追踪冻结：USDT黑名单及其与恐怖主义关联的链上分析

blocksecteam
发布于 14小时前
阅读 154

该报告分析了USDT黑名单模式及其与恐怖主义融资的联系，揭示了洗钱循环、跨链流动和执法延迟。分析发现，大量被冻结的USDT地址与恐怖主义融资有关，且交易所如币安和OKX在资金流动中扮演关键角色。

本报告分析了 USDT 黑名单模式及其与恐怖主义融资的关联，揭示了洗钱循环、跨链流动和执法延误。

[https://blocksec.com/blog/following-the-frozen-an-on-chain-analysis-of-usdt-blacklisting-and-its-links-to-terrorist-financing](https://blocksec.com/blog/following-the-frozen-an-on-chain-analysis-of-usdt-blacklisting-and-its-links-to-terrorist-financing)

![](https://img.learnblockchain.cn/2025/07/17/0eWBLG7v-lp0tTGLt.png)

## 介绍

近年来，稳定币发展迅速。因此，监管机构越来越强调需要建立允许冻结非法资金的机制。我们观察到，主要的稳定币，如 USDT 和 USDC，已经包含了这样的能力。在实践中，已经有许多与洗钱和其他非法活动有关的资金被成功冻结的案例。

此外，我们的研究表明，稳定币不仅用于洗钱，而且还**经常用于恐怖组织融资。** 因此，本博客旨在从两个角度探讨这个问题。首先，我们系统地分析已被冻结的 USDT 交易。其次，我们调查冻结资金与恐怖主义融资的关系。

**免责声明**：本分析仅基于公开数据，可能存在不准确之处。如果你有任何意见或更正，请通过 contact@blocksec.com 联系我们。

## USDT 黑名单地址分析

### 数据收集

我们识别和追踪被列入黑名单的 Tether 地址的方法基于直接的链上事件监控。本分析的底层链上数据来自 Dune Analytics，利用了用户 [“crypto\_oracle”](https://dune.com/crypto_oracle) 创建的查询。通过 Tether 的智能合约源代码确认，该过程如下：

- **事件识别**：我们确定 Tether 的智能合约通过发出两个特定事件来管理其黑名单：当添加地址时发出 AddedBlackList 事件，当删除地址时发出 RemovedBlackList 事件。
- **数据集构建**：从 Dune 提取的数据用于构建一个全面的时间序列数据集。对于每个被列入黑名单的地址，我们记录以下字段：地址本身、加入黑名单的时间戳（blacklisted\_at），以及（如果适用）解除黑名单的时间戳（unblacklisted\_at）。

```
function addBlackList (address _evilUser) public onlyOwner {
  isBlackListed[_evilUser] = true;
  AddedBlackList(_evilUser);
}

function removeBlackList (address _clearedUser) public onlyOwner {
  isBlackListed[_clearedUser] = false;
  RemovedBlackList(_clearedUser);
}

event AddedBlackList(address indexed _user);

event RemovedBlackList(address indexed _user);
```

### 发现

我们对以太坊和 Tron 区块链上的 Tether (USDT) 数据进行的分析揭示了一个惊人的趋势。自 2016 年 1 月 1 日以来，**总共有 5,188 个地址被列入黑名单**，导致超过 29 亿美元的资产被冻结。仅在 2025 年 6 月 13 日至 30 日期间，**就有 151 个地址被列入黑名单，其中 90.07% 位于 Tron 网络上**（[地址列表](https://docs.google.com/spreadsheets/d/1pz7SPTY2J4S7rGMiq6Dzi2Q5p0fXSGKzl9QF2PiV6Gw/edit?usp=sharing)）。在这短短的时间内，冻结的总价值达到了惊人的 8634 万美元。

