Chainalysis报告：加密诈骗正从庞氏骗局转向杀猪盘

来源：Chainalysis；编译：邓通，金色财经

本文是Chainalysis发表的2024 年加密犯罪年中报告的第 2 部分，查看第一部分可点击《Chainalysis报告：为何被盗资金和勒索软件不断增加》。

摘要

CSAM 网络

• 自 2023 年底以来，中国 CSAM 网站的报告有所增加。

• 大多数钱包持有者正在购买一个月或更长时间的访问权限，最多包括约 20,000 天（相当于 54 年以上）的近乎永久的访问权限。

• 与我们过去的发现一致，CSAM 供应商在兑现时继续利用即时兑换器。

诈骗

• 诈骗者正在调整他们的链上和链下策略，进行更短但更有活力和更有利可图的诈骗活动。

• 杀猪盘是今年迄今为止最大的创收诈骗类型。2022 年首次在链上发现的一种缅甸诈骗团伙今年迄今已净赚至少 1.0122 亿美元。

• 大多数诈骗者继续从广泛的庞氏骗局转向更有针对性的活动，例如杀猪盘、居家办公骗局、Drainer 盗窃骗局（金色财经注：Drainer 是一种恶意软件，专门设计用来非法清空或“排空”加密货币钱包，这种软件被其开发者提供出租服务，意味着任何人都可以付费使用该恶意工具。）或地址投毒。

Huione 担保

• 我们观察到中文市场和洗钱网络的使用率有所上升。Huione 担保就是一个这样的市场，它与柬埔寨企业集团 Huione 集团有关联，该集团将买家和卖家联系起来，而这些买家和卖家往往很少掩盖其交易的非法性质。

• 2021 年以来，Huione 担保已处理了超过 490 亿美元的加密货币交易，远远超过之前报道的金额。

• Huione 的链上联系包括杀猪盘和其他骗局、被报告为被盗资金的地址、OFAC 批准的俄罗斯交易所 Garantex、欺诈商店、CSAM、中文赌博网站和赌场等。

在我们年中犯罪更新的第一部分中，我们讨论了与勒索软件和被盗资金相关的趋势。虽然今年迄今为止 (YTD) 的非法链上活动总量下降了近 20%，但被盗资金的流入量几乎翻了一番，年度勒索软件支付有望成为有史以来单年最高金额。

在我们更新的后半部分，我们将研究与儿童性虐待材料 (CSAM) 的分发和消费相关的链上活动，包括对两家 CSAM 供应商收到的付款进行链上分析，以及这些金额表明了什么。

接下来，我们将研究加密货币诈骗的最新趋势。链上和链下活动表明，诈骗者正在调整他们的策略并开展更短但更有利可图和更具再生性的活动。我们将讨论一个值得注意的诈骗集团——迄今为止 2024 年收入最高的集团——这突显了近年来从精心设计的庞氏骗局转向更有针对性的活动（如杀猪盘）的趋势。

“杀猪盘”之所以被称为“杀猪盘”，是因为不法分子会“养肥”受害者，以获取尽可能多的利益。这通常涉及通过短信或约会应用程序与受害者建立恋爱关系，直到他们迫使受害者向虚假的投资机会汇款。令人不寒而栗的是，这些对话另一端的骗子通常是被绑架、贩卖到东南亚并被迫在大型院落内的劳改营中工作以进行杀猪盘骗局的人。

最后，我们来看看 Huione Guarantee，这是一个价值 490 亿美元的市场，最近被曝光为网络犯罪提供便利，包括 CSAM 和杀猪盘。让我们开始吧。

中国的 CSAM 显示出增长迹象

自去年年底以来，有关中国 CSAM 供应商的报告有所增加。下图显示了以人民币计价的供应商在所有 CSAM 活动中与其他货币活动的比例。这些网站提供了加密货币支付的人民币兑换率。自 2023 年底以来，中国供应商占据了全球 CSAM 流入量的更大份额，今年第一季度迄今已达到峰值，占总流入量的 38.8%。

