PlusToken崩盤一周年：昔日“幣圈餘額寶”如何捲走了20萬枚比特幣？

北京時間6月24日，當中國人民準備迎接端午佳節的時候，789,534枚ETH的鏈上轉賬引發了業界關注，因為這些ETH正是數字貨幣領域迄今為止涉案金額最大的PlusToken事件中的ETH資產，沉默了許久之後，這些ETH在一個特別的時間節點開始了新的活動。

對於PlusToken具體的崩盤日期，或許還有不同的說法，但是業內基本上認為，2019年6月底是這一涉案金額超200億人民幣的數字貨幣騙局崩盤的大致時間範圍。掐指一算，PlusToken崩盤也已經過去一周年，迄今為止，對於這起案件本身和相關數字貨幣的歸屬，依然迷霧重重，餘波未了。北京鏈安曾經參與了PlusToken相關比特幣和ETH資金洗錢過程的長期追踪，特別在比特幣的洗錢分析上，更是與相關機構緊密合作，做出了業內最全面的剖析。在這裡，就讓我們回顧一下PlusToken崩盤這一年，相關數字貨幣資金走向的一些痕跡。

昔日“幣圈餘額寶”，席捲幣圈，至今餘波未了

事實上，PlusToken崩盤前可不是今天這樣人人喊打，又讓受害人心緒難平的魔鬼，當年它被認為是賺錢利器，“幣圈餘額寶”，一時間風光無比。

PlusToken當時宣稱自己是繼imToken之後全球第二大數字貨幣錢包，整個團隊也很神秘，在早期的白皮書中，它以此類項目的慣常套路稱自己由三星和谷歌具備多年豐富經驗的原技術團隊開發，研發實驗室在韓國首爾。

在其最初的一份官方宣傳材料中提及創始人是谷歌阿爾法狗算法研究員LEO，聯合創始人為三星團隊核心技術金鐘仁，PlusToken 甚至聲稱，谷歌和三星占其股份的17%。到後來，他們都懶得再包裝，直接表示：不必在乎團隊是誰，中本聰也不露面有錢賺就行！那時的PlusToken風頭正勁，很多人琢磨了一下，好像是這麼個理兒啊！

在那個時候，網絡上有大量關於PlusToken的介紹，特別賺錢的”原理“，甚至各類操作視頻，而這一切並非僅僅由官方製作，也有很多人主動進行推薦和介紹，其原因正在於PlusToken本身帶有傳銷性質。

PlusToken建立了所謂的兩類收益方式，一類稱之為靜態收益，或者說“智能狗”收益，即將幣存入PlusToken就可以享受“每月10%的穩定收益”，“幣圈餘額寶”的大名就來源於此。說白了，這就是P2P常見的套路，以高息為名的非法集資。在P2P領域，我們常說年化收益率敢往10%，15%宣傳，那一定要提高警惕。而在數字貨幣領域更甚，比如PlusToken的月度10%的收益，本應該是高掛警鐘的，但還是有很多人上套。

與此同時，PlusToken還設計了動態收益模式，即所謂的“分享”收益，這就帶有傳銷性質了，從其官方宣傳資料舉例來看，直接就列出了十層的收益結構。

於是，那個時候，你會發現大量“老師”在各類社區出沒，他們熱心的向你推介PlusToken這一巨大的投資機會，生怕不能帶著你共同富裕。

上圖是當時的PlusToken宣傳資料之一，今天你看著好笑，但是當時正是這樣的口號讓很多投資者如打了雞血一般成為今天的受害者，又可能參與其中的傳銷過程成為加害者。

崩盤一年，資金頻繁轉移，屢成行業熱點

關於PlusToken的結局我們早已知曉，那就是崩盤，但是對於這一騙局當年的盛況，涉及的資產規模你可能也感覺有些模糊。通過相關線索，我們早已經摸清了PlusToken最大的資產類型比特幣的錢包結構，可以從鏈上數據角度詳細的分析它的崛起和崩盤過程。

根據統計數據，我們可以發現儘管PlusToken啟動於2018年，但是其大規模比特幣的流入開始於2019年2月，不考慮可能的重複流入流出，累積流入比特幣數量超過了20萬枚。

從錢包結構管理上，PlusToken大致由兩個地址集群圍繞三個熱錢包地址歸集進行日常的運營，這兩個地址群包含的地址大都為PlusToken用戶分配的充幣地址，總數超過了53萬個。三大熱錢包地址在2018年8月到2019年6月間，按照時間順序切換使用。同時，歸集在熱錢包的比特幣會進一步向一些其它地址進行低頻但是大額的匯集，類似於熱錢包向冷錢包的歸集。最終，PlusToken崩盤，留下了大筆的數字資產於相關地址中，接著這些地址的實控人開始了持續一年的資產轉移和洗錢過程，到今天都沒有徹底完成。

在這一年的洗錢過程中，北京鏈安通過ChainsMap鏈上追溯系統持續跟進，並多次通過快訊的形式向行業同步最新進展，接下來，就讓我們回顧一下當時我們發布的快訊片斷，重溫一下大致過程。