- **黑名单事件的时间分布**：在 6 月 15 日、20 日和 25 日观察到黑名单活动的高峰期，其中 6 月 20 日的黑名单数量最多：单日有 63 个地址被列入黑名单。
- **跨地址的冻结资产分布**：冻结余额最高的 10 个地址总共持有 5345 万美元，占总额的 61.91%。平均冻结金额（57.176 万美元）远高于中位数（4.001 万美元），表明分布存在偏差，少数高价值地址占主导地位，而大多数地址的冻结余额相对较小。
- **生命周期价值分布**：这些地址的历史总流入量为 8.0776 亿美元，**其中 7.2143 亿美元在执行前已发送出去，8634 万美元被冻结。** 这表明，**大部分资金可能在被列入黑名单之前已经转移。** 值得注意的是，17% 的被列入黑名单的地址没有出站交易，暗示可能被用作临时存储或聚合点——值得在未来的调查中进一步审查。
- **新创建的帐户最有可能被列入黑名单**：在所有被列入黑名单的地址中，**41% 是新创建的（活动时间少于 30 天）**，27% 显示中期活动（91-365 天），只有 3% 具有长期使用历史（≥ 730 天）。这表明新建立的帐户不成比例地成为目标。
- **大多数帐户实现“冻结前退出”**：**大约 54% 的被列入黑名单的地址在被列入黑名单之前已经转移出大部分资金（定义为生命周期流出量 ≥ 总流入量的 90%）**。此外，10% 的地址在被冻结时余额为零。这些模式表明，执法行动通常只捕获非法流动的剩余价值，而大部分资产已被洗钱或转移。
- **新帐户的洗钱效率高**：FlowRatio 与 DaysActive 的散点图显示，较新的帐户不仅在数量和黑名单频率上占主导地位，而且还表现出最高的洗钱效率，在被检测和执行之前有效地转移资金。

![](https://img.learnblockchain.cn/2025/07/17/0qRqPPEc-CSwf9RKo.png)

### 追踪资金

[MetaSleuth](https://metasleuth.io/) 通过追踪 151 个 Tether 黑名单地址（这些地址在 6 月 13 日至 6 月 30 日期间被 USDT 阻止）来加强我们的调查，通过这些地址，我们确定了与这些地址相关的关键资助者和最终目的地。

### 资金来自哪里

- **内部污染（91 个地址）**：很大一部分地址收到了来自其他黑名单地址的资金，表明存在一个高度互连的洗钱网络。
- **虚假网络钓鱼标签（37 个地址）**：许多上游来源在 MetaSleuth 上被标记为“虚假网络钓鱼”，表明使用欺骗性标签策略来掩盖非法活动并逃避检测。

![](https://img.learnblockchain.cn/2025/07/17/0jvV9IqoQI0mwf8H6.png)

[https://metasleuth.io/result/tron/THpNSa3BMNPPzVNTPZ6aTmRsVzGR6uRmma?source=26599be9-c3a9-42a6-a2ae-b6de72418003](https://metasleuth.io/result/tron/THpNSa3BMNPPzVNTPZ6aTmRsVzGR6uRmma)

- **交易所热钱包（34 个地址）**：资金来源包括已知的交易所热钱包——Binance (20)、OKX (7) 和 MEXC (7)——这意味着流入可能源于中心化交易所中被盗用的帐户或骡子钱包。
- **单一主要分发者（35 个地址）**：一个被列入黑名单的地址反复出现作为上游来源，可能充当中央资金聚合器或混合器来分发非法资产。
- **跨链入口点（2 个地址）**：一些资金来自跨链桥，表明跨链洗钱机制也被用于资金流动中。

### 资金去向

- **其他被列入黑名单的地址（54 个）**：这种模式加强了网络内部存在内部洗钱循环的观点。
- **中心化交易所（41 个）**：资金通过中心化交易所的存款地址进行链下转移，包括 Binance (30)、Bybit (7) 等。
- **跨链桥（12 个）**：表明试图在 TRON 生态系统之外清洗资产，利用跨链转移机制。

![](https://img.learnblockchain.cn/2025/07/17/0ERBjK-8aCFgNeXdC.png)

[https://metasleuth.io/result/tron/TBqeWc1apWjp5hRUrQ9cy8vBtTZSSnqBoY?source=ddea74a3-fb52-4203-846a-c7be07fbb78d](https://metasleuth.io/result/tron/TBqeWc1apWjp5hRUrQ9cy8vBtTZSSnqBoY)