据致力于阻止网络性虐待儿童的组织互联网观察基金会 (IWF) 称，很难确定这些网络在中国发展的原因。“我们看到对此类网站的报告有所增加，”IWF 的一位发言人说。“仅根据报告渠道，很难明确地说是否存在新兴趋势，或者这些网站是否已经存在了一段时间，但未向当局报告。”虽然这些网站本身可能已经存在了一段时间，但公众没有注意到，但这些服务的链上基础设施都是相对较新的，最古老的中国钱包可以追溯到 2023 年 7 月 18 日，其他大多数地址来自 2023 年底。至少在链上维度方面，这些钱包的时间框架表明这些服务是新兴的，代表着一种真正的趋势，而且可能不仅仅是新报告渠道的产物。

对中国 CSAM 供应商的链上检查

除了数字之外，我们无法量化儿童性虐待在全球范围内造成的危害。鉴于其重新分配的潜力，数十美元的小额购买（如下方 Chainalysis Investigations 图表所示）仍可能导致对儿童的长期剥削。

上图所示的网络包括两家疑似 CSAM 供应商，它们以人民币出售材料。与 CSAM 供应商网站上的订阅费率相比，从个人钱包向供应商转账表明 CSAM 买家购买的是哪种访问权限。如前所述，买家只需花费 5 美元即可从这些供应商处获得一天的 CSAM 材料访问权限。他们还可以仅花费 41 美元购买几乎永久的访问权限（约 20,000 天，即超过 54 年）。在此示例中，大多数钱包持有者购买的是一个月或更长时间的访问权限。至于 CSAM 供应商，他们在兑现时利用了即时兑换器，这与我们今年早些时候的报道一致。

诈骗者采用链上和链下策略；大型杀猪盘诈骗活动持续存在

随着数十亿美元的资金流入，与加密货币相关的诈骗在 2024 年不断增加，是今年迄今最大的非法活动领域之一。今年诈骗形势最显著的特征是诈骗者链上足迹的快速演变——用于收取诈骗受害者付款的加密钱包和地址——以及他们用来操纵受害者的链下工具，如域名和社交媒体账户。这一活动揭示了诈骗者如何适应链上和链下，以进行持续时间更短、破坏性更强的诈骗。为了避免被发现和破坏，许多此类行动会重新生成或维持许多规模较小、同时进行的活动，以保持更大的有组织的诈骗集团继续运作。

2024 年诈骗形势的一个显著特点是，今年迄今的总诈骗流入中有多少流向了今年活跃的钱包，这表明新骗局激增。下图显示了骗局收到加密货币的年份中，首次出现的钱包所占的骗局收入总额份额。值得注意的是，今年迄今的骗局流入资金中有 43% 流向了今年活跃的钱包。这一趋势意义重大，因为下一个最高年份 2022 年，今年迄今总流入资金中只有 29.9% 流向了当年活跃的钱包。

如下图所示，诈骗活动的平均寿命明显缩短，很好地体现了这一趋势。我们通过计算诈骗活动首次和最后一次在链上观察到之间的天数绘制了这一趋势。从 2020 年到 2024 年迄今，诈骗活动的平均活跃天数显著减少，2020 年开始的诈骗活动为 271 天，而 2024 年开始的诈骗活动迄今为 42 天。这一宏观趋势与诈骗者继续从精心策划的庞氏骗局转向更有针对性的活动（如杀猪盘或投毒地址）相一致，部分原因是执法力度加大，稳定币发行人将诈骗地址列入黑名单。

尽管诈骗者倾向于使用新的链上地址，但 2024 年迄今约 57% 的诈骗资金流入仍流向 2024 年之前活跃的钱包。今年活跃的诈骗活动最大的单个钱包之一整合了缅甸最臭名昭著的杀猪盘 KK Park 的许多骗局的资金。这个钱包于 2022 年首次在链上被发现，使用该地址的诈骗活动继续产生可观的收入，今年迄今为止净赚超过 1 亿美元。这些资金可能来自诈骗受害者，也可能来自试图拯救被贩运家庭成员的家庭提交的赎金。

此外，值得注意的是，来自 KK Park 和类似场所的诈骗活动在调整其链下诈骗存在方面非常活跃，经常从中国服务购买成熟的 Facebook、Tinder 和 Match.com 个人资料用于他们的活动。下面的图表显示了从 KK Park 诈骗钱包到销售非法产品的欺诈商店的价值流动，诈骗者利用这些非法产品造成了毁灭性的后果。

