矿池：黑客洗钱的“新混合器”

区块链分析公司 Chainalysis 在一篇博文中表示，勒索软件黑客有一个新的洗钱伎俩：挖掘新代币以取代“受污染”的代币。

Chainalysis的发现

Chainalysis写道，该公司找到了 372 个交易所存款钱包，这些钱包同时获得了挖矿利润和勒索软件收益，自 2018 年以来，这些地址总共从勒索软件相关钱包中收到了 1.583 亿美元。

数据表明，矿池可能在许多勒索软件参与者的洗钱策略中发挥关键作用。

这种洗钱方式越来越流行，自 2018 年以来，与勒索软件相关的钱包向矿池发送了越来越多的资金。

Chainalsysis 给出了一个未命名的流行加密货币交易所的存款钱包示例，该交易所从勒索软件事件和矿池中接收了大量加密货币。

根据计算，在发送到该存款地址的价值 9420 万美元的加密货币中，1910 万美元来自勒索软件地址，1410 万美元来自矿池。

尽管资金总是通过中介钱包进入交易所，但 Chainalysis 发现了接收勒索软件收益的钱包直接将资金发送到矿池钱包的实例，然后矿池钱包将代币发送到交易所。

这可能意味着与勒索软件相关的钱包和与挖矿相关的钱包属于同一所有者，该所有者正在使用挖矿作为洗钱犯罪资金的一种方式。

该公司表示，一些矿池已经使用其平台来掩盖资金来源，并将有关的加密货币混合到一起，以使交易难以追踪。

这类行为类似于混合器，能够掩盖资金来源，使资金来自采矿而非收益的错觉。

此类洗钱方式的相关案件

据报道，BitClub Network 骗局在其运营商于 2020 年被美国司法部起诉之前一直假装经营加密货币挖矿业务，也使用了这种方案—— BitClub 的钱包在两个交易所使用同一组存款地址作为“一家位于俄罗斯的比特币挖矿业务”，但没有点名挖矿公司。

这可能是一种让交易所相信资金来自挖矿而非犯罪的伎俩。

此外，Chainalysis 公司还指出，自 2018 年以来，从诈骗和矿池中收款的交易所存款地址收到的加密货币价值已经达到了近11亿美元。

网络安全公司 Mandiant 在今年早些时候的一份报告中表示，朝鲜黑客组织 APT43（也称为 Archipelago）也在将其窃取的加密货币投资于挖矿。

通过这种方式，黑客用新的、“干净”的硬币替换了被犯罪团伙污染的硬币。

由此可见，挖矿业务作为洗钱的新途径已经逐渐被公众所认知。

细数之前的众多区块链攻击事件中，黑客往往会选择将盗取的资金转入Tornado Cash 和 CoinMixer 这两个混币平台。

什么是混币器？

混币器（crypto mixer），又被叫做加密货币清洗器（Crypto Tumbler），顾名思义，其就是一种旨在防止虚拟货币交易被追踪的工具。

作为一种隐私保护工具，混币器的流程大致是这样的：用户首先将自己的数字货币存入混币器，混币器会将这些货币与其他用户的货币混到一起，然后再将混合后的货币转移到目标地址。

这就使转账的资金来源不明，使得追踪虚拟货币的来源和去向变得困难。

混币器在实际应用中，最为常见的就是混淆数字货币的来源，特别是用于洗黑钱或非法交易的过程中。

例如，黑客可以通过攻击某个交易所，获取大量数字货币资产，然后将这些资产通过混币器重新洗牌，深深地藏匿其中，甚至消失。

混币器的核心技术

混币器的背后通常涉及各种技术，这些技术可以混淆虚拟货币的交易轨迹，从而更难被追踪。

混币器最常用的技术被称为 “CoinJoin” ，这是一种交易类型，在这种类型的交易中，多位用户将他们的加密货币汇集在一起，然后每位用户都收到相同的数量的加密货币。这种方法使得外部观察者更难将特定的输入和输出链接到单个用户。

