北京时间6月24日,当中国人民准备迎接端午佳节的时候,789,534枚ETH的链上转账引发了业界关注,因为这些ETH正是数字货币领域迄今为止涉案金额最大的PlusToken事件中的ETH资产,沉默了许久之后,这些ETH在一个特别的时间节点开始了新的活动。 

对于PlusToken具体的崩盘日期,或许还有不同的说法,但是业内基本上认为,2019年6月底是这一涉案金额超200亿人民币的数字货币骗局崩盘的大致时间范围。掐指一算,PlusToken崩盘也已经过去一周年,迄今为止,对于这起案件本身和相关数字货币的归属,依然迷雾重重,余波未了。北京链安曾经参与了PlusToken相关比特币和ETH资金洗钱过程的长期追踪,特别在比特币的洗钱分析上,更是与相关机构紧密合作,做出了业内最全面的剖析。在这里,就让我们回顾一下PlusToken崩盘这一年,相关数字货币资金走向的一些痕迹。

昔日“币圈余额宝”,席卷币圈,至今余波未了

事实上,PlusToken崩盘前可不是今天这样人人喊打,又让受害人心绪难平的魔鬼,当年它被认为是赚钱利器,“币圈余额宝”,一时间风光无比。 

PlusToken当时宣称自己是继imToken之后全球第二大数字货币钱包,整个团队也很神秘,在早期的白皮书中,它以此类项目的惯常套路称自己由三星和谷歌具备多年丰富经验的原技术团队开发,研发实验室在韩国首尔。

在其最初的一份官方宣传材料中提及创始人是谷歌阿尔法狗算法研究员LEO,联合创始人为三星团队核心技术金钟仁,PlusToken 甚至声称,谷歌和三星占其股份的 17%。到后来,他们都懒得再包装,直接表示:不必在乎团队是谁,中本聪也不露面有钱赚就行!那时的PlusToken风头正劲,很多人琢磨了一下,好像是这么个理儿啊!

在那个时候,网络上有大量关于PlusToken的介绍,特别赚钱的”原理“,甚至各类操作视频,而这一切并非仅仅由官方制作,也有很多人主动进行推荐和介绍,其原因正在于PlusToken本身带有传销性质。 

PlusToken建立了所谓的两类收益方式,一类称之为静态收益,或者说“智能狗”收益,即将币存入PlusToken就可以享受“每月10%的稳定收益”,“币圈余额宝”的大名就来源于此。说白了,这就是P2P常见的套路,以高息为名的非法集资。在P2P领域,我们常说年化收益率敢往10%,15%宣传,那一定要提高警惕。而在数字货币领域更甚,比如PlusToken的月度10%的收益,本应该是高挂警钟的,但还是有很多人上套。 

与此同时,PlusToken还设计了动态收益模式,即所谓的“分享”收益,这就带有传销性质了,从其官方宣传资料举例来看,直接就列出了十层的收益结构。

 

于是,那个时候,你会发现大量“老师”在各类社区出没,他们热心的向你推介PlusToken这一巨大的投资机会,生怕不能带着你共同富裕。 

上图是当时的PlusToken宣传资料之一,今天你看着好笑,但是当时正是这样的口号让很多投资者如打了鸡血一般成为今天的受害者,又可能参与其中的传销过程成为加害者。

崩盘一年,资金频繁转移,屡成行业热点

关于PlusToken的结局我们早已知晓,那就是崩盘,但是对于这一骗局当年的盛况,涉及的资产规模你可能也感觉有些模糊。通过相关线索,我们早已经摸清了PlusToken最大的资产类型比特币的钱包结构,可以从链上数据角度详细的分析它的崛起和崩盘过程。

 

根据统计数据,我们可以发现尽管PlusToken启动于2018年,但是其大规模比特币的流入开始于2019年2月,不考虑可能的重复流入流出,累积流入比特币数量超过了20万枚。 

从钱包结构管理上,PlusToken大致由两个地址集群围绕三个热钱包地址归集进行日常的运营,这两个地址群包含的地址大都为PlusToken用户分配的充币地址,总数超过了53万个。三大热钱包地址在2018年8月到2019年6月间,按照时间顺序切换使用。同时,归集在热钱包的比特币会进一步向一些其它地址进行低频但是大额的汇集,类似于热钱包向冷钱包的归集。最终,PlusToken崩盘,留下了大笔的数字资产于相关地址中,接着这些地址的实控人开始了持续一年的资产转移和洗钱过程,到今天都没有彻底完成。 

在这一年的洗钱过程中,北京链安通过ChainsMap链上追溯系统持续跟进,并多次通过快讯的形式向行业同步最新进展,接下来,就让我们回顾一下当时我们发布的快讯片断,重温一下大致过程。 

2019年6月30日:

