比特币■从“链上追缴”看虚拟货币的洗钱风险 |黑客|美好，一直在身边|区块链|

作者：罗滔，全球区块链合规联盟首席合规顾问，泰和泰（北京）律师事务所律师， service@gbcuf.com
2月22日，一名自称“zhoujianfu”的用户在Reddit 发贴文称遭受黑客攻击，被盗了1,547 个BTC 和60,000 个BCH 。据受害者声称，他的SIM手机卡被破解从而导致资金被盗。

本文插图
【比特币■从“链上追缴”看虚拟货币的洗钱风险】
能够拥有如此大额比特币的人，大概率是一位加密货币早期参与者。根据目前已经公开的信息，事实确实如此--“zhoujianfu”这个账号是由Josh Jones在2006 年注册。据了解，他最早从2010 年开始接触比特币。 Josh曾声称在门头沟（Mt.Gox）拥有43768 枚比特币（一部分属于他个人，一部分属于网站用户所有），而这家平台在 Mt. Gox 交易所破产后，他成了第二大债权人。可以说， Josh在比特币投资领域拥有丰富的经验。
虽然虚拟货币被盗事件并不是第一次发生，但此次1,547 个BTC 被盗，仍是是近几年最大的个人虚拟货币被盗大案。
据受害者反映，他的BTC 链上地址是1Edu4yBtfAKwGGsQSa45euTSAG6A2Zbone 。
根据这个信息，相关安全团队很快锁定了黑客的相关地址，并展开了定向追踪和剖析，以下全景图是黑客转移非法盗取资产的路径转移图。

本文插图
来自blocktempo.com
从这张图可以看出，资金被盗之后进行转移的方式非常复杂、专业，甚至看不出明显的资金主要流向。
一般而言，反洗钱的追踪重在信息搜集和拼凑。理想情况下，参与交易的各方需要留下相关个人信息（一般通过金融机构通过KYC程序取得，或在交易进行时，金融机构会要求交易方申报），监管机构或调查金融犯罪的权力机构通过对各方面的信息的梳理、整理、比对、拼凑，逐渐还原交易全貌。像上图这种情况，首先交易量极大，其次交易没有明显的重点，或重点不集中，然后涉及不同交易对象数量极多，所以给反洗钱调查或金融犯罪调查造成了极大的阻碍。
通过跟进分析被盗账户的BTC资产，安全人员发现黑客在盗取1,547个BTC后，迅速把资金切割分散，进行小额拆分。此为洗钱阶段中的分层阶段。
黑客短时间内把资金主要分散到了七个主要地址，各个地址上的资金在每笔交易中切割，转入大额资金的地址会沿着前进方向继续小额拆分。通过这种方法，黑客构建出非常多非常复杂的交易，进一步增加反洗钱信息搜集、侦测的难度。
除此之外，黑客还用了混币手法，在一个交易中包含大量的输入和输出，将交易信息混乱打散，从而加大找出输入与输出之间关联性的难度。
虽然比特币地址本身俱备匿名性，但是相关交易数据是完全公开透明的，通过交易的地址关联，对数据的分析，是能够进行链上追踪并锁定地址背后身份的。所以为了避免被跟踪监测，黑客一般都会对盗取的比特币进行混币操作。
在资金拆分转移的过程中，有少部分资金已流入了交易所。有一部分资金黑客可能并没有直接转至交易所，而是通过类似场外OTC 的方式等方式进行了清洗。
纵观整个洗钱过程，黑客通过构建复杂分层交易，模糊资金去向，让资金转移过程复杂且难以追踪。而虚拟货币交易自带的匿名性也给交易追踪造成一定困难，相较于传统金融，虚拟货币交易的个人信息并不直接和交易挂钩，而需要“拐弯抹角”地通过其他渠道获得。这无形中增加了监控难度和成本。所以可以预见，未来的监管思路中，信息透明化、必要个人信息和交易进行挂钩，有可能是重点工作方向。