Khám phá ban đầu về việc rửa tiền và tài trợ khủng bố thông qua tiền tệ kỹ thuật số ổn định: Theo dõi chuỗi khối danh sách đen USDT
Tuyển chọn TechFlowTuyển chọn TechFlow
Khám phá ban đầu về việc rửa tiền và tài trợ khủng bố thông qua tiền tệ kỹ thuật số ổn định: Theo dõi chuỗi khối danh sách đen USDT
Chỉ trong hệ thống AML/CFT kịp thời, phối hợp và trưởng thành về công nghệ thì tính hợp pháp và an toàn của hệ sinh thái stablecoin mới thực sự được đảm bảo.
Chuyên sâu báo cáo Web3Tác giả: BlockSec
0. Giới thiệu
Thời gian gần đây, tiền tệ ổn định (stablecoin) phát triển mạnh mẽ. Kèm theo việc ứng dụng rộng rãi này, các cơ quan quản lý ngày càng nhấn mạnh việc xây dựng một cơ chế có khả năng đóng băng các khoản tiền bất hợp pháp. Chúng tôi nhận thấy rằng các loại tiền ổn định hàng đầu như USDT và USDC hiện đã sở hữu khả năng này về mặt công nghệ. Trên thực tế, nhiều trường hợp đã chứng minh rõ ràng rằng những cơ chế này thực sự phát huy vai trò trong việc đấu tranh chống rửa tiền và các hoạt động tài chính phi pháp khác.
Hơn nữa, nghiên cứu của chúng tôi cho thấy tiền ổn định không chỉ được dùng để rửa tiền, mà còn thường xuyên xuất hiện trong quy trình huy động vốn cho các tổ chức khủng bố. Vì vậy, báo cáo này sẽ phân tích từ hai khía cạnh:
-
Tổng kết hệ thống các hành vi đóng băng địa chỉ bị đưa vào danh sách đen của USDT;
-
Khám phá mối liên hệ giữa các khoản tiền bị đóng băng và việc tài trợ cho khủng bố.
Báo cáo này dựa trên dữ liệu chuỗi công khai để phân tích, do đó có thể tồn tại sai sót hoặc thiếu sót. Nếu bạn có góp ý hay cần điều chỉnh, vui lòng liên hệ với chúng tôi: contact@blocksec.com.
1. Phân tích địa chỉ bị liệt vào danh sách đen của USDT
Chúng tôi sử dụng phương pháp giám sát sự kiện trên chuỗi để xác định và theo dõi các địa chỉ bị Tether đưa vào danh sách đen. Phương pháp phân tích đã được xác minh thông qua mã nguồn hợp đồng thông minh của Tether. Logic cốt lõi như sau:
-
Nhận diện sự kiện: Hợp đồng Tether duy trì trạng thái danh sách đen thông qua hai sự kiện:
-
AddedBlackList: Thêm địa chỉ mới vào danh sách đen -
RemovedBlackList: Gỡ bỏ địa chỉ khỏi danh sách đen
-
-
Xây dựng tập dữ liệu: Đối với mỗi địa chỉ bị đưa vào danh sách đen, chúng tôi ghi lại các trường thông tin sau:
-
Địa chỉ
-
Thời gian bị đưa vào danh sách đen (blacklisted_at)
-
Nếu địa chỉ được gỡ khỏi danh sách đen, ghi lại thời gian gỡ bỏ (unblacklisted_at)
-
Dưới đây là phần triển khai hàm liên quan trong hợp đồng:
1.1 Những phát hiện chính
Dựa trên dữ liệu Tether từ chuỗi Ethereum và Tron, chúng tôi nhận thấy các xu hướng sau:
Kể từ ngày 1 tháng 1 năm 2016, tổng cộng có 5.188 địa chỉ bị đưa vào danh sách đen, liên quan đến hơn 2,9 tỷ USD tiền bị đóng băng.
