撰文：BlockSec

研究范围

本报告聚焦于 2025 年在以太坊（Ethereum）和波场（TRON）两条区块链上观察到的加密货币犯罪活动。之所以选择这两条网络，是因为它们具有较高的交易规模、在加密生态中被广泛采用，并且在以往分析中频繁出现在各类非法资金流动中。综合来看，以太坊和波场分别代表了加密犯罪活动中不同功能分工的区块链环境：前者更多承载链原生应用与复杂金融活动，后者则在稳定币转移与跨境结算中占据核心位置。两条网络在非法资金的产生、转移与清洗过程中形成高度互补的关系，共同构成了加密货币犯罪资金流动的主要载体。

本报告分析的加密货币犯罪类型包括：诈骗、攻击、恐怖主义融资、人口贩运、毒品贩运以及制裁相关活动。这些类别代表了当前加密货币领域中最为常见且影响较大的非法活动形式，并长期受到监管机构、执法部门及行业参与者的重点关注。

方法论

我们对加密货币犯罪的分析主要包括两个方面：一是评估不同犯罪类型在 2025 年全年的资金流入规模，二是分析其在 2025 年的洗钱去向偏好。下文将分别介绍这两部分所采用的分析方法及相关说明。

犯罪类型年度收入规模的评估方法

在评估不同犯罪类型的年度收入规模时，我们采用行业内通行的方法，通过统计与某一犯罪类型相关的地址在 2025 年内的资金流入情况，来估算该犯罪类型的总体收益规模。具体而言，我们基于 BlockSec AML 标签库，整理出各犯罪分类下已识别的相关地址集合，并统计这些地址在 2025 年全年接收的主流加密资产入金金额，统一折算为美元价值后进行汇总。

需要指出的是，上述统计结果在解读时应注意以下几点：

1. 由于部分非法地址尚未被曝光或未能及时收录，统计结果可能低于实际发生的真实规模；

2. 非法资金在不同犯罪地址之间的内部流转，可能导致部分资金被重复统计。我们在分析中尽可能规避这一问题，例如在攻击分类中，优先以具体攻击事件为统计粒度；

3. 个别地址可能同时涉及多种犯罪活动，其对应的收入可能同时计入多个分类。我们会尽量识别地址的主要犯罪属性，但在实践中，部分地址不可避免地同时出现在非法活动与制裁相关分类中，Lazarus Group 即为典型例子。

黑灰资金洗钱去向的分析方法

在分析黑灰资金的洗钱去向时，我们主要采用论文 MFTracer 中提出的资金流模拟方法。具体做法是：将某一犯罪类型下的全部相关地址视为一个整体，同时模拟其对外转出资金在链上的后续流动路径，直至资金进入已识别的服务实体，或在高度连接的中介节点处汇聚。

相较于对单个地址分别分析的方法，该方式能够更好地刻画涉及多个地址的组织化非法行为的整体洗钱结构，并避免对同一洗钱去向进行重复累加。需要注意的是，该方法在应用过程中亦可能存在以下局限：

1. 相关分析基于自动化程序完成。为保证计算的可行性与稳定性，分析过程中采用了剪枝策略，可能导致少量资金在模拟过程中被忽略；

2. 资金去向的识别依赖于 BlockSec AML 标签库。当资金流入尚未被标记的地址或实体时，其具体去向可能无法进一步确认；

3. 部分服务实体同时涉及多项业务类型（例如 1inch 同时提供同链资产兑换与跨链资产兑换服务）。在此情况下，资金流入该实体时，其去向将被统一归类为主要业务类型，相关分析结果可能因此存在一定精度损失。

不同犯罪类型的收入规模

下图展示了 2025 年不同犯罪类型在以太坊和波场两条区块链上的收入规模分布情况。当某些犯罪类型在单条链上的收入规模较低时，为避免其拉伸整体纵轴比例、影响可读性，图中将其收入视为 0 进行展示，以获得更清晰的可视化效果。