当时PlusToken主要钱包资产分布在三个地址,分别为:

31odn4***(68562 枚比特币)

14BWH6***(95228 枚比特币)

33FKcw***(37922 枚比特币) 

2019年8月13日:

PlusToken相关地址中33FKcw打头地址通过转账产生两笔巨额UTXO(分别为15000,22848比特币)。 

2019年8月14日:

13日拆解的两笔UTXO于8月14日再度拆分到9个新地址。

其中33FKcw开头的一个主要钱包地址转移22922个BTC至四个新地址中,数额分别为4922、5000、6000、7000不等; 

另一个主要钱包地址转移22922个BTC至五个新地址中,数额分别为2000、2800、3000、3400、3800不等。 

2019年8月17日:

紧接着,8月17日18点后,这些地址再度发生转账,但都是分别转到一个新生成的地址。晚上11点后到18日凌晨,上述地址再度开始转账,主要是大量拆分工作,又进一步被切分为1到10BTC不等的大量小额独立地址。 

2019年8月18日:

截止18日,Plustoken钱包地址共转出37922枚比特币至新地址,已有29805个BTC被切分为小额转移。 

2019年8月28日 :

ChainsMap安全人员跟进分析发现于前几日发生大量拆解后地址,最近两天被频繁切分为0.1-10BTC不等的大量小额地址,进一步被汇聚转出。

这些资金并没有直接流入交易所,而是通过类似ChipMixer的工具进行混淆,再通过场外OTC的渠道卖出。 

2019年8月23日:

近期PlusToken另一个大资产钱包14BWH6打头地址通过大量拆分转账操作,向1Li4mU开头地址归集,已完成33706枚BTC转移。 

2019年8月29日:

1Li4mU开头地址于今日凌晨3:10发生异动再次拆分转账,并于今日将相关比特币转账到以下地址,

1Npr4Z***(1932BTC)

1Nrwpr*** (2433BTC)

1FEYD9*** (1937BTC)

1BWvR7*** (3222BTC)

1QEEdd*** (1140BTC) 

2019年8月30日:

上述1Li4mU开头地址拆分的若干大额比特币,于昨日下午,今天凌晨再度进行拆分,已经拆分成个位数BTC存放于大量新生成的地址。 

凌晨4点后,上述部分地址再度开始拆分,继续产生大量个位数BTC。起始于29日凌晨的相关大额比特币转账大都已经拆分在20枚BTC以下,相关比特币暂时都存于独立地址。 

2019年9月10日:

1Li4mU开头地址再度开始转账,自昨晚22:20开始,连续转出三笔4000BTC左右的大额BTC到独立地址,累积12646枚BTC。今天11点后,这些大额BTC再度开始拆分转账,相关过程仍在进行,已经拆分出个位数BTC。

1Li4mU开头地址于今年8月23日创建,当日即接收了33705枚比特币,其账上地址已经减少到4233枚。 

2019年9月16日:

PlusToken另一个大资产钱包14BWH6打头地址资产汇集的1H2zrV***地址正在启动相似策略拆分,晚上23:08在同一块上连续转出四笔3000~3800枚BTC的大额转账,其策略特征与之前相似,每笔转账都拆分到300个左右的新地址。 

2019年9月17日:

北京链安链上监测系统发现,1Li4mU开头再度转账并基本“清空”。 

2019年9月20日:

PlusToken被曝跑路后ETH资产的首次异动,0xef13a2开头的地址向0xe380e0开头的地址转移了20,008个ETH,暂未监测到流入交易所,主钱包地址中789,534个ETH尚未发生异动。 

2019年12月19日:

789524枚ETH自0xf4a2开头的Plustoken地址转至一未知0x997114***

2020年2月12日:

北京时间2月12日凌晨4点34分之后,PlusToken昨日开始洗钱的相关BTC进行进一步拆分,在将11999枚BTC拆分为7组大额比特币后,进一步拆分为个位数到两位数的比特币。此外,PlusToken尚有一地址存有超7000枚比特币,近期也很有可能有进一步动作。 

2020年3月6日:

昨日启动转账的两个PlusToken相关地址,尽管时间上基本同步,但从今天的进一步行为来看,初期策略略有差别。其中一批采取了一次性均分为1000BTC左右到若干地址,再继续均分逐步拆解成三位数、两位数的方式;另一批则采取不断转账过程中,剥离出三位数BTC,再进一步拆分的策略。 

2020年6月25日:

北京时间6月24日晚间PlusToken涉案的789,534枚ETH在连续两次转账后,已经有超过3.5万枚ETH进一步通过52笔交易拆分转移到新的地址,其中最大份额达9925枚,最小份额在100枚左右,根据其此前在比特币上的行为模式类比推测,这很可能是一系列混淆洗钱过程的开始。

以上还只是PlusToken相关数字货币转移的片断,但是其每次转移都会引发从受害人到业界人士的关注,那段时间PlusToken甚至成了比特币价格下跌的背锅侠,多次比特币下跌后都有人惊呼“PlusToken又在砸盘”。甚至,还有相关安全机构对比了PlusToken洗钱活动热度和比特币价格曲线图,煞有介事的进行分析,那么PlusToken是如何洗钱的,真的有这么大的威力?