Chỉ riêng trong giai đoạn từ ngày 13 đến 30 tháng 6 năm 2025, có 151 địa chỉ bị đưa vào danh sách đen, trong đó 90,07% đến từ chuỗi Tron (xem danh sách địa chỉ ở phụ lục), với số tiền bị đóng băng lên tới 86,34 triệu USD. Phân bố thời gian xảy ra sự kiện đưa vào danh sách đen: các đỉnh điểm rơi vào các ngày 15, 20 và 25 tháng 6, riêng ngày 20 tháng 6 có tới 63 địa chỉ bị xử lý trong một ngày.
-
Phân bố số tiền bị đóng băng: 10 địa chỉ đứng đầu về số tiền bị đóng băng chiếm tổng cộng 53,45 triệu USD, chiếm 61,91% tổng số tiền bị đóng băng. Số tiền đóng băng trung bình là 571.800 USD, nhưng giá trị trung vị chỉ là 40.000 USD, cho thấy số lượng nhỏ các địa chỉ lớn làm tăng mức trung bình chung, đa số địa chỉ bị đóng băng với số tiền rất nhỏ.
-
Phân bố dòng tiền trong vòng đời: Các địa chỉ này tích lũy tổng cộng 808 triệu USD, trong đó 721 triệu USD đã được chuyển đi trước khi bị đưa vào danh sách đen, chỉ còn 86,34 triệu USD thực sự bị đóng băng. Điều này cho thấy phần lớn tiền đã được chuyển thành công trước khi cơ quan quản lý can thiệp. Ngoài ra, 17% địa chỉ không có giao dịch rút tiền nào, có thể được dùng như kho tạm thời hoặc điểm tập trung tiền, đáng để tiếp tục theo dõi.
-
Địa chỉ mới dễ bị đưa vào danh sách đen hơn: 41% địa chỉ bị đưa vào danh sách đen được tạo dưới 30 ngày, 27% tồn tại từ 91–365 ngày, chỉ có 3% sử dụng hơn 2 năm, cho thấy địa chỉ mới dễ bị dùng cho hoạt động bất hợp pháp hơn.
-
Phần lớn địa chỉ "thoát trước khi bị đóng băng": khoảng 54% địa chỉ đã chuyển đi hơn 90% số tiền trước khi bị đưa vào danh sách đen, thêm 10% có số dư bằng 0 tại thời điểm bị đóng băng, cho thấy hành động thực thi pháp luật thường chỉ có thể đóng băng phần dư nhỏ còn lại.
-
Địa chỉ mới hiệu quả hơn trong rửa tiền: Qua biểu đồ phân tán FlowRatio so với DaysActive, chúng tôi nhận thấy địa chỉ mới nổi bật về số lượng, tần suất bị đưa vào danh sách đen và hiệu quả chuyển tiền, đạt tỷ lệ thành công cao nhất trong việc rửa tiền.
1.2 Theo dõi dòng tiền
Sử dụng công cụ theo dõi trên chuỗi của BlockSec – MetaSleuth (https://metasleuth.io) – chúng tôi tiếp tục phân tích dòng tiền của 151 địa chỉ USDT bị đưa vào danh sách đen trong giai đoạn từ ngày 13 đến 30 tháng 6, từ đó xác định được các nguồn và đích chính của dòng tiền.
1.2.1 Phân tích nguồn tiền
-
Nhiễm nội bộ (91 địa chỉ): Nguồn tiền của các địa chỉ này đến từ các địa chỉ khác cũng đã bị đưa vào danh sách đen, cho thấy sự tồn tại của mạng lưới rửa tiền có mức độ liên kết cao.
-
Thẻ lừa đảo (37 địa chỉ): Nhiều địa chỉ đầu nguồn được gắn thẻ "Fake Phishing" trên MetaSleuth, có thể là thẻ ngụy trang nhằm che giấu nguồn gốc bất hợp pháp.
-
Ví nóng sàn giao dịch (34 địa chỉ): Nguồn tiền bao gồm ví nóng từ các sàn như Binance (20), OKX (7) và MEXC (7), có thể liên quan đến tài khoản bị đánh cắp hoặc tài khoản "lừa" (mule account).