从整体分布来看，恐怖主义融资、人口贩运以及毒品贩运的收入规模明显集中在波场链上。这三类犯罪对加密货币的主要使用场景集中于交易结算与资金清洗，而波场网络在转账成本和结算效率方面具备显著优势，因此更容易被用于承载此类资金流动。

相比之下，诈骗与攻击在两条链上均呈现出较为显著的活动规模。这主要源于这两类犯罪具有更强的「链原生」属性：无论是诈骗还是攻击，往往发生在哪一条链上，其对应的非法收益也会首先在该链上产生并沉淀。其中，攻击在以太坊上的收入规模明显高于波场，一方面是由于以太坊拥有更为复杂且活跃的 DeFi 生态，成为智能合约攻击的主要目标；另一方面，2025 年 Lazarus Group 针对 Bybit 的攻击事件单项即涉及约 15 亿美元的以太币，被计入以太坊侧的攻击收入中，进一步放大了这一差异。

制裁相关活动在 2025 年呈现出异常显著的增长趋势。相较 2024 年，其相关收入规模增加了接近 1000 亿美元。这一增长主要由两方面因素推动：一是俄罗斯推出以规避经济制裁为目的的卢布稳定币 A7A5 代币，该资产在 2025 年于以太坊和波场两条链上的交易规模合计约为 700 亿美元；二是 Huione Group、BYEX Exchange 等因深度参与东南亚诈骗与洗钱活动而受到制裁，其相关资金流同样被纳入制裁相关活动的统计范围。

总体来看，这一收入分布反映出不同犯罪类型在链选择上的结构性差异：以交易结算和洗钱为导向的犯罪活动，更倾向于使用低成本、高效率的结算网络；而链原生型犯罪则更依赖其发生的区块链生态本身。这一差异为后续关于洗钱路径、风险集中度以及区域性犯罪生态的分析提供了重要背景。

不同犯罪类型的洗钱去向

接下来，我们将分别分析各类犯罪在以太坊和波场链上的洗钱去向。需要说明的是，本报告未对制裁相关活动的资金进一步展开去向分析。与其他犯罪类型不同，制裁并非一种具体的犯罪行为，而是由监管或执法机构施加的管理措施，其适用对象可能涵盖多种不同类型的非法活动。若将不同背景的受制裁地址合并分析其洗钱去向，容易混淆不同犯罪行为的资金特征，从而降低分析结果的解释力。

诈骗

在波场链上，诈骗资金的洗钱去向呈现出高度集中的特征。数据显示，超过 80% 的诈骗资金最终流入各类中心化交易所，其中 HTX 和 Binance 是最主要的接收方，合计占比约 50%，其后包括 Kraken、OKX、Bybit 等平台。此外，Huione Group 约占 2.73%。这一比例与 FinCEN 将其认定为东南亚诈骗活动关键洗钱节点的指控相吻合。

除交易所及个别重点实体外，其他类型服务所占比例相对有限。整体来看，这一分布表明，波场链上的诈骗活动在洗钱阶段更强调快速变现与高效流转，中心化交易所在其中扮演了核心的资金出口角色。

相比之下，以太坊链上的诈骗资金洗钱路径则更加多样化且分散。尽管去中心化交易所（DEX）仍是最主要的去向之一，占比约 30%，但并未形成绝对主导。同时，混币服务（Mixer）在诈骗资金中的占比显著提高，约为 20%，其中 Tornado Cash是最主要的接收方。此外，部分资金还流向中心化交易所、钱包服务、跨链桥、稳定币协议等多种类型的服务节点，显示出诈骗资金在以太坊生态中更倾向于通过多层次、组合式的链上操作来提升资金混淆度。

