,并返还给受害者或移交给执法机构,完成实际意义上的资产接管。
从链上分布来看,冻结活动在不同公链上的表现存在显著差异。波场链上的冻结地址数量约为以太坊的5 倍以上,累计冻结金额也明显更高;而在以太坊上,单个被冻结地址的平均资产规模则更大。这一差异与两条链在黑灰产中的使用方式高度一致:波场更偏向高频、规模化的资金流转场景,而以太坊则更多承载单笔金额较大、结构更复杂的资金操作。
从时间维度观察,2025 年的冻结行为并非均匀发生,而呈现出明显的“波段式”特征。全年冻结活动在 7 月达到峰值,单月被列入黑名单的地址数量显著高于其他月份。这种集中爆发的节奏,反映出稳定币发行方的冻结行动,与执法和监管部门的外部行动之间存在较强的同步性。冻结不再是被动、事后响应的措施,而更接近于配合专项执法行动展开的系统性执行工具。
进一步分析被冻结资金的分布结构可以发现,冻结规模在资金层面呈现出高度集中特征。约 75% 的被冻结资产,集中在 275 个余额超过 100 万美元的地址之中。这一结构意味着,稳定币冻结在实际效果上并非平均作用于所有参与者,而是能够对关键节点和高价值账户形成显著约束,在资金层面产生明显的“杠杆效应”。
与此同时,这一分布也揭示了执法实践中的“双层策略”:一方面,通过冻结高余额地址,对与重大调查或核心犯罪活动相关的主体造成实质性资金损失;另一方面,通过大规模冻结余额较小的地址,持续清理跑腿钱包、中间人和洗钱节点,从而削弱非法网络赖以运转的基础设施。
需要强调的是,一旦地址被加入黑名单,其所持 USDT 将立即失去可转移性,相关资金无法继续在链上流动。这意味着,稳定币冻结并非事后追溯意义上的风险标记,而是一种直接改变资产状态的执行行为。从链上视角看,执法意图并不是停留在合规提示或风险警示层面,而是被明确地“写入”并落实到资产本身的可用性之中。
稳定币合规的制度性转折
将 2025 年的稳定币冻结数据置于更长时间尺度下观察,可以发现,这一年并非孤立的异常,而是多项结构性变化叠加后的集中体现。稳定币合规在 2025 年出现的执行强度提升,既源于制度环境的变化,也反映了稳定币在黑灰产体系中角色的根本转变。
首先,监管框架层面的明确化,为稳定币合规执行提供了制度基础。 2025 年 7 月,美国正式通过《GENIUS Act》,首次在联邦层面为稳定币建立系统性监管框架。该法案将稳定币发行方明确纳入金融监管体系之中,要求其履行反洗钱、反恐融资及制裁合规义务,并具备执行合法冻结与资产处置指令的能力。对于在美国市场具有实质影响力的境外发行方而言,这意味着其合规责任从“合作层面”上升为“制度要求” 。尽管法案设定了过渡期,但其信号已十分明确:稳定币发行方需要具备持续、可规模化的合规执行能力。
其次,稳定币在非法资金流动中的结构性地位,使其成为治理体系中无法回避的关键节点。多项研究表明,在 2025 年,稳定币已占据非法加密交易总量的绝对多数。稳定币并非因其属性而天然更易被滥用,而是由于其在合法与非法活动中均被广泛采用,成为跨链、跨平台资金流动的通用载体。这一现实意味着,任何涉及加密货币的合规体系,几乎不可避免地会接触到与非法活动存在关联的稳定币地址,合规执行不再是“是否发生”的问题,而是“何时发生”的问题。
再次,从执行结果来看,2025 年的冻结行为已显现出明显的长期趋势特征。链上数据显示,USDT 的冻结规模在过去数年中持续上升,2025 年达到阶段性高点。仅在这一年内,被冻结的 USDT 金额即超过十亿美元,而放眼更长周期,自 2023 年以来,累计被冻结的 USDT 已达到数十亿美元规模。冻结行为不再是零散、偶发的个案,而是呈现出逐年递增、节奏清晰的趋势。