-
Một điểm phân phối chính duy nhất (35 địa chỉ): Một địa chỉ bị blacklist duy nhất xuất hiện nhiều lần ở đầu nguồn, có thể đóng vai trò là bộ tổng hợp hoặc máy trộn tiền (mixer) để phân phối tiền.
-
Cổng cầu nối chéo chuỗi (2 địa chỉ): Một phần tiền đến từ các cầu nối chéo chuỗi, cho thấy sự tồn tại của hoạt động rửa tiền chéo chuỗi.
1.2.2 Phân tích dòng tiền ra
-
Chuyển sang các địa chỉ bị blacklist khác (54 địa chỉ): Tồn tại cấu trúc "vòng tuần hoàn nội bộ" giữa các địa chỉ bị blacklist.
-
Chuyển vào sàn giao dịch tập trung (41 địa chỉ): Các địa chỉ này chuyển tiền vào địa chỉ nạp tiền của các sàn CEX như Binance (30), Bybit (7), thực hiện hành vi "rút tiền khỏi hệ sinh thái blockchain".
-
Chuyển vào cầu nối chéo chuỗi (12 địa chỉ): Cho thấy một phần tiền cố gắng thoát khỏi hệ sinh thái Tron để tiếp tục rửa tiền chéo chuỗi.
Đáng chú ý, Binance và OKX cùng xuất hiện ở cả hai đầu vào (ví nóng) và đầu ra (địa chỉ nạp tiền), làm nổi bật hơn nữa vị trí trung tâm của họ trong chuỗi tiền tệ. Việc các sàn hiện nay thực hiện AML/CFT chưa đầy đủ và việc đóng băng tài sản chậm trễ có thể cho phép tội phạm hoàn tất việc chuyển tài sản trước khi cơ quan quản lý can thiệp.
Chúng tôi khuyến nghị các nền tảng giao dịch tiền mã hóa lớn, với tư cách là kênh lưu thông chính của tiền tệ, cần tăng cường cơ chế giám sát thời gian thực và chặn rủi ro, phòng ngừa từ sớm.
2. Phân tích tài trợ khủng bố
Để hiểu sâu hơn về việc sử dụng USDT trong tài trợ khủng bố, chúng tôi phân tích các Lệnh tịch thu hành chính (Administrative Seizure Orders) do Cơ quan Chống Tài trợ Khủng bố Quốc gia Israel (NBCTF) công bố. Mặc dù việc sử dụng một nguồn dữ liệu đơn lẻ khó có thể tái hiện toàn cảnh, nhưng chúng tôi xem đây là mẫu đại diện để đánh giá một cách bảo thủ và ước tính các giao dịch liên quan đến khủng bố sử dụng USDT.
2.1 Những phát hiện chính
-
Thời điểm ban hành: Sau khi căng thẳng Israel-Iran leo thang từ ngày 13 tháng 6 năm 2025, chỉ có thêm 1 lệnh tịch thu được ban hành (ngày 26 tháng 6). Lệnh trước đó được phát hành vào ngày 8 tháng 6, cho thấy phản ứng thực thi pháp luật bị chậm trễ trong thời kỳ căng thẳng địa chính trị.
-
Tổ chức mục tiêu: Kể từ khi xung đột bùng phát ngày 7 tháng 10 năm 2024, NBCTF đã ban hành 8 lệnh tịch thu, trong đó 4 lệnh nhắc rõ "Hamas", và lệnh mới nhất lần đầu tiên đề cập đến "Iran".
-
Các địa chỉ và tài sản liên quan đến lệnh tịch thu:
-
76 địa chỉ USDT (Tron)
-
16 địa chỉ BTC
-
2 địa chỉ Ethereum
-
641 tài khoản Binance
-
8 tài khoản OKX
-
Việc theo dõi trên chuỗi đối với 76 địa chỉ USDT (Tron) tiết lộ hai mô hình hành vi của Tether khi phản ứng với các chỉ thị chính thức này:
-
Đóng băng chủ động: Tether đã đưa 17 địa chỉ liên quan đến Hamas vào danh sách đen trước trung bình 28 ngày khi lệnh tịch thu được công bố, thậm chí sớm nhất là 45 ngày.