两条链上之所以形成如此不同的洗钱路径结构，首先源于诈骗资金在资产形态上的差异。波场链上的诈骗所得黑灰资金以 USDT 为主，资产形式相对单一，天然具备较强的流通性与可兑现性；相比之下，以太坊上的诈骗资产类型更加多样，犯罪分子往往需要通过资产兑换，将其转化为流动性更高、价值更稳定、且在后续操作中更为安全的资产形式。这一差异将在第二章中结合稳定币相关数据进一步展开。

其次，两条链在洗钱方式上的偏好也存在明显不同。在波场生态中，诈骗资金更常见的做法是通过多次地址转移拉长洗钱路径，随后集中流入交易所完成兑现；而在以太坊生态中，犯罪分子则更倾向于利用其丰富的链上工具组合，例如混币服务及其他 DeFi 机制，通过多层次操作来增加资金追踪的难度。

总体来看，诈骗类犯罪在以太坊与波场两条链上的洗钱路径，清晰地反映了不同生态结构对洗钱行为的影响：波场更偏向以中心化交易所为核心的直接兑现模式，而以太坊则呈现出更加复杂、工具化的洗钱路径。这一差异在其他犯罪类型的分析中同样有所体现。尽管具体路径选择存在显著不同，黑灰资金在洗钱阶段的核心目标仍然一致，即在降低持续追踪风险的同时，最大化资产的流动性与可变现性。

攻击

在正式分析攻击类资金的洗钱去向之前，需要作出一项说明：本节的分析未包含 Lazarus Group 发起的攻击事件。

Lazarus Group 在 2025 年实施的多起高金额攻击，对攻击类犯罪整体的去向分布具有显著影响。为避免单一主体的极端规模对整体结构造成扭曲，相关分析将在后文单独展开；本节所展示的结果，主要用于刻画攻击类犯罪在不同链上的一般性洗钱特征。

在以太坊上，攻击所得资金的洗钱去向呈现出高度多样化的结构。去中心化交易所（DEX）仍 是 最 主 要 的 去 向，占 比 38.49%，资 金 主 要 流 向 Uniswap、Cow Protocol、1inch、Balancer、Kyber Network 等 协 议。其 次，混 币 服 务（Mixer）占比 16.76%，其中 Tornado Cash 是最主要的接收方。此外，部分资金还流向跨链桥、稳定币协议、钱包服务及借贷协议等，显示出攻击者在洗钱阶段更倾向于通过多种链上工具的组合使用，以提升资金混淆度并增加追踪难度。

相比之下，波场链上的攻击资金去向则高度集中于跨链桥。数据显示，约 90% 的攻击相关资金通过跨链桥服务流出，并且集中于 Bridgers 跨链桥。除跨链桥外，少量资金流向中心化交易所或无 KYC 的交易服务。这一分布表明，在波场生态中，攻击者更倾向于迅速将资金迁移至其他网络进行后续清洗，而非在本链内完成复杂的洗钱操作。

恐怖主义融资

在 2025 年观察到的相关活动中，恐怖主义融资相关资金主要集中于波场链，因此本节仅对波场上的洗钱去向分布进行分析。

从最终去向来看，77.06% 的恐怖主义融资资金最终流入各类中心化交易所，其中 Binance 占据 28.17%，为最主要的接收方，其后包括 Bybit、Kraken、OKX 等平台。相比之下，仅有 2.7% 的资金通过跨链桥服务转移至其他区块链进行清洗，这一比例与攻击类犯罪形成了鲜明对比。

值得注意的是，在实际追踪过程中恐怖主义融资的洗钱路径往往更加冗长。在到达已识别的服务实体之前，相关资金通常会经过更多中间地址和转移步骤，需要更深的追踪层级才能识别其最终去向。这一特征表明，恐怖主义融资在洗钱过程中更倾向于通过延长资金路径来降低暴露风险。

人口贩运

人口贩运相关资金在洗钱去向上同样呈现出高度集中于波场链的特征，因此本节主要基于波场上的资金流向展开分析。

从最终去向来看，中心化交易所是人口贩运资金最主要的资金出口，整体占比超过 60%。相 关 资 金 分 布 于 多 个 交 易 平 台 之 间，其 中 OKX、Binance 以 及 Huione Group 是较为突出的接收方。此外，部分资金也流向 HTX、MaskEx、Gate.io 等交易所，但整体仍以交易所体系内的流转为主。

