一个币 — 一百个踪迹

今天，随着越来越多的数字资产和去中心化平台的出现，罪犯们使用越来越复杂的方案来洗钱。其中一种策略是将大笔金额分解为多个不同钱包的小额转账。

在2025年，这种模式变得非常流行，甚至经验丰富的分析师和区块链专家也难以找到真正的融资来源和建立最终的提款平台。

怎么会有数百万隐藏在数百笔50美元的交易背后？有哪些工具可以帮助我们理清这个加密混乱？到底有没有办法追踪数字痕迹在哪里结束？由“Shard”调查总监乔治·奥西波夫讲述。

微交易如何用于掩盖资金的来源

微交易是指小额转账，通常在几美元的范围内。然而，在大规模使用的情况下，这些操作的总额可能高达数十万或数百万美元。诈骗者将资产分解成多个交易，以掩盖资金的来源并使其追踪变得困难。

该方案分为四个步骤：

1. 拆分。 首先将一大笔金额，比如10 BTC，分成多个小额转账，例如每笔0.01-0.1 BTC。
2. **分散。**资金被分配到不同的钱包，这些钱包可能相互关联，但在形式上看起来是不同的。
3. 再循环。 微支付在地址之间转移，有时通过智能合约或去中心化交易所进行
4. 整合。 在 "洗白" 之后，小额资金再次被聚集，但已经是以其他货币、在新的地址或监管较少的中心化交易所进行的。

许多加密货币交易所和服务设定了限额，当超过这些限额时，会启动额外的验证程序(例如，当转账超过$10,000)时。这些措施可能包括风险水平分析、在澄清情况之前冻结转账或要求提供证明资金来源的文件。分拆可以帮助避免自动的“标记”，并将交易保持在“安全”的范围内。

大量的小额转账使得交易链的分析变得复杂。尤其是当每个交易片段通过不同的DeFi协议或跨链桥时，恢复资金路径就变得特别困难。这在数据中产生了“噪声”，并使构建整体图景变得困难。

此外，这种模式制造了普通用户活动的假象。通过将资金分配到数十个地址和交易中，犯罪分子在加密交易所、NFT平台和DeFi网络中掩盖自己，伪装成数百万真实用户。这降低了监控系统将转账识别为可疑的可能性。

分析师如何恢复微交易之间的联系

微交易产生了混乱的效果：数百个小额转账、几十个钱包、各种兑换服务和NFT平台。然而，现代分析工具变得越来越精确，能够找到看似分散的元素之间的联系。

关键方法是构建资金流动图。在这种模型中，每个地址充当节点，而每笔交易则作为它们之间的连接。即使金额被分成数百笔微交易，通过聚类、时间依赖分析和对地址的共同控制评估，可以恢复从起始点到最终收件人的路径。

在俄罗斯，对加密货币犯罪的调查也变得越来越技术化。离链数据的使用在这里扮演着重要角色——例如KYC信息、IP地址、来自执法机构的数据以及来自公开来源的信息。结合链上分析，这有助于形成资金流动的整体图景，并在某些情况下，对加密钱包的所有者进行去匿名化。

DeFi平台和NFT如何被用来混淆踪迹

自2020年代初以来，DeFi和NFT成为一些人洗钱的地方。去中心化的平台提供快速和匿名的工作，没有中介，这帮助不法分子掩盖他们以不正当方式获得的资产的踪迹。

在2025年，通过DeFi协议和NFT市场有不少与逃避诚实使用加密货币相关的方案。根据Chainalysis的数据，2023年，恶意攻击者通过对DeFi协议的攻击窃取了11亿美元，这比2022年的31亿美元减少了64%。让我们来看看诈骗者常用的主要工具。

使用 DEX (去中心化交易所)。 诈骗者利用 DEX，如 Uniswap、PancakeSwap 和 SushiSwap 等，将一种资产交换为另一种资产。通常通过不同币种的交换链进行：例如，将 ETH 兑换为 DAI，然后将 DAI 兑换为 USDT，最后将稳定币提取到 BSC 网络。这些交易将流动性分解为单独的部分，每一部分都很难追踪。

示例：地址收到 $10 000 的 ETH 代币，将其分成 20 笔交易，每笔 $500，通过 DEX 将每个部分兑换成不同的币，然后通过桥梁转移到其他网络。因此，通过使用 DEX 交易所和分割工具，欺诈者大大复杂化了交易分析的链条。

交易混合协议 (混合器). 类似于 Tornado Cash 的加密混合器可以将来自不同用户的币混合在一起。这有助于隐藏资金的来源。即使损失金额不大，交易数量也少，但在通过混合器处理加密货币后，追踪实际收到资金的人变得困难，尤其是在将资金发送到混合器和接收之间有较长时间间隔的情况下。

NFT作为洗钱工具。 值得注意的是，NFT越来越多地被用作资金来源模糊化的工具：犯罪分子创建币，然后再从另一个钱包回购自己的币——这是典型的洗盘交易（wash trading）模式，其中加密货币被合法化为“数字艺术收入”。此外，NFT还允许将资金转移到另一类资产，这些资产并不总是受到金融监管。这使得交易识别变得更加复杂，并降低了自动识别可疑交易的可能性。