该诈骗商店网站的截图还显示了其出售的社交媒体账户的定价。

通过查看像这家诈骗商店这样的销售社交媒体账户的服务的总流入量，我们看到了更多支持这一趋势的证据。下图显示，过去两年发送到这些服务的加密货币稳步增长，从 2022 年到 2024 年，共计 17.8 万笔存款，总额约为 1050 万美元。这些网站上的社交媒体资料定价在每个账户 5 美元到 20 美元之间，这意味着诈骗者可能购买了 52.5 万到 210 万个社交媒体资料，可以用来攻击受害者。

除了将资金发送到提供诈骗工具的服务之外，诈骗者最终还需要将他们的不义之财发送到服务进行洗钱并转换为法定货币，主要通过中心化交易所进行。今年，我们还看到中文市场和洗钱网络的使用有所增加，其中包括 Huione Guarantee。

Huione 担保：490 亿美元的在线市场

Huione Guarantee 是一家与柬埔寨企业集团 Huione Group 有关联的在线市场，最近被曝光是网络犯罪的重要参与者。我们对该服务的报道比之前报道的要多得多——我们发现该平台自 2021 年以来处理了超过 490 亿美元的加密货币交易。

从历史上看，Huione Group 提供合法服务，作为海外转账的汇款系统运营，并提供保险服务。该公司一度涉足豪华旅游业务。然而，其平台 Huione Guarantee 似乎被大量用于非法加密活动，包括杀猪盘、投资欺诈和洗钱。Huione Guarantee 已经发展成为一个庞大而多样化的生态系统，支持东南亚继续运营的利润丰厚的杀猪盘业务。

Huione Guarantee 是一个点对点 (P2P) 市场，连接买家和卖家，通常通过提供联系点的 Telegram 来促进这些交易。总共有数千个 Telegram 群组在 Huione Guarantee 上做广告或发布信息，每个群组都由不同的独立商家或关联公司运营，其中许多人可能与在该地区运营的犯罪企业有联系。

Huione Guarantee 声称自己是这些交易中的中立方；据报道，它的运作方式类似于一个交易平台，对每笔执行的交易收取费用，但不核实所列商品和服务的合法性。

注：此图片是从原来的中文版本机器翻译而来的。

Huione Guarantee 上的许多商家很少掩饰他们的活动，而是使用隐晦的暗语来宣传他们寻求的服务类型。例如，一些广告显示用户在寻找“车队”，这意味着他们正在寻找钱骡，通过多个点和层级来转移资金，从而掩盖资金的来源和目的地。

其他帖子宣传了以下内容：

• 在平台的“开发”部分提供面部识别或面部改造技术。

• 策划杀猪盘计划和庞氏骗局。

• 提供全球护照、签证，并据称协助申请。

注：此图片由机器翻译而来，原文为“Shazhu”意为“杀猪”。

注：此图片是从原来的中文版本机器翻译而来的。

Huione Guarantee 的链上活动

链上分析显示，Huione Pay 在以太坊上很活跃，总流入量超过 19 亿美元，在 TRON 上的流入量超过 470 亿美元。在下图中，我们看到了这种活动的例子，Huione Pay 与各种非法和高风险交易对手之间的转账，突显了 Huione 的广泛便利网络。Huione 似乎在链下支持的 P2P 网络也映射到链上；Huione 已经向各种类型的交易对手接收和发送资金，包括诈骗、被报告为被盗资金的地址、OFAC 批准的俄罗斯交易所 Garantex、欺诈商店、CSAM、中文赌博网站和赌场等。

Huione Guarantee 还处理了据称与 KK Park 等大型犯罪集团有关的钱包交易。此外，Chainalysis 还发现了与 Fully Light Group 和 Warner International 有关的钱包，这两个实体由缅甸果敢家族经营，据报道，这些家族与赌博场所、秘密金融网络和洗钱计划等非法活动有关。

这些网络对 Huione Guarantee 的使用表明，该服务不仅促进了诈骗者和欺诈者本身的活动，还促进了他们背后的犯罪分子网络的活动。

Huione Guarantee 之所以引人注目，是因为它充当了不同类型的网络犯罪分子的联络点，包括杀猪盘诈骗者和 CSAM 网络。虽然它可能是最大的，但它并不是唯一的同类服务。其他网络同样利用 Telegram 来促进 P2P 交易，通常用于交换非法商品和服务。Chainalysis 正在与我们的合作伙伴密切合作，密切监控这个生态系统，以揭露这一活动。