值得注意的是，**Binance 和 OKX** 等交易所出现在交易流程的两端——作为流入的来源（通过热钱包）和作为流出的目的地（通过存款地址）——凸显了它们在资金流动中的核心作用。无效的 AML/CFT 执行和资产冻结的延迟可能导致非法转移发生在监管行动生效之前。

我们建议加密货币交易所作为关键的链上和链下入口，采用**更强大的监控、检测和阻止机制，以主动降低此类风险**。

![](https://img.learnblockchain.cn/2025/07/17/03pPF_aybaTFiA9c0.png)

[https://metasleuth.io/result/tron/TFjqBgossxvtfrivgd6mFVhZ1tLqqyfZe9?source=7ba5d0da-d5b5-41ab-b54c-d784fb57f079](https://metasleuth.io/result/tron/TFjqBgossxvtfrivgd6mFVhZ1tLqqyfZe9)

## 恐怖主义融资分析

为了更深入地了解**可能与恐怖主义融资有关的** USDT 活动，我们审查了官方文件——特别是以色列[国家反恐怖主义融资局 (NBCTF)](https://nbctf.mod.gov.il/en/Pages/default.aspx) 发布的行政查封令。虽然我们承认没有单一数据来源可以提供完整的图景，但我们将此数据集用作代表性案例研究，以了解可能参与恐怖主义融资的 USDT 的保守下限。

### 发现

我们对 NBCTF 出版物的审查揭示了几个关键发现：

- **查封令的时间安排**：自 2025 年 6 月 13 日以色列-伊朗冲突升级以来，仅发布了一份新的查封令，**日期为 6 月 26 日**。在此之前，最近的命令是在 6 月 8 日发布的，表明尽管紧张局势加剧，但仍存在明显的延迟。
- **自 2024 年 10 月 7 日以来的频率和目标**：自以色列-巴勒斯坦冲突爆发以来，已发布了八项查封令。其中，有四项明确将“哈马斯”列为目标，而只有一项（最近的一项）提到了“伊朗”。
- **目标资产的范围**：合并后的命令针对范围广泛的资产，包括：
    - 76 个 USDT (Tron) 地址
    - 16 个 BTC 地址
    - 2 个 以太坊地址
    - 641 个 Binance 帐户
    - 8 个 OKX 帐户

我们对 [**76 个 USDT Tron 地址**](https://docs.google.com/spreadsheets/d/1pz7SPTY2J4S7rGMiq6Dzi2Q5p0fXSGKzl9QF2PiV6Gw/edit?usp=sharing) 的链上调查揭示了关于 Tether 响应相对于 NBCTF 查封令的一个关键操作见解。出现了两种不同的模式：](https://blocksec.com/phalcon/compliance) 旨在帮助交易所、监管机构、金融机构和加密货币项目（包括加密货币支付和 DEX）实时检测可疑活动。它提供跨多个链的链上风险评分、交易监控和地址筛选，帮助实体满足合规性要求。

![](https://img.learnblockchain.cn/2025/07/17/0e8hWZUpwm_b6Tedu.png)

同时，[MetaSleuth](https://metasleuth.io/)，我们的在线调查工具，使分析师和公众能够通过直观的可视化和跨链跟踪来追踪非法资金流动。MetaSleuth 已经DeFi 世界的完整性。

>- 原文链接： [blocksecteam.medium.com/...](https://blocksecteam.medium.com/following-the-frozen-an-on-chain-analysis-of-usdt-blacklisting-and-its-links-to-terrorist-3d6896b7c04f)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

本报告分析了 USDT 黑名单模式及其与恐怖主义融资的关联，揭示了洗钱循环、跨链流动和执法延误。

https://blocksec.com/blog/following-the-frozen-an-on-chain-analysis-of-usdt-blacklisting-and-its-links-to-terrorist-financing