除交易所外，少量资金流向赌博类服务（Gambling）。尽管其占比不高，但在人口贩运相关活动中具有一定代表性。这一现象可能表明，部分资金在进入主流金融出口之前，会先通过具有较高流动性的娱乐或交易场景进行过渡，以降低资金来源的可识别性。

毒品贩运

毒品贩运相关的链上资金同样高度集中于波场网络。本节所展示的洗钱去向分析，亦基于波场链上的毒品相关资金流。

在洗钱去向上，毒品贩运资金最终仍以中心化交易所作为主要出口。如图所示，约 77% 的相关资金流入各类交易所，其中 Binance 占据最大比例，其后包括 Bybit、OKX 等主流平台。这一分布表明，尽管资金在链上经历了多轮转移，交易所依然是毒品收益进入现实金融体系的关键节点。

与诈骗或攻击类犯罪相比，毒品贩运资金往往需要更深的追踪层级才能抵达已识别的服务实体。这意味着其洗钱路径通常更长、跳数更多，在进入交易所之前已经完成了更充分的分层处理。这种「终点高度集中、路径显著拉长」的结构，使毒品相关资金在链上呈现出更高的追踪成本，也反映出其在应对执法风险时更为成熟和审慎的洗钱策略。

Lazarus Group

作为 2025 年最为活跃且影响力最大的攻击型威胁主体之一，Lazarus Group 在洗钱路径的结构设计与工具选择上均呈现出鲜明特征。鉴于其相关攻击事件金额规模巨大，且对整体攻击类犯罪的去向分布具有显著影响，本报告对其资金流向进行单独分析。

在波场链上，Lazarus Group 的资金去向高度集中于中心化交易所。数据显示，超过 60% 的相关资金最终流入交易所体系，其中 Binance、OKX、Huione Group 及 HTX 是主要接收方。除交易所外，仅有少量资金流向去中心化交易所或其他服务类型。

相比之下，以太坊上的 Lazarus 资金流向呈现出明显不同的结构特征。其洗钱路径以跨链桥为核心，其中 Thorchain 占据绝对主导地位，成为最主要的资金外流通道。与此同时，部分资金通过去中心化交易所（如 Paraswap、Uniswap、OKX Web3 等）进行资产转换，另有少量资金流向稳定币协议、质押服务及无 KYC 交易平台。整体来看，以太坊上的洗钱路径更强调跨链转移与多种工具的组合使用，其复杂度显著高于波场。

总体而言，Lazarus Group 在两条链上的洗钱策略呈现出清晰的功能分工：波场更侧重于交易所主导的资金集中与兑现，而以太坊则作为跨链转移与复杂操作的核心环境。这种差异化的链上使用方式，反映出其在洗钱阶段对不同区块链生态能力的有意识利用与精细化配置。

小结

综合来看，不同犯罪类型在洗钱阶段呈现出显著差异化的路径结构。这些差异不仅体现在所使用的链上工具和服务类型上，也反映在犯罪主体对不同区块链生态功能的选择与分工之中。

诈骗类犯罪整体以效率与可变现性为核心目标。在波场链上，其资金高度集中流向中心化交易所，洗钱路径直接且集中；而在以太坊上，诈骗资金则更多通过去中心化交易所、混币服务及多种链上工具的组合操作，形成相对分散的洗钱结构，体现出逐步转换与混淆的特征。

攻击类犯罪在洗钱阶段表现出更强的技术性与工具组合特征。在以太坊上，攻击所得资金广泛利用去中心化交易所、混币服务及跨链桥等基础设施，形成复杂的资金流转路径；而在波场上，攻击资金则高度集中于跨链桥，更倾向于将资金快速迁移至其他链上完成后续清洗。鉴于部分高金额攻击主体对整体分布具有显著影响，本报告对相关主体进行了单独分析。