还有一种方法被称为 “延迟交易” ，这种方法可以将交易延迟随机时间，从而掩盖交易的踪迹。

混合服务还经常在交易中使用多个输入和输出，这使得追踪资金流向变得更加困难。

此外，混币器还使用等额替换方式，即提前打包好一定数量的币，等有人发起混币需求后，用打包好的币代替发起人进行交易。

最后，一些混合器可能通过不同的钱包路由，帮助混淆路径。

以上这些技术和混币机制，大大增加了虚拟货币流动的复杂性和不确定性，从而使监管机构和其他第三方识别和追踪虚拟货币交易更加困难。

这也为那些想要从事非法活动提供了一种途径，因此，需要不断寻找新的方法和工具来识别和追踪虚拟货币的违法活动。

对于个人而言，也需要谨慎使用混币器，以免被卷入不法活动。

混币器的类型

一般来说，混币器可以分为中心化混币器和去中心化混币器两种类型。

中心化混币器是指所有混币操作都在第三方混币平台的服务器数据库内进行。

根据用户混币数量的需求，混币器会匹配不同的钱包地址和不同的金额，往地址中发送随机数量的虚拟货币，直到达到发送方请求的总金额。

这种类型有 MixerTumbler、BitcoinFog、BitMix.Biz、ChipMixer（已被查封关闭）等。

去中心化混币器由多个处理用户交易请求的节点或计算机组成，没有中央机构。

一个节点接受用户的请求，混合货币，然后在没有中央授权的情况下将它们返回给用户。通过使用数学算法来工作，该算法将每个用户的资金随机分配给其他用户的账户，而不是透露在任何给定时间谁拥有多少资金。

这种类型有 Tornado Cash、CoinJoin 等。

在去中心化混币方案中，还有一个混币服务的选择是“隐私钱包”。它允许用户使用 CoinJoin 交易、以无法追踪的方式进行虚拟货币交换。

由于不涉及中央服务器，这消除了混币服务器窃取资金或被监管的问题。近年来，犯罪分子越来越多地从混币服务转向隐私钱包。

这种类型有 Wasabi、Cash Fusion、SamouraiWallet 等。

常见的混币器代表

Tornado Cash

Tornado Cash 是一个以太坊上的隐私保护协议，旨在为用户提供完全匿名的加密货币交易。它基于 zk-SNARK（零知识证明）技术，使用户可以在不暴露任何个人信息的情况下进行交易，从而保护他们的隐私。

Tornado Cash 的工作原理是将用户的代币混合在一起，使它们变得不可追踪。用户首先将代币发送到智能合约，然后智能合约将这些代币与其他用户的代币一起混合。

混合完成后，用户可以从智能合约中提取相同数量的代币，但这些代币已被混合，无法与原始发送的代币进行关联。

Tornado Cash 支持以太币（ETH）和 ERC-20 代币，用户可以选择不同的“混合池”进行交易。

此外，Tornado Cash 也可以用于向其他人发送完全匿名的代币，这使得它成为隐私保护的一个重要工具。

需要注意的是，Tornado Cash 仅提供隐私保护，而不是匿名性。

用户需要采取适当的措施来保护他们的身份信息，以免被其他方式追踪到。同时，使用 Tornado Cash 也需要支付一定的 gas 费，这些费用可能会高于普通交易的费用。

如果我们采用自己原有的存款地址账户支付 gas 费，那么很容易将存款地址和新地址关联起来，增加隐私泄露的风险。

为了切断通过 gas 费追踪资产，Tornado Cash 设立了 relayer 机器人，专门为取款交易提供 gas 费，而这些机器人会收取交易费用的一定比例金额作为手续费，这样就更好地保护了交易的隐私。

作为最广为人知的混币器，Tornado Cash 在许多黑客盗窃事件中经常被使用。

由于其被黑客用来洗钱，美国财政部旗下的 OFAC（外国资产控制办公室）以 Tornada Cash 被不法分子自 2019 年利用清洗了价值超过 70 亿美元的虚拟货币而列入制裁名单，禁止美国公民与机构使用。