综合来看,2025 年之所以构成稳定币合规的转折点,并不在于冻结数量或金额本身,而在于三项变化的同时发生:监管规则的明确化、稳定币在黑灰产中的核心化,以及合规执行能力的规模化落地。这使得稳定币从“可被监管的对象”,转变为“可被直接调用的执行基础设施”。
在这一背景下,稳定币冻结不再只是合规体系中的辅助措施,而逐步成为连接监管意图与链上资产状态的关键接口。这一转变不仅重塑了黑灰产网络对风险的预期,也为后续围绕稳定币展开的跨机构协作、链上治理与持续监管,奠定了现实基础。
东南亚组织化黑产的链上演进:人口、平台与执法博弈
在全球加密货币相关的黑灰产活动中,犯罪行为的空间分布往往呈现出明显的区域集聚特征。东南亚正是这样一个在长期观察中反复出现的区域:一方面,该地区的黑灰产活动并非主要由某一单一犯罪类型所驱动,而是逐步发展出一个由诈骗活动、洗钱网络、稳定币使用以及线下人口控制与劳务组织机制相互交织而成的复杂生态系统;另一方面,这一生态在较长时间内保持了相对稳定的运作结构,使其成为分析加密货币犯罪整体形态的重要切入口。随着诈骗活动在该地区不断向园区化、规模化方向演进,线上资金活动与线下组织结构之间的耦合关系也愈发紧密,为相关网络的持续运作与跨区域复制提供了现实基础。
从链上数据的长期观察来看,与东南亚相关的资金网络在多类犯罪活动中反复出现,并在交易结构、洗钱路径以及对特定基础设施的依赖程度上呈现出较强的一致性。 2025 年为进一步分析这一现象提供了一个尤为清晰的时间背景:与此前相比,全球范围内针对东南亚诈骗及相关洗钱活动的执法与监管行动明显加密,多个司法辖区在制裁、刑事执法、稳定币冻结以及与加密服务提供方协作等方面持续施压。在这一高压环境下,本章将东南亚黑灰产生态作为集中分析对象,结合线下组织形态与链上数据,考察诈骗园区、劳务担保平台等中介机制在支撑人口与资金流转中的作用,并分析相关网络在执法环境变化下所呈现出的链上行为调整。通过这一具有代表性的场景,本章旨在揭示在更广泛范围内同样具有参考意义的趋势与治理挑战。
诈骗园区与劳务担保:人口供给链的形成
工业化运作的诈骗园区
东南亚的诈骗园区已不再是零散、临时的犯罪窝点,而是呈现出明显的工业化运作特征。在缅甸、柬埔寨、老挝等地,大量诈骗园区以集中作业的形式存在,具备清晰的组织结构、稳定的人员编制,以及封闭的生活与工作空间。园区内部通常设有宿舍、办公区和后勤设施,并由武装力量控制人员出入,形成高度封闭的运行环境。
从地理分布上看,这些园区并非随机散落,而是沿边境地区呈现出明显的带状集聚特征,尤其集中在执法力量薄弱、跨境通道复杂的区域。这类地区通常监管能力有限、政局不稳定,为犯罪集团长期驻扎和规模化运作提供了现实条件。
园区内部的“业务”同样高度标准化。诈骗活动往往以多条“产品线”并行展开,包括虚假投资、情感诈骗、冒充公检法以及网络赌博等,目标群体主要位于境外。相关流程被拆解为可复制的操作步骤,话术和脚本持续迭代,甚至连寻找潜在受害者的行为也被量化为具体的绩效指标。
人力供给机制:诱骗、控制与转卖
如果将诈骗园区视为一座“工厂”,其持续运作的前提在于稳定且可替换的人力供给。从已有案例和调查材料来看,园区的人力来源通常经历三个阶段:招募或诱骗、控制与强迫劳动,以及内部流转或转卖。
招募阶段往往以高薪职位、海外就业机会或线上娱乐公司等名义展开,目标人群主要集中在信息获取能力有限、经济压力较大的群体。一旦出境,原有承诺迅速失效,护照被收缴,人身自由受到限制,原本的劳动关系随之转变为事实上的强迫劳动。