PlusToke的链上洗钱:专业、耐心,市场影响力却可能被夸大

整体来看,PlusToken的洗钱过程非常专业,大致策略如下:

1. 阶段性从起始地址转出千枚BTC以上的超大额UTXO

2. 大额UTXO进行数十层的平行转移或拆分,拆解成个最小至个位BTC的大量UTXO

3. 不同阶段分出的大额UTXO拆分后的UTXO间进一步混淆拆分组合

4. 最终归集数十枚UTXO进入交易所

5. 从启动到进入交易所,通常需要经过40层以上转账

 

在2019年,这个1Li4mU开头的地址可谓当年知名度最高的巨鲸地址之一,媒体提及度更是当年最热没有之一。事实上,它正是PlusToken相关资金的一个汇聚地址,但是在众目睽睽之下,它依然淡定的按节奏分批洗钱。

他们的“底气”来源于其复杂的洗钱过程,通过ChainsMap系统追溯其中过程,可以看到每一批比特币进入洗钱过程后,都会马上进行逐层的拆分,通常是不断分拆成二位数、个位数的比特币后进行混淆,往往处理一批三四千枚比特币的中间过程就可能产生超过20万笔交易,如果没有专业的技术手段很难剖析这个过程。

在这个过程中,最令人头疼的就是其不同批次比特币拆分后,相对小额数量的比特币间的混淆和再拆分,如果通过人工分析,完全无法理清这个过程。 

由于一些原因,尽管我们最终依然穿透了整个过程,但是在这里我们无法一步介绍详细的过程和细节,相信各位读者已经能对其基本特点有所了解,那么这样的过程之下,PlusToken担得起近一年的比特币价格下跌中的“砸盘”之名吗? 

因为PlusToken涉案比特币数量特别巨大,人们天然的担心这些比特币可能一下子砸盘的危险。但是通过前面介绍的PlusToken洗钱的大致脉络,我们也看到了,这不是一个快速的“砸”的过程,就其中一笔3.3万枚比特币的资产也用了几个月才清空,而且整个过程最终也是以数十枚比特币为单位派发,它是一个渐进舒缓的过程,何况中间的主要交易很可能在场外,涉及场内的交易从时机到节奏会进一步被分散,恐怕很难形成持续的“砸盘”的合力。

结局:骗局未有终局

从一起资金盘或者说骗局的角度,PlusToken从崩盘之际就可算已经落下帷幕,但是从法律、社会影响角度来看,它的结局尚未到来,依然有很多受害人在努力追回损失,而对这一案件的司法行动和处理也仍在进行,在此不再赘述。 

我们更想说的是,PlusToken的崩盘结局绝不意味着数字货币骗局的结局,甚至就在PlusToken崩盘后,依然有关于PlusToken重启,或者所谓“PlusToken3.0”为名的新的骗局问世,这些骗局依然能吸引不少投资者参与,其中正包括部分PlusToken的受害人。 

而在PlusToken之后,也有新的各类模式的数字货币资金盘出现,而“搬砖”似乎已经成为一种经典行骗模式,屡试不爽,包括近期曝光的所谓的“伊朗交易所”骗局。 

尽管近一年暂未出现规模超过PlusToken的案件发生,但是我们发现数亿、数十亿的大案依然多次出现,数字资产骗局也正从一种新型犯罪类型成为一种新型犯罪手段,更频繁的与传统经济犯罪结合。 

这样的背景下,一方面,数字货币相关案件覆盖的潜在受害人群在扩大,他们对数字货币不了解,对PlusToken这样的案例也没听说,这让他们非常容易被一种所谓的“新的暴富机会”这样的话术所欺骗。另一方面,对于一线的司法机关来说,也在各类案件中更频繁的发行数字货币相关线索,对于此类案件侦破手段的提升已经成为一个亟待解决的问题。 

在我们这篇专题的结尾,我们再次提醒各位,在人类频繁交往的社会,骗局永远没有终局,它们时刻可能以新的形态,新的手段,新的模式出现在你的面前。请你保持常识,对承诺过高收益率的“暴富机会”保持高度警惕,避免成为下一次骗局的受害人,成为一个更加理性成熟的投资者。 

与此同时,就在我们准备发布这篇专题的时候,PlusToken涉案的ETH又开始了拆分过程。。。