尽管如此，Tornado Cash仍在继续运营。

其他混币器

Blender.io

Blender 是一家成立于 2017 年的比特币区块链上运行的虚拟货币混合器，也是第一个受到美国财政部制裁的混币器。

CoinMixer

从 2017 年开始就存在的老牌比特币混币协议，目前未受到政府制裁。

ChipMixer

由越南运营商提供的暗网加密货币混币器，从 2017 年至今洗掉价值超过 30 亿美元的加密货币，该网站和后端服务器于 2023 年 3 月 15 日被联邦警察局查封。

CoinJoin

CoinJoin 是历史最为悠久的混币器之一，专为比特币（BTC）和比特币现金（BCH）所开发。

Umbra

Umbra 是一款可让用户在以太坊上进行私密转帐的协议，特色在于只有收付双方知道是谁收到这笔转帐。

除了专门的混币器外，利用 FixedFloat、sideshift、ChangeNow 等去中心化交易所兑换虚拟货币，也能达到洗钱的目的。

混币器与洗钱

使用混币技术增强了链上交易的匿名性和隐私性，但也被滥用于洗钱等犯罪。

近几年，以Tornado Cash为代表的混币器越来越多地成为洗钱工具，据国外区块链安全公司Chainalysis相关报告数据显示：

2022 年混币器/平台接收了从非法地址发送的所有资金的8.0%；

混币器在 2022 年处理了 78 亿美元资金，其中有 24% 来自非法地址，而在 2021 年，混币器处理的 115 亿美元资金中只有10% 来自非法地址。

由此可以看出，通过混币器处理非法资金的占比大幅度提高。

尽管犯罪分子使用混币器洗钱，但在大多数司法管辖区内，混币器并非明确违法，但是会涉及到是否合规的问题。

近年有不少混币器因不合规或者涉嫌犯罪而被制裁或罚款：

2019 年 5 月，荷兰财政信息和调查局 (FIOD) 与欧洲刑警组织和卢森堡当局密切合作，没收了由比特币、比特币现金和莱特币混合器http://Bestmixer.io 控制的六台服务器。

2020 年 10 月，FinCEN对比特币混合器Helix 和 Coin Ninja的运营商处以6000 万美元的民事罚款，原因是其经营两家未注册的货币服务企业 (MSB)。

2021 年 4 月，美国司法部 (DOJ)逮捕并指控Bitcoin Fog的运营商洗钱、经营无证汇款业务和无证汇款。

2021 年 8 月，比特币混合器 Helix 的运营商承认犯有洗钱阴谋罪，并同意没收 4,400 多个比特币，当时价值超过 2 亿美元。

2022 年 5 月，美国财政部外国资产控制办公室 (OFAC)首次对加密货币混合器http://Blender.io 实施制裁，因为它在清洗朝鲜在DeFi 协议Ronin Bridge中窃取的资金中发挥的作用链接到 Axie Infinity。

2022 年 8 月，OFAC制裁了最受欢迎的以太坊混合器 Tornado Cash，因为它在清洗与朝鲜有联系的黑客在攻击 Ronin 和 Harmony 桥中窃取的资金方面发挥了作用。

2023年3月15日，在欧洲刑警组织的支持下，德国和美国当局以涉嫌参与洗钱活动为由关闭了比特币混币器 ChipMixer 的基础设施，并没收了 4 台服务器、55 笔交易中约 1909.4 个比特币（约 4420 万欧元）和 7 TB 数据。

调查表明，ChipMixer 可能为 152,000 个比特币（约合 27.3 亿欧元）的洗钱活动提供了便利。

破局关键：追踪混币后的资金

混币技术的出现给虚拟货币领域带来了新的挑战，使得资产的流向变得隐蔽性强、追踪困难。

这种技术为虚拟货币犯罪的实施提供了可乘之机，几乎可以做到资产的无迹可循。然而，对于虚拟货币犯罪打击和链上资金追踪而言，找到混币资产的流向是非常关键的。

为了解决这个问题，需要开发出专门的跟踪混币资产的技术，这类技术需要打破以往的链式追踪方法，针对混币后资产的流动轨迹进行分析和推断，以此找到其最后的去向。

这个过程需要借助先进的数据分析技术和强大的算法能力，同时也需要与虚拟货币行业的相关企业进行紧密合作，共同应对混币技术带来的挑战，确保数字货币市场的健康发展。