在此基础上,一种更为系统化的现象逐渐显现:被控制人员在不同园区之间被反复转卖和流转。当个体无法完成既定指标,或被视为“效率不足”时,便可能被再次出售给其他园区。这种内部流通机制意味着,诈骗园区已不再只是犯罪活动的发生场所,而是逐步演变为一个具备劳务交易属性的封闭市场。
劳务担保平台:人口交易的中介化与平台化
在这一背景下,本报告识别出一种正在加速人口贩运规模化的新型中介形态——劳务担保平台。与传统人口拐卖模式相比,这类平台通过规则化和平台化的运作方式,将原本高度依赖暴力威慑和私下协商的交易,转化为一套相对标准化的中介服务。
劳务担保平台同时连接两端需求:一端是持续需要劳动力的诈骗园区,另一端是负责诱骗、运输与交付人员的贩运者。平台以“担保人”的角色介入,通过“押金+ 尾款”的结算机制降低交易违约风险,并从中抽取服务费用。具体而言,园区需先支付押金以确认需求,在人员完成交付并经确认后,平台再向贩运者结清尾款。
这一机制在形式上高度类似电商平台的交易流程,使原本非法且高风险的人口贩运被包装成一套看似“有规则、有信用”的交易体系。交易双方在平台规则的约束下形成稳定的协作关系,从而显著降低了人口贩运过程中的交易摩擦与不确定性。
沟通与结算基础设施:Telegram 与稳定币
在具体运作层面,劳务担保平台高度依赖两类基础设施:即时通讯工具与稳定币支付网络。
沟通主要发生在 Telegram 平台。一方面,小型私密群组用于讨论具体交易细节,包括交付地点、价格和确认流程;另一方面,大型公开群组则承担宣传和信用展示功能。平台和参与者通过展示聊天记录、交易确认信息以及链上转账记录,向潜在交易对手传递“成交快、可信度高”的信号,从而吸引更多供需双方进入体系。
在资金结算上,平台普遍选择波场网络上的 USDT 作为通用结算工具。平台通常控制一个或多个收款地址,园区将押金和尾款支付至该地址,平台再将资金分发给贩运者,完成担保闭环。低成本、高效率、跨境便利的稳定币转账机制,使这一跨国犯罪网络的结算流程得以高度自动化和规模化。
劳务担保平台的链上供方行为
在前文对诈骗园区及劳务担保平台运作机制的分析基础上,本节进一步将研究视角聚焦于链上数据。我们选取一家长期从事劳务担保业务、且在相关社群中保持较高活跃度的平台作为研究对象,结合其链上交易记录与群组信息,对参与人口贩运的供方行为进行画像分析,并系统统计其交易频次、金额分布以及资金流向特征。
供方规模与交易频次:重复参与成为常态
在所分析的平台中,我们共识别出 652 个与人口贩运相关的供方地址,累计交易金额约 1,458 万美元。从交易参与情况来看,重复参与是该平台供方行为的常态。
仅有 216 个地址(33.1%) 只参与过一次交易,这意味着超过三分之二的供方地址至少参与过两次及以上的贩运交易。进一步观察发现,约三分之一的供方地址交易次数达到四次及以上,表明该平台并非仅吸引一次性参与者,而是逐步形成了一批持续参与、反复作案的供方群体。在极端情况下,少数地址的交易次数甚至超过二十次,呈现出高度职业化的人口贩运行为特征。
这一分布特征表明,劳务担保平台并非简单撮合零散个体行为,而是在事实上培育并维系了一批稳定、可重复使用的人口贩运供方,从而显著降低了该类犯罪的组织成本与持续运作门槛。
交易金额分布与稳定的定价区间
在交易金额层面,我们统计了每个供方地址通过平台获得的 USDT 总收益,发现其分布呈现出明显的集中区间特征。