恐怖主义融资在最终去向上高度集中，相关资金几乎全部流向中心化交易所，且主要发生在波场链上。但在实际追踪过程中，其洗钱路径往往更长，需要更深的追踪层级才能抵达已识别的服务实体，显示出其更倾向于通过延长路径而非增加工具复杂度来降低直接暴露风险。

人口贩运的洗钱路径整体相对直接，同样以波场作为主要活动链，资金主要流向中心化交易所。与其他犯罪类型相比，其去向结构中出现了一定比例的赌博类服务，反映出部分资金在进入主流金融出口之前，可能通过特定高流动性场景进行过渡。此外，对 Lazarus Group 的单独分析显示，不同区块链在其洗钱策略中承担了明确分工：波场主要用于交易所主导的资金集中与兑现，而以太坊则作为跨链转移与复杂操作的核心执行环境。

总体而言，加密货币犯罪在洗钱阶段并未呈现出统一模式，而是基于不同行为特征与现实约束，形成了多样化的链上路径结构。这些差异为识别风险集中位置、关键基础设施以及后续监管与执法的重点方向提供了重要参考。

风险集中结构与执法杠杆

在评估加密货币相关犯罪风险时，仅关注资金规模本身，往往不足以支撑有效的治理与执法决策。一个同样关键的问题在于：黑灰产资金在链上是如何分布的，是否集中于少数关键地址、实体或中介节点之中，而非分散在大量独立个体之间。

如果资金流动呈现出明确的集中结构，那么围绕这些集中位置开展干预，通常能够形成更具杠杆效应的执法与治理成果。

基于前文对不同犯罪类型资金流向的分析，本章节从风险集中结构的角度出发，重点回答以下两个问题：

• 哪些主体在 2025 年产生了最多的黑灰产资金；
• 哪些地址、实体或服务在洗钱阶段接收并汇聚了最多的黑灰产资金。

谁产生了最多黑灰产资金

从资金产生端来看，诈骗与攻击是 2025 年最主要的黑灰产资金来源类型，但二者所呈现出的风险集中结构存在显著差异。

诈骗类犯罪在资金产生端呈现出一种「分散与集中并存」的结构特征。一方面，大量诈骗活动由分散的个体或小规模团伙实施，整体上表现出形式多样、主体分散的特点；另一方面，也存在高度组织化、区域集中的大型诈骗网络，在资金产生端形成明显的集中效应。这类节点在诈骗生态中具有不成比例的影响力，其具体运作模式与区域分布将在后续章节中结合区域性黑灰产活动进一步展开。

相比之下，攻击类犯罪在资金产生端则呈现出高度不均衡的集中结构。尽管攻击事件数量众多，但整体资金规模主要由少数高金额攻击事件贡献，单一事件即可对全年攻击类犯罪的资金规模产生决定性影响。这表明，在攻击类犯罪中，具备较强技术能力与组织化程度的少数主体，构成了最核心的资金生成来源。

20总体来看，不同犯罪类型在资金产生端所呈现的风险集中结构并不一致：诈骗类犯罪更多体现为结构性集中，而攻击类犯罪则表现为事件和主体层面的高度集中。这意味着，在产生端层面，潜在的执法杠杆点因犯罪类型而异。

谁接收了最多黑灰产资金

与资金产生端相比，黑灰产资金在接收端呈现出更加一致且稳定的风险集中结构。尽管不同犯罪类型在洗钱路径、操作复杂度以及所使用的链上工具方面存在明显差异，但从最终结果来看，中心化交易所反复作为多类犯罪资金的主要汇聚节点出现。在诈骗、攻击、恐怖主义融资及人口贩运等多种犯罪类型中，交易所均构成最重要的资金接收端。尽管在洗钱过程中，部分资金会流经去中心化交易所、跨链桥或其他链上基础设施，但结合其路径特征可以观察到，这类服务更多承担中转与过渡功能，而非最终落点。相关资金在完成资产转换、路径拆分或跨链转移后，仍高度可能继续流入交易所体系。