2019年6月30日：

當時PlusToken主要錢包資產分佈在三個地址，分別為：

31odn4***（68562 枚比特幣）

14BWH6***（95228 枚比特幣）

33FKcw***（37922 枚比特幣）

2019年8月13日：

PlusToken相關地址中33FKcw打頭地址通過轉賬產生兩筆巨額UTXO（分別為15000，22848比特幣）。

2019年8月14日：

13日拆解的兩筆UTXO於8月14日再度拆分到9個新地址。

其中33FKcw開頭的一個主要錢包地址轉移22922個BTC至四個新地址中，數額分別為4922、5000、6000、7000不等；

另一個主要錢包地址轉移22922個BTC至五個新地址中，數額分別為2000、2800、3000、3400、3800不等。

2019年8月17日：

緊接著，8月17日18點後，這些地址再度發生轉賬，但都是分別轉到一個新生成的地址。晚上11點後到18日凌晨，上述地址再度開始轉賬，主要是大量拆分工作，又進一步被切分為1到10BTC不等的大量小額獨立地址。

2019年8月18日：

截止18日，Plustoken錢包地址共轉出37922枚比特幣至新地址，已有29805個BTC被切分為小額轉移。

2019年8月28日：

ChainsMap安全人員跟進分析發現於前幾日發生大量拆解後地址，最近兩天被頻繁切分為0.1-10BTC不等的大量小額地址，進一步被匯聚轉出。

這些資金並沒有直接流入交易所，而是通過類似ChipMixer的工具進行混淆，再通過場外OTC的渠道賣出。

2019年8月23日：

近期PlusToken另一個大資產錢包14BWH6打頭地址通過大量拆分轉賬操作，向1Li4mU開頭地址歸集，已完成33706枚BTC轉移。

2019年8月29日：

1Li4mU開頭地址於今日凌晨3:10發生異動再次拆分轉賬，並於今日將相關比特幣轉賬到以下地址，

1Npr4Z***（1932BTC）

1Nrwpr*** （2433BTC）

1FEYD9*** （1937BTC）

1BWvR7*** （3222BTC）

1QEEdd*** （1140BTC）

2019年8月30日：

上述1Li4mU開頭地址拆分的若干大額比特幣，於昨日下午，今天凌晨再度進行拆分，已經拆分成個位數BTC存放於大量新生成的地址。

凌晨4點後，上述部分地址再度開始拆分，繼續產生大量個位數BTC。起始於29日凌晨的相關大額比特幣轉賬大都已經拆分在20枚BTC以下，相關比特幣暫時都存於獨立地址。

2019年9月10日：

1Li4mU開頭地址再度開始轉賬，自昨晚22:20開始，連續轉出三筆4000BTC左右的大額BTC到獨立地址，累積12646枚BTC。今天11點後，這些大額BTC再度開始拆分轉賬，相關過程仍在進行，已經拆分出個位數BTC。

1Li4mU開頭地址於今年8月23日創建，當日即接收了33705枚比特幣，其賬上地址已經減少到4233枚。

2019年9月16日：

PlusToken另一個大資產錢包14BWH6打頭地址資產匯集的1H2zrV***地址正在啟動相似策略拆分，晚上23:08在同一塊上連續轉出四筆3000~3800枚BTC的大額轉賬，其策略特徵與之前相似，每筆轉賬都拆分到300個左右的新地址。

2019年9月17日：

北京鏈安鏈上監測系統發現，1Li4mU開頭再度轉賬並基本“清空”。

2019年9月20日：

PlusToken被曝跑路後ETH資產的首次異動，0xef13a2開頭的地址向0xe380e0開頭的地址轉移了20,008個ETH，暫未監測到流入交易所，主錢包地址中789,534個ETH尚未發生異動。

2019年12月19日：

789524枚ETH自0xf4a2開頭的Plustoken地址轉至一未知0x997114***

2020年2月12日：

北京時間2月12日凌晨4點34分之後，PlusToken昨日開始洗錢的相關BTC進行進一步拆分，在將11999枚BTC拆分為7組大額比特幣後，進一步拆分為個位數到兩位數的比特幣。此外，PlusToken尚有一地址存有超7000枚比特幣，近期也很有可能有進一步動作。

2020年3月6日：

昨日啟動轉賬的兩個PlusToken相關地址，儘管時間上基本同步，但從今天的進一步行為來看，初期策略略有差別。其中一批採取了一次性均分為1000BTC左右到若干地址，再繼續均分逐步拆解成三位數、兩位數的方式；另一批則採取不斷轉賬過程中，剝離出三位數BTC ，再進一步拆分的策略。

2020年6月25日：

北京時間6月24日晚間PlusToken涉案的789,534枚ETH在連續兩次轉賬後，已經有超過3.5萬枚ETH進一步通過52筆交易拆分轉移到新的地址，其中最大份額達9925枚，最小份額在100枚左右，根據其此前在比特幣上的行為模式類比推測，這很可能是一系列混淆洗錢過程的開始。