供方地址的总收益中位数约为 11,023 美元,平均值约为 22,377 美元。约 54.2% 的地址总收益集中在 5,000–25,000 美元区间内,其中 5,000–10,000 美元与 10,000–25,000 美元两个区间各自占据接近四分之一的比例。结合相关群组信息可以观察到,这一区间与公开讨论中单个人员的交易价格高度一致。
值得注意的是,这一分布并非由少数极端高额交易所驱动。相反,其相对稳定的形态表明,在供需关系、交付风险与成本因素的共同作用下,人口贩运交易正在形成一个相对固定的价格区间。这种价格结构的存在,反映出劳务担保平台在一定程度上降低了交易不确定性,并推动相关黑市交易向常态化方向发展。
资金出口与兑现路径:供方收益的最终去向
在获得稳定币收益后,供方如何将其转化为现实世界中的可支配资金,是理解该类犯罪为何能够持续运作的关键问题。
我们对约 120 个供方地址的下游资金流进行了抽样追踪,这些地址通过平台获得的收益合计约 62.46 万美元。分析结果显示,至少 54.3% 的非法收益最终流入中心化加密货币交易所完成兑现,涉及多个主流交易平台。其中,部分交易所承接了较为集中的兑现资金,反映出其在该类资金链条中的关键位置。
从具体行为模式来看,可以观察到两类较为典型的洗钱路径。一类供方缺乏洗钱经验,资金在较少的跳数内即流入交易所,甚至直接将交易所存币地址作为收款地址;另一类供方则尝试通过拆分金额、延长路径、并将资金分散流向多个交易所等方式,对资金来源进行混淆。
将上述抽样结果外推至整体交易规模,可以估算约有 790 万美元以上的非法收益最终通过交易所完成兑现。这一结果进一步表明,尽管人口贩运交易发生在高度隐蔽的黑市环境中,其资金的最终出口仍然高度依赖于数量有限的中心化金融基础设施。
执法压力下的链上交易反应与适应
为分析劳务担保业务在执法压力下的链上行为变化,本报告对领航担保平台在 2025 年全年的交易量与交易额进行了统计,并绘制其随时间变化的趋势图。
从分析角度看,该趋势图并不直接反映诈骗园区或线下组织中的具体事件,而是刻画了外部治理与执法压力如何通过不同渠道传导至黑市交易活动,并在链上表现为可观测的波动。整体而言,领航担保平台在 2025 年的链上活动呈现出较为清晰的阶段性变化,可大致划分为三个阶段:4–5 月的明显下滑、6–7 月的阶段性回升,以及 8 月后的持续走低。
多线施压下的短期收缩
图中最为显著的首轮下滑出现在 4–5 月。该阶段的变化并非由单一事件触发,而是园区端治理行动与金融及平台层面的监管措施在时间上的叠加效应,共同抬升了交易摩擦水平,导致劳务担保相关的黑市活动在短期内明显收缩。
在园区端,2025 年初起,泰缅边境针对诈骗园区的治理力度持续加强,包括对部分边境区域实施电力、燃料及网络供应的限制,以干扰诈骗中心的正常运作。路透社于 2025 年 3 月的报道指出,在多国联合行动下,已有部分受害者被解救并遣返。对劳务担保交易而言,此类治理行动同时作用于供需两端:一方面显著提高了人员“送达园区”的组织成本与不确定性,另一方面也削弱了园区在短期内公开招工和撮合交易的活跃度。
在金融与平台层面,5 月 1 日,美国财政部金融犯罪执法网络(FinCEN)将柬埔寨 Huione Group 认定为“主要洗钱关注对象”,并提出限制其进入美国金融体系的拟议规则,明确指向其与网络诈骗及洗钱生态的深度关联。随后,Telegram 于 5 月中旬开始封禁与 Huione Guarantee、Xinbi Guarantee 等担保生态相关的账号与频道。尽管领航担保并非上述行动的直接针对对象,但此类“生态级”的监管与平台治理措施显著提升了整体不确定性,促使黑市参与者推迟交易决策、减少在公域渠道展示成交行为,最终在链上体现为交易量与交易额在该阶段同步下滑。