这一现象表明，从风险集中结构的角度看，黑灰产资金并未因洗钱路径的复杂化而实现真正意义上的分散。相反，不同犯罪类型最终仍依赖于数量有限的关键中介节点完成资金汇聚与兑现，使接收端成为最稳定、也最具执法杠杆效应的风险集中位置。

小结

综合来看，加密货币相关黑灰产资金在风险集中结构上呈现出「产生端多样、接收端集中」的整体特征。不同犯罪类型在资金产生端的集中机制各不相同，而在接收端则普遍依赖少数关键中介节点完成资金汇聚与变现。

这一结构性特征意味着，执法与治理的有效切入点既可能存在于特定高影响力的资金生成主体或事件之中，也更加稳定地存在于关键的资金接收与中转节点。围绕这些集中位置开展针对性的监测、干预与协作，将有助于在有限资源下放大治理效果，为后续监管与执法策略的制定提供清晰方向。

稳定币：可执行的监管基础设施

随着加密货币生态的发展，稳定币逐渐从一种支付和结算工具，演变为连接链上活动与现实世界监管的重要接口。与其他加密资产不同，主流稳定币通常由中心化发行方管理，其发行、赎回及流通环节均受到现实世界法律和监管框架的约束。这使得稳定币具备了一种独特属性⸺监管与执法意志可以被直接执行到链上层面。

在实践中，稳定币发行方已能够通过地址冻结、资产扣押及合规审查等机制，对特定链上地址施加实际影响。这意味着，现实世界中的制裁、执法和合规要求，不再仅停留在交易所或传统金融体系，而是被直接映射为链上的可执行行为。

本章将围绕稳定币在加密货币犯罪治理中的角色展开分析，探讨稳定币如何逐步成为一种「可执行的监管基础设施」。

稳定币在黑灰产中的核心地位

为评估稳定币在加密货币相关黑灰产活动中的实际作用，本报告对比分析了不同犯罪类型在以太坊（Ethereum）和波场（Tron）两条链上的收入资产结构。具体而言，我们将各类犯罪活动的年度总收入按资产类型划分为原生代币、稳定币及其他代币，并在收入规模低于统计阈值、不具备分析意义的情况下，不展示对应的资产占比。

从整体结果来看，稳定币已在多类黑灰产活动中占据核心地位，但这一特征在不同区块链生态中呈现出明显差异。

在波场链上，几乎所有已分析的犯罪类型，其收入资产高度集中于稳定币，稳定币占比普遍接近或达到 100%。这表明，在波场生态中，黑灰产活动在资金产生阶段即已高度「稳定币化」，稳定币成为事实上的默认价值载体，而非单纯的结算工具或过渡资产。

相比之下，在以太坊链上，黑灰产收入的资产结构相对更为多样。尽管原生代币在部分犯罪类型（如攻击类活动）中仍占据一定比例，但稳定币在诈骗、攻击等主要犯罪类型中依然保持显著占比，构成最重要的价值承载形式之一。这反映出，即便在资产形态更丰富、金融工具更复杂的生态中，稳定币仍然是黑灰产活动中不可或缺的关键资产。

总体而言，无论是在稳定币使用高度集中的波场链，还是在资产结构更为复杂的以太坊链，稳定币均已成为黑灰产资金最重要的载体之一。这一事实为理解稳定币在加密货币犯罪治理中的角色，以及其作为「可执行监管基础设施」的潜在影响，提供了关键背景，也为后续对稳定币冻结与执法实践的分析奠定了基础。

稳定币冻结机制：从合约特权到监管执行

对于中心化稳定币而言，可管理性是其设计中的核心特征之一。为确保代币在合规、风控及执法协作场景下具备可控性，稳定币合约通常内置特权函数。这些特权函数不仅支撑了发行方对代币供给与流通的管理能力，也构成了监管和执法得以直接触达链上资产的关键接口。