介绍

此外，我们的研究表明，稳定币不仅用于洗钱，而且还经常用于恐怖组织融资。 因此，本博客旨在从两个角度探讨这个问题。首先，我们系统地分析已被冻结的 USDT 交易。其次，我们调查冻结资金与恐怖主义融资的关系。

免责声明：本分析仅基于公开数据，可能存在不准确之处。如果你有任何意见或更正，请通过 contact@blocksec.com 联系我们。

USDT 黑名单地址分析

数据收集

我们识别和追踪被列入黑名单的 Tether 地址的方法基于直接的链上事件监控。本分析的底层链上数据来自 Dune Analytics，利用了用户 “crypto_oracle” 创建的查询。通过 Tether 的智能合约源代码确认，该过程如下：

事件识别：我们确定 Tether 的智能合约通过发出两个特定事件来管理其黑名单：当添加地址时发出 AddedBlackList 事件，当删除地址时发出 RemovedBlackList 事件。
数据集构建：从 Dune 提取的数据用于构建一个全面的时间序列数据集。对于每个被列入黑名单的地址，我们记录以下字段：地址本身、加入黑名单的时间戳（blacklisted_at），以及（如果适用）解除黑名单的时间戳（unblacklisted_at）。

function addBlackList (address _evilUser) public onlyOwner {
  isBlackListed[_evilUser] = true;
  AddedBlackList(_evilUser);
}

function removeBlackList (address _clearedUser) public onlyOwner {
  isBlackListed[_clearedUser] = false;
  RemovedBlackList(_clearedUser);
}

event AddedBlackList(address indexed _user);

event RemovedBlackList(address indexed _user);

发现

我们对以太坊和 Tron 区块链上的 Tether (USDT) 数据进行的分析揭示了一个惊人的趋势。自 2016 年 1 月 1 日以来，总共有 5,188 个地址被列入黑名单，导致超过 29 亿美元的资产被冻结。仅在 2025 年 6 月 13 日至 30 日期间，就有 151 个地址被列入黑名单，其中 90.07% 位于 Tron 网络上（地址列表）。在这短短的时间内，冻结的总价值达到了惊人的 8634 万美元。

黑名单事件的时间分布：在 6 月 15 日、20 日和 25 日观察到黑名单活动的高峰期，其中 6 月 20 日的黑名单数量最多：单日有 63 个地址被列入黑名单。
跨地址的冻结资产分布：冻结余额最高的 10 个地址总共持有 5345 万美元，占总额的 61.91%。平均冻结金额（57.176 万美元）远高于中位数（4.001 万美元），表明分布存在偏差，少数高价值地址占主导地位，而大多数地址的冻结余额相对较小。
生命周期价值分布：这些地址的历史总流入量为 8.0776 亿美元，其中 7.2143 亿美元在执行前已发送出去，8634 万美元被冻结。 这表明，大部分资金可能在被列入黑名单之前已经转移。 值得注意的是，17% 的被列入黑名单的地址没有出站交易，暗示可能被用作临时存储或聚合点——值得在未来的调查中进一步审查。
新创建的帐户最有可能被列入黑名单：在所有被列入黑名单的地址中，41% 是新创建的（活动时间少于 30 天），27% 显示中期活动（91-365 天），只有 3% 具有长期使用历史（≥ 730 天）。这表明新建立的帐户不成比例地成为目标。
大多数帐户实现“冻结前退出”：大约 54% 的被列入黑名单的地址在被列入黑名单之前已经转移出大部分资金（定义为生命周期流出量 ≥ 总流入量的 90%）。此外，10% 的地址在被冻结时余额为零。这些模式表明，执法行动通常只捕获非法流动的剩余价值，而大部分资产已被洗钱或转移。
新帐户的洗钱效率高：FlowRatio 与 DaysActive 的散点图显示，较新的帐户不仅在数量和黑名单频率上占主导地位，而且还表现出最高的洗钱效率，在被检测和执行之前有效地转移资金。

追踪资金

MetaSleuth 通过追踪 151 个 Tether 黑名单地址（这些地址在 6 月 13 日至 6 月 30 日期间被 USDT 阻止）来加强我们的调查，通过这些地址，我们确定了与这些地址相关的关键资助者和最终目的地。