冲击后的适应与反弹
进入 6–7 月,平台的交易量与交易额出现阶段性回升。这一变化与我们在跨境诈骗及劳务担保生态中的长期观察高度一致:短期高压打击往往并不会直接导致相关活动消失,而更常见的结果是迁移、重组与再组织。
来自地区媒体与研究机构的多项记录表明,在妙瓦底(Myawaddy)等重点区域受到集中关注和打击后,部分诈骗团伙会将运作重心转移至邻近园区或其他据点继续活动。 《伊洛瓦底》(The Irrawaddy)的报道指出,一些团伙在 KK Park 等区域进入执法与舆论聚焦后,选择转向周边地区维持经营。联合国毒品和犯罪问题办公室(UNODC)在其 2025 年关于湄公河区域诈骗产业的报告中亦指出,当执法压力上升时,有组织犯罪往往采取“对冲与多元化”策略进行应对,包括调整运作模式、分散风险敞口,以及重建渠道和金融路径。
映射到劳务担保业务的具体场景中,这种适应性表现为一系列可观察的替代行为:原有园区被拆除后,新的园区在其他地区出现;公开的担保公群被封禁后,新的频道迅速建立;当既有区块链地址受到持续关注时,资金流动则迁移至新的地址体系或路径结构。
在这一背景下,6–7 月交易量与交易额的回升,可以被理解为黑市生态完成了从初期冲击阶段向适应阶段的过渡,其运作并未中断,而是在新的风险约束条件下重新达到相对稳定的活动水平。
长期挤压下的结构性回落
与前两个阶段不同,8 月至年底呈现的并非一次剧烈的断崖式下跌,而是一条更为平缓、持续的下行通道。这一变化更符合治理与监管压力长期增强所带来的结构性调整特征,而非短期冲击下的波动反应。
在监管层面,美国相关行动并未止步于 5 月的定性判断。 FinCEN 于 10 月发布最终规则,进一步切断 Huione Group 与美国金融体系的联系,使针对诈骗及洗钱生态的金融约束由阶段性措施转向持续性制度安排。这类政策信号在时间上的累积,强化了黑市参与者对长期风险上升的预期,对交易活跃度形成持续挤压。
与此同时,平台侧的治理措施也逐步走深。与担保生态相关的公开频道和群组被持续清理,使依赖公域渠道进行获客、撮合交易和“晒单式背书”的模式显著受限。在这一环境下,交易活动更可能迁移至私域小范围圈子,或分散至更多替代性的担保服务,并通过更加碎片化的地址体系完成结算,从而降低单一平台或渠道暴露带来的风险。
需要注意的是,平台层面的封禁并不必然等同于业务活动的即时终止。以领航担保为例,其公开频道被封禁后,相关区块链地址在 9 月至 12 月期间仍出现零星收款。这种“可见渠道被清理,但资金路径未同步冻结”的错位现象,表明部分交易活动正在从高可见度的公开空间转入更隐蔽的私域环境,链上活动由集中转向低频、分散的状态。
小结
从 2025 年全年交易量与交易额的变化趋势来看,劳务担保平台的链上活动并未呈现出“被打击即消失”的线性反应,而是清晰地体现出在外部执法与监管压力下的阶段性调整与适应过程。短期内,针对园区端和金融端的多线施压能够显著抬高交易摩擦,导致黑市活动收缩;但随着渠道重建和参与者行为调整,交易活跃度往往会出现回弹,反映出该类生态较强的适应能力。
在更长时间尺度上,持续、高频的治理行动则逐步改变了黑市交易的组织形态。公开渠道和集中平台的重要性下降,交易活动趋向私域化、碎片化,链上表现为更低频、更分散的资金流动。这一变化并不意味着需求消失,而是意味着交易方式和可见度的重构。
总体而言,领航担保平台在 2025 年的链上行为表明,执法与监管压力确实能够对黑灰产活动产生实质影响,但其效果更多体现在改变运作结构和提高交易成本,而非立即切断全部活动。这一特征为理解东南亚黑灰产生态在高压环境下的演化路径,以及识别更具长期效果的治理杠杆,提供了重要的实证背景。