-
Phản ứng nhanh chóng: Với các địa chỉ còn lại, Tether hoàn tất việc đóng băng chỉ sau trung bình 2,1 ngày kể từ khi lệnh được công bố, cho thấy khả năng phối hợp thực thi pháp luật tốt.
Những dấu hiệu này cho thấy sự hợp tác chặt chẽ, thậm chí là cơ chế hợp tác mang tính tiên phong, giữa Tether và một số cơ quan thực thi pháp luật quốc gia.
3. Tổng kết và các thách thức trong AML/CFT
Nghiên cứu của chúng tôi cho thấy, mặc dù các stablecoin như USDT cung cấp phương tiện kỹ thuật để kiểm soát giao dịch, nhưng trong thực tiễn, AML/CFT vẫn đối mặt với những thách thức sau:
3.1 Thách thức chính
-
Thực thi pháp luật chậm trễ vs Phòng ngừa chủ động: Phần lớn hành động thực thi hiện nay vẫn phụ thuộc vào xử lý hậu sự kiện, tạo khoảng trống cho tội phạm chuyển dịch tài sản.
-
Khu vực mù quản lý tại các sàn giao dịch: Sàn giao dịch tập trung với tư cách là cổng ra vào tiền tệ thường thiếu giám sát, khó nhận diện hành vi bất thường kịp thời.
-
Rửa tiền chéo chuỗi ngày càng phức tạp: Sự tồn tại của hệ sinh thái đa chuỗi và các cầu nối chéo chuỗi khiến việc chuyển tiền trở nên kín đáo hơn, tăng gấp bội độ khó cho việc truy vết của cơ quan quản lý.
3.2 Đề xuất
Chúng tôi khuyến nghị các bên phát hành stablecoin, sàn giao dịch và cơ quan quản lý:
-
Tăng cường chia sẻ thông tin tình báo trên chuỗi;
-
Đầu tư vào công nghệ phân tích hành vi thời gian thực;
-
Xây dựng khuôn khổ tuân thủ chéo chuỗi.
Chỉ trong một hệ thống AML/CFT kịp thời, phối hợp và trưởng thành về mặt công nghệ, tính hợp pháp và an toàn của hệ sinh thái stablecoin mới thực sự được đảm bảo.
4. Nỗ lực của BlockSec
Tại BlockSec, chúng tôi cam kết thúc đẩy an ninh và xây dựng tính tuân thủ trong ngành tiền mã hóa, tập trung cung cấp các giải pháp trên chuỗi thiết thực, khả thi cho AML và CFT. Chúng tôi đã ra mắt hai sản phẩm then chốt:
4.1 Phalcon Compliance
Được thiết kế dành riêng cho sàn giao dịch, cơ quan quản lý, dự án thanh toán và DEX, hỗ trợ:
-
Đánh giá rủi ro địa chỉ đa chuỗi
-
Giám sát giao dịch thời gian thực
-
Nhận diện và cảnh báo danh sách đen
Giúp người dùng đáp ứng các yêu cầu tuân thủ ngày càng nghiêm ngặt.
4.2 MetaSleuth
Nền tảng theo dõi trực quan trên chuỗi của chúng tôi, đã được hơn 20 cơ quan quản lý và thực thi pháp luật toàn cầu sử dụng. Nó hỗ trợ:
-
Theo dõi trực quan dòng tiền
-
Xây dựng chân dung địa chỉ đa chuỗi
-
Phục hồi và phân tích đường đi phức tạp
Hai công cụ này cùng thể hiện sứ mệnh của chúng tôi —— bảo vệ trật tự và an toàn của hệ thống tài chính phi tập trung.
Một số địa chỉ liên quan trong bài viết:
https://docs.google.com/spreadsheets/d/1pz7SPTY2J4S7rGMiq6Dzi2Q5p0fXSGKzl9QF2PiV6Gw/edit?usp=sharing
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
@BlockSecTeam