资金来自哪里

内部污染（91 个地址）：很大一部分地址收到了来自其他黑名单地址的资金，表明存在一个高度互连的洗钱网络。
虚假网络钓鱼标签（37 个地址）：许多上游来源在 MetaSleuth 上被标记为“虚假网络钓鱼”，表明使用欺骗性标签策略来掩盖非法活动并逃避检测。

https://metasleuth.io/result/tron/THpNSa3BMNPPzVNTPZ6aTmRsVzGR6uRmma?source=26599be9-c3a9-42a6-a2ae-b6de72418003

交易所热钱包（34 个地址）：资金来源包括已知的交易所热钱包——Binance (20)、OKX (7) 和 MEXC (7)——这意味着流入可能源于中心化交易所中被盗用的帐户或骡子钱包。
单一主要分发者（35 个地址）：一个被列入黑名单的地址反复出现作为上游来源，可能充当中央资金聚合器或混合器来分发非法资产。
跨链入口点（2 个地址）：一些资金来自跨链桥，表明跨链洗钱机制也被用于资金流动中。

资金去向

其他被列入黑名单的地址（54 个）：这种模式加强了网络内部存在内部洗钱循环的观点。
中心化交易所（41 个）：资金通过中心化交易所的存款地址进行链下转移，包括 Binance (30)、Bybit (7) 等。
跨链桥（12 个）：表明试图在 TRON 生态系统之外清洗资产，利用跨链转移机制。

https://metasleuth.io/result/tron/TBqeWc1apWjp5hRUrQ9cy8vBtTZSSnqBoY?source=ddea74a3-fb52-4203-846a-c7be07fbb78d

值得注意的是，Binance 和 OKX 等交易所出现在交易流程的两端——作为流入的来源（通过热钱包）和作为流出的目的地（通过存款地址）——凸显了它们在资金流动中的核心作用。无效的 AML/CFT 执行和资产冻结的延迟可能导致非法转移发生在监管行动生效之前。

我们建议加密货币交易所作为关键的链上和链下入口，采用更强大的监控、检测和阻止机制，以主动降低此类风险。

https://metasleuth.io/result/tron/TFjqBgossxvtfrivgd6mFVhZ1tLqqyfZe9?source=7ba5d0da-d5b5-41ab-b54c-d784fb57f079

恐怖主义融资分析

为了更深入地了解可能与恐怖主义融资有关的 USDT 活动，我们审查了官方文件——特别是以色列国家反恐怖主义融资局 (NBCTF) 发布的行政查封令。虽然我们承认没有单一数据来源可以提供完整的图景，但我们将此数据集用作代表性案例研究，以了解可能参与恐怖主义融资的 USDT 的保守下限。

发现

我们对 NBCTF 出版物的审查揭示了几个关键发现：

查封令的时间安排：自 2025 年 6 月 13 日以色列-伊朗冲突升级以来，仅发布了一份新的查封令，日期为 6 月 26 日。在此之前，最近的命令是在 6 月 8 日发布的，表明尽管紧张局势加剧，但仍存在明显的延迟。
自 2024 年 10 月 7 日以来的频率和目标：自以色列-巴勒斯坦冲突爆发以来，已发布了八项查封令。其中，有四项明确将“哈马斯”列为目标，而只有一项（最近的一项）提到了“伊朗”。
目标资产的范围：合并后的命令针对范围广泛的资产，包括：
- 76 个 USDT (Tron) 地址
- 16 个 BTC 地址
- 2 个以太坊地址
- 641 个 Binance 帐户
- 8 个 OKX 帐户

我们对 76 个 USDT Tron 地址 的链上调查揭示了关于 Tether 响应相对于 NBCTF 查封令的一个关键操作见解。出现了两种不同的模式：](https://blocksec.com/phalcon/compliance) 旨在帮助交易所、监管机构、金融机构和加密货币项目（包括加密货币支付和 DEX）实时检测可疑活动。它提供跨多个链的链上风险评分、交易监控和地址筛选，帮助实体满足合规性要求。