监管启示:从打击个体行为到约束关键基础设施
综合本章对东南亚黑灰产生态的分析,一个反直觉但反复被验证的结论逐渐清晰:推动黑市规模持续扩张的,往往并非更隐蔽的犯罪手段,而是更高效、低摩擦的基础设施。
在东南亚,诈骗园区通过高度组织化的运作方式,将诈骗活动转变为可复制、可扩张的“工厂化”流程;劳务担保平台进一步将人口贩运包装为规则清晰、可结算的交易过程,使原本依赖暴力和私下协商的黑市行为被纳入平台化运作之中。与此同时,Telegram 显著降低了市场沟通与获客成本,而基于波场网络的 USDT 结算体系,则使跨境支付、分润与资金调度几乎可以低摩擦完成。
在这一体系下,“买人”和“卖人”不再依赖彼此之间的信任,而是依赖平台规则、链上转账记录以及可以被反复传播和验证的交易凭证。当关键流程被标准化、模块化后,相关网络便具备了高度的可复制性与恢复能力——可以被迁移、被重建、被更名、被重新上线。这也解释了为何在多轮执法行动之后,链上交易活动往往呈现出“短期收缩、快速恢复”的典型特征。
这一观察为监管与执法提供了重要启示。针对东南亚黑灰产生态的治理,如果仅聚焦于单一园区、个别平台或具体案件,往往只能产生阶段性、局部性的效果。相比之下,更具长期杠杆效应的切入点,存在于支撑该体系高效运转的关键基础设施之中。
具体而言,治理的关键不在于“是否存在犯罪”,而在于:黑灰资金是否持续集中流向少数关键地址或实体,犯罪活动是否依赖可复制的群组网络进行组织与协同,以及非法收益是否能够顺利通过中心化交易所完成最终兑现。只有在“供给—交付—结算—兑现”这一完整链条上形成协同约束,才能实质性削弱劳务担保平台及其背后黑灰产网络的运作效率,使其规模化优势不再成立。
毒品黑产的金融化转型:从现金走私到链上洗钱网络
在加密货币相关犯罪的研究中,毒品贩卖通常被视为一种“传统型犯罪”。其链上活动往往被简化为非法交易的一个分支,分析重点更多集中在交易对象和交易行为本身,而对其背后的资金运作与洗钱体系关注相对有限。
然而,随着加密货币逐步嵌入跨境资金流动和地下金融网络,这一认知正在发生变化。毒品犯罪并未止步于将加密资产作为简单的结算工具,而是在资金层面不断吸收和重构链上基础设施,将其纳入更系统化的洗钱与资金调度流程之中。特别是稳定币的广泛使用,使毒品相关资金在跨境转移、价值存储和变现执行方面,获得了以往现金体系难以实现的效率与灵活性。
通过本章所分析的两个案例可以看到,毒品贩卖相关资金正经历一场明显的“金融化”转型:从依赖现金走私和线下地下渠道,逐步演化为以链上操作为核心的洗钱网络。加密货币在其中不再只是被动的支付工具,而是成为连接不同环节、不同地域和不同参与者的关键金融基础设施。这一转变不仅改变了毒品犯罪的资金结构,也对监管和执法提出了新的挑战。
案例一:暴力贩毒集团的洗钱网络
Ryan James Wedding 案为理解毒品犯罪如何系统性地将加密货币纳入洗钱与资金调度体系,提供了一个高度清晰且罕见完整的样本。该案涉及一个横跨加拿大、美国、墨西哥及拉丁美洲的可卡因贩运网络,其组织规模、分工复杂度以及对加密资产的依赖程度,均体现出成熟有组织犯罪的典型特征。与许多仅将加密货币作为辅助结算工具的案件不同,在本案中,加密资产已被深度嵌入犯罪集团的核心资金运作结构之中。