不同区块链之间微支付匹配的难点是什么

在不同区块链上比较微支付，是加密货币调查中最费力的任务之一。罪犯越来越多地将被盗资金分散到多个网络中，例如以太坊、TRON、BNB链、Avalanche、Polygon等。这种方法帮助他们利用每个网络的特点来掩盖踪迹。

我们来分析一下为什么在区块链之间跟踪微交易是一项复杂的任务。

首先，通常没有统一的方法将一个网络中的交易与另一个网络中的交易关联起来。唯一的标识符和钱包地址在链之间是不重叠的，因此，当我们从一个网络切换到另一个网络(时，例如通过桥接或去中心化服务)，这会破坏链的连续性。例如，用户在桥接上发送0.001 ETH，并在Polygon网络中收到0.001 wETH。从视觉上来看，这是两个不同的事件，具有不同的地址和哈希值。

其次，大多数跨链交易通过桥接进行。桥接通常使用包裹的币，例如 wETH 和 wBTC，这些是接收网络中的其他资产。这不仅隐藏了资金的来源，还改变了币的结构，增加了额外的复杂性。

第三，区块链网络在访问级别上各不相同。以太坊和比特币网络可以通过开放节点和API轻松进行研究。而像Zcash和Monero这样的网络则是封闭的，或者需要特定的工具或权限才能访问数据。

区块链透明度越低，追踪交易就越困难，尤其是当一些小额支付进入封闭网络或通过特殊协议隐藏时。

哪些行为模式最常揭示通过微交易进行的洗钱

微交易常常被用于洗钱方案，模拟合法活动的可见性，并隐藏发送资金的人与接收者之间的联系。虽然这些交易看起来微小且不显眼，但某些行为模式重复出现的频率如此之高，以至于可以用作可疑活动的迹象。分析师、执法机构和网络专家采用我们在下面描述的方法，以发现详细的洗钱方案。

1. 超规律性和模板化的转账。 洗钱通过微支付的一个主要特征是频繁且相同金额的转账，这些转账发生在很短的间隔内。这些交易没有意义，不像用户的正常转账。例如：如果一个地址每7秒向100个不同地址发送0.0015 ETH，并且没有任何上下文或回转账，这可能表明一个自动化的资金分配方案。
2. 循环路线和资金回流。 有时洗钱的资金部分会发送回最初的地址，造成用户活动的假象。这种方案常用于在集中交易所合法化加密货币。例子：方案 A → B → C → A，并在此过程中进行小额支付和部分资金回流。这制造了 DeFi 操作产生收入的错觉。
3. 频繁使用桥接和DeFi平台。 如果支付通过多个区块链和DeFi服务进行，特别是小额和大量交易时，这可能表明试图向执法或监管机构隐瞒某些内容，因为交易的经济意义因大量费用而丧失。例如，可疑行为可能表现为：转账0.001 ETH，通过Uniswap兑换DAI，然后通过区块链桥接到BNB链，兑换回来，购买NFT，然后迅速转售。
4. 使用临时地址。 所谓的燃烧钱包是为了进行一两次交易而创建的地址，然后就被遗忘了。它们常常在微网络中使用，如果在同一个链上积累了很多这样的地址，这就值得深思。例子：超过100个地址，每个地址在30分钟内收到大约$40，然后所有资金汇集到一个新钱包中并发送到交易所。
5. 异常与常规用户模型。 一些分析系统使用行为分析。例如，如果一个地址之前仅用于存储，突然开始通过 DeFi 进行很多小额转账，这被视为行为异常。
6. 非典型活动时间和地理不同步。 不寻常的活动时间和位置差异可能引起怀疑。例如，如果您看到许多小额支付发生在夜间，比如在3-4点，或者如果它们来自与账号(的实际位置无关的IP地址，比如在有身份验证的交易所的情况)，这通常可能与自动洗钱机器人有关。

结论

到2025年，微交易将成为复杂洗钱和转移数字资产的手段。犯罪分子已经学会适应新的加密交易分析方法，并使用各种手段来洗钱被盗的资产。

然而， крипто行业并没有停滞不前。新的分析工具正在出现，例如图形模型、机器学习以及处理离线数据 (KYC、IP、网络日志 OSINT 数据等。)。这些技术有助于恢复区块链链上参与者之间的真实关系。

典型的欺诈行为，例如频繁的小额转账、循环(圆形)交易、一次性钱包和Vosh交易，越来越多地被监测系统记录。然而，没有国际合作和对关键数据(个人信息的访问，包括KYC)，打击加密犯罪仍将是一项艰巨的任务。

今天，加密货币调查的有效性不仅取决于技术，还取决于理解交易背后犯罪分子行为的能力。一个币可能会留下一些痕迹——关键是有人及时注意到并识别出来。