以上還只是PlusToken相關數字貨幣轉移的片斷，但是其每次轉移都會引發從受害人到業界人士的關注，那段時間PlusToken甚至成了比特幣價格下跌的背鍋俠，多次比特幣下跌後都有人驚呼“PlusToken又在砸盤”。甚至，還有相關安全機構對比了PlusToken洗錢活動熱度和比特幣價格曲線圖，煞有介事的進行分析，那麼PlusToken是如何洗錢的，真的有這麼大的威力？

PlusToke的鏈上洗錢：專業、耐心，市場影響力卻可能被誇大

整體來看，PlusToken的洗錢過程非常專業，大致策略如下：

1. 階段性從起始地址轉出千枚BTC以上的超大額UTXO

2. 大額UTXO進行數十層的平行轉移或拆分，拆解成個最小至個位BTC的大量UTXO

3. 不同階段分出的大額UTXO拆分後的UTXO間進一步混淆拆分組合

4. 最終歸集數十枚UTXO進入交易所

5. 從啟動到進入交易所，通常需要經過40層以上轉賬

在2019年，這個1Li4mU開頭的地址可謂當年知名度最高的巨鯨地址之一，媒體提及度更是當年最熱沒有之一。事實上，它正是PlusToken相關資金的一個匯聚地址，但是在眾目睽睽之下，它依然淡定的按節奏分批洗錢。

他們的“底氣”來源於其複雜的洗錢過程，通過ChainsMap系統追溯其中過程，可以看到每一批比特幣進入洗錢過程後，都會馬上進行逐層的拆分，通常是不斷分拆成二位數、個位數的比特幣後進行混淆，往往處理一批三四千枚比特幣的中間過程就可能產生超過20萬筆交易，如果沒有專業的技術手段很難剖析這個過程。

在這個過程中，最令人頭疼的就是其不同批次比特幣拆分後，相對小額數量的比特幣間的混淆和再拆分，如果通過人工分析，完全無法理清這個過程。

由於一些原因，儘管我們最終依然穿透了整個過程，但是在這裡我們無法一步介紹詳細的過程和細節，相信各位讀者已經能對其基本特點有所了解，那麼這樣的過程之下，PlusToken擔得起近一年的比特幣價格下跌中的“砸盤”之名嗎？

因為PlusToken涉案比特幣數量特別巨大，人們天然的擔心這些比特幣可能一下子砸盤的危險。但是通過前面介紹的PlusToken洗錢的大致脈絡，我們也看到了，這不是一個快速的“砸”的過程，就其中一筆3.3萬枚比特幣的資產也用了幾個月才清空，而且整個過程最終也是以數十枚比特幣為單位派發，它是一個漸進舒緩的過程，何況中間的主要交易很可能在場外，涉及場內的交易從時機到節奏會進一步被分散，恐怕很難形成持續的“砸盤”的合力。

結局：騙局未有終局

從一起資金盤或者說騙局的角度，PlusToken從崩盤之際就可算已經落下帷幕，但是從法律、社會影響角度來看，它的結局尚未到來，依然有很多受害人在努力追回損失，而對這一案件的司法行動和處理也仍在進行，在此不再贅述。

我們更想說的是，PlusToken的崩盤結局絕不意味著數字貨幣騙局的結局，甚至就在PlusToken崩盤後，依然有關於PlusToken重啟，或者所謂“PlusToken3.0”為名的新的騙局問世，這些騙局依然能吸引不少投資者參與，其中正包括部分PlusToken的受害人。

而在PlusToken之後，也有新的各類模式的數字貨幣資金盤出現，而“搬磚”似乎已經成為一種經典行騙模式，屢試不爽，包括近期曝光的所謂的“伊朗交易所”騙局。

儘管近一年暫未出現規模超過PlusToken的案件發生，但是我們發現數億、數十億的大案依然多次出現，數字資產騙局也正從一種新型犯罪類型成為一種新型犯罪手段，更頻繁的與傳統經濟犯罪結合。

這樣的背景下，一方面，數字貨幣相關案件覆蓋的潛在受害人群在擴大，他們對數字貨幣不了解，對PlusToken這樣的案例也沒聽說，這讓他們非常容易被一種所謂的“新的暴富機會”這樣的話術所欺騙。另一方面，對於一線的司法機關來說，也在各類案件中更頻繁的發行數字貨幣相關線索，對於此類案件偵破手段的提升已經成為一個亟待解決的問題。

在我們這篇專題的結尾，我們再次提醒各位，在人類頻繁交往的社會，騙局永遠沒有終局，它們時刻可能以新的形態，新的手段，新的模式出現在你的面前。請你保持常識，對承諾過高收益率的“暴富機會”保持高度警惕，避免成為下一次騙局的受害人，成為一個更加理性成熟的投資者。

與此同時，就在我們準備發布這篇專題的時候，PlusToken涉案的ETH又開始了拆分過程。 。 。