根据起诉书披露,Wedding 犯罪集团对贩毒所得的清洗主要涉及美元、加元及加密货币三种形式。其中,在加密资产层面,犯罪集团将大额毒品收益持续拆分为多笔小额转账,通过多个 USDT 钱包进行快速转移,并最终将资金汇集至由被告 Ryan James Wedding 实际控制的核心钱包。司法文件明确指出,Sokolovski、Hossain 与 Canastillo-Madrid 等人承担了洗钱流程中的关键执行角色,与其他已知或未知的协助者一同,被认定为 “Wedding 犯罪组织” 成员。
结合起诉书披露的信息与对应的链上分析结果,可以观察到,该犯罪集团围绕毒品收益构建了一套层级清晰、分工明确的洗钱网络结构。位于上游的是一组与毒品交易直接相关的地址集群,这些地址承担初始资金接收与快速分流职能,在短时间内完成多笔拆分与转移,以降低单一地址暴露风险。这一阶段强调速度与频率,为后续更系统化的清洗流程创造条件。
进入中游阶段后,洗钱活动呈现出更为明显的组织化特征。司法文件与链上路径均显示,至少存在两条并行但分工清晰的资金路径。一条路径以 Sokolovski 为核心,其控制的地址承担资金汇集与对外变现职能,大量资金最终流入中心化交易所(如 KuCoin),完成向法币或高流动性资产的转换。另一条路径则通过 Hossain 等节点,将资金继续在链上进行多轮转移,并最终汇集至由 Ryan James Wedding 实际控制的钱包地址。
这种“双路径”结构在功能上形成互补:一端侧重于快速兑现与资金落地,另一端侧重于资金控制、调度及再分配,从而在效率与控制权之间取得平衡。起诉书亦明确指出,洗钱活动由专门角色负责执行,其组织结构与毒品交易本身在职能上相对分离,反映出洗钱已成为一种高度专业化、可外包的犯罪职能。
稳定币在该体系中发挥了关键作用。起诉材料与链上数据均显示,USDT 被广泛用于不同阶段的资金转移与结算。相较价格波动较大的加密资产,USDT 为跨阶段、跨角色的资金流转提供了稳定的计价单位,降低了长周期洗钱过程中的价值不确定性。同时,其在主流中心化交易所中的高流动性,使其成为连接链上洗钱操作与线下资产变现的关键桥梁。这种选择并非主要出于匿名性考量,而是基于稳定性、可用性与执行效率的综合权衡。
总体来看,Wedding 案所呈现的是一种高度组织化的链上洗钱结构:清晰的角色分工、可复制的操作流程,以及围绕稳定币构建的资金中枢。该案例表明,在当代毒品犯罪中,加密资产已不再只是规避工具,而是逐步演变为支撑跨国犯罪网络持续运作的重要金融基础设施。
案例二:作为地下金融服务的链上洗钱体系
与 Wedding 案中“犯罪集团内部消化洗钱需求”的模式不同,本案所揭示的,是一个相对独立运作的专业化洗钱网络。该网络并不隶属于某一个具体的毒品走私组织,而是以“洗钱服务提供者”的角色存在,长期为包括毒品贩运在内的多类非法活动提供资金清洗、跨境转移与结算服务。
在这一结构中,加密资产并非犯罪收益的终点,而是被嵌入到一套跨阶段、跨地域的地下金融流程之中,承担价值中介和调度工具的功能。调查材料显示,该网络具备稳定的客户来源、明确的角色分工以及可复用的操作流程,呈现出明显的“服务化”特征。
洗钱流程的组织方式:从分散接收到集中控制
根据宣誓书披露的信息,该洗钱网络的整体结构呈现出明显的“漏斗型”特征。
在上游阶段,资金首先由大量中间地址接收。这些地址对应不同地区、不同来源的非法交易收益,其中包括毒品贩运产生的资金。相关地址承担的是初步接收与分流职能,资金在进入核心节点之前,通常会经历多轮拆分、重组与短周期转移,以拉长路径、降低单一地址的风险暴露。
与 Wedding 案中多条路径并行推进的结构不同,本案的洗钱流程更强调向单一中心的持续汇集。宣誓书中多次提及的 Macro Wallet,正是这一网络的核心控制节点。该钱包由核心洗钱人直接掌控,承担资金最终汇集、调度以及对外结算的职能,是整个体系中风险与权力高度集中的位置。
中心钱包的功能定位
从调查人员对交易过程的描述可以看出,中心钱包在该洗钱网络中并非普通收款地址,而是一个具有明确职能分工的资金中枢,其主要作用包括:
●汇集来自多个中间地址、已完成初步分层处理的资金;
●按照客户需求和时间窗口,对资金进行批量调度;
●通过 OTC 渠道、流动性服务商或其他金融通道,将资金转化为法币或等价资产。
这种设计将路径复杂性前置至上游,而将控制权集中于极少数关键节点,使整体操作在保持隐蔽性的同时,具备更高的执行效率。宣誓书中对多次“受控交易”的刻画显示,该网络能够在短时间内完成大额资金的接收、拆分、确认与交付,体现出高度成熟的操作能力。
稳定币的角色:跨境与制裁环境下的标准化结算层
与 Wedding 案类似,USDT 在本案中被广泛用于各个洗钱阶段,但其功能并不仅限于稳定计价。
宣誓书记录了被告在多次交流中对使用 USDT 原因的直接解释:选择稳定币,核心考量在于其跨境可用性、结算效率以及在受限金融环境下的可执行性,而非匿名性本身。被告明确提到,USDT 使其能够在不同国家和地区之间“更顺畅地移动价值”,并避免频繁暴露于传统银行体系的审查之下。
在该洗钱网络的运作环境中,上游资金往往涉及多个司法辖区,并受到外汇管制、制裁措施或银行合规审查的限制。 USDT 为此类资金提供了一种相对中性的中介形态:无需依赖本地银行体系即可完成跨境转移,同时避免价格波动对大额、长路径操作的影响。
更重要的是,稳定币在这里充当了一种标准化结算层。不同来源、不同犯罪类型的非法资金,可以在统一计价单位下被整合、拆分与重新分配,再根据需求导向不同的下游路径。这种标准化显著降低了跨境洗钱在操作层面的复杂度,使洗钱网络能够同时服务多个“客户”,而不必为每一种非法交易单独设计结算机制。
毒品黑产的金融化转型
通过对上述两个案例的分析可以看到,毒品相关犯罪在资金层面的运作方式,正在经历一场系统性的转变。与过去主要依赖现金走私、地下钱庄或零散账户周转的传统模式不同,毒品黑产正逐步将其资金流动嵌入到以加密资产为核心的链上洗钱网络之中,形成更具结构性和持续性的资金运作体系。
这种转型并非沿着单一路径展开。在部分情形下,洗钱职能被内嵌于犯罪集团内部,通过高度组织化的分工结构完成资金的分层、调度与兑现;在另一些情形下,洗钱则被外包给相对独立运作的中介网络,作为一种专业化的地下金融服务,长期为贩毒及其他非法交易提供支持。尽管两种模式在组织形态上存在差异,但其底层金融逻辑高度一致:通过标准化流程与可复制结构,提高非法资金流转的效率与韧性。
稳定币在这一过程中发挥了关键作用。其稳定的计价属性、跨境可用性以及在受限金融环境下的执行效率,使其成为连接链下非法收益、链上洗钱操作与法币体系的重要媒介。借助稳定币,毒品相关资金获得了更强的流动性与适应性,也更容易在不同司法辖区之间完成迁移、整合与重组。
从链上行为特征来看,这种金融化转型带来了更长的洗钱路径、更深的地址层级,以及对少数关键中介节点的高度依赖。洗钱操作呈现出明显的流程化和模板化特征,使非法资金不再依赖单次交易或个别渠道,而是被纳入一套可以持续运作、反复调用的地下金融体系之中。
总体而言,毒品黑产的风险已不再局限于毒品交易本身,而越来越多地体现在其背后的洗钱基础设施上。从现金走私到链上洗钱网络,这一转型正在重塑毒品犯罪的资金面貌,也对执法与监管提出了新的要求——治理重点正在从追逐单笔交易,转向对关键中介、核心节点以及资金兑现通道的系统性识别与干预。