以下以泰达公司发行的 USDT 为例，结合其在以太坊与波场网络上的合约实现，说明稳定币冻结机制的技术结构及其在现实中的运作方式。

合约层面的三项关键功能

USDT 智能合约中设置了三项仅可由特权地址调用的函数，用于实现对特定地址及资产的控制：

• addBlackList：将指定钱包地址标记为冻结状态。执行后，该地址将无法发送或接 收 USDT，代 币 仍 显 示 在 钱 包 中，但 完 全 失 去 流 动 性。该 操 作 会 在 链 上 触 发 AddedBlackList 事件。
• removeBlackList：解除冻结状态，恢复地址的正常转账功能，并触发 RemovedBlackList 事件。相较冻结操作，该函数的调用频率显著更低。

• destroyBlackFunds：永久销毁被冻结地址中持有的 USDT，从而减少代币的总供应量。被销毁的代币不会再回到市场，对应操作会触发 DestroyedBlackFunds 事件。这三项函数共同构成了稳定币从「限制流动」到「实质处置」的完整控制链条，使资产可以在不依赖中介托管的情况下，直接在合约层面被限制、冻结乃至移除。

冻结行为的触发路径

尽管 Tether 并未公开发布一套完整的冻结政策文件，但结合其官方声明、公开披露信息以及链上可观察行为，可以较为清晰地总结出 USDT 地址被冻结的三类主要触发途径。

第一类，也是最常见的途径，是执法部门的直接请求。全球范围内的执法机构⸺包括 FBI、美国司法部、特勤局、缉毒局、欧洲刑警组织，以及 Tether 合作的、遍布 59 个司法管辖区的 275 余家机构⸺在调查过程中识别出可疑钱包后，可向 Tether 提交经核实的冻结请求。实践中，Tether 并不总是要求正式的法院命令；只要请求来自官方机构域名，并附带明确的法律依据，即可被视为有效。在紧急情况下，Tether 甚至会基于非正式的电子邮件通知先行冻结相关地址，并在事后补充正式文件。公开信息显示，过去三年中，Tether 已处理超过 900 份执法冻结请求，其中仅美国执法机构就提出了约 460 份。

第二类途径源于对制裁规则的自动化遵循。自 2023 年 12 月起，Tether 开始主动冻结所有被列入 OFAC 特别指定国民（SDN）名单的地址，而无需等待执法部门的个案请求。该政策生效后，Tether 立即封禁了当时 SDN 名单中的全部 161 个相关地址。这一机制标志着稳定币制裁执行从「个案触发」向「规则自动触发」的转变。

第三类途径是基于区块链情报的主动冻结。通过与 T3 金融犯罪部门（由 TRON 与 TRM Labs 于 2024 年联合成立）的合作，Tether 可依据链上分析结果，对与黑客攻击、诈骗或恐怖主义融资相关的地址实施冻结，有时甚至早于正式执法请求提出之前。截至 2025 年 10 月，仅 T3 金融犯罪部门已在 23 个司法管辖区协助冻结超过 3 亿美元的犯罪资产。

冻结所涉及的主要犯罪类型

从被冻结地址所涉及的活动类型来看，其覆盖范围已相当广泛，主要包括以下几类：

• 恐怖主义融资相关活动。在部分案件中，Tether 在正式查封令公开之前，已主动将与哈马斯相关的 17 个地址列入黑名单。2025 年 6 月的执法行动中，波场链上共有 151 个与恐怖组织有关联的地址被冻结。

• 各类欺诈与骗局，包括「杀猪盘」、庞氏骗局及投资诈骗。2025 年 6 月，美国联邦检察官提起民事没收诉讼，涉及约 2.25 亿美元的 USDT，相关资金被指与加密货币投资诈骗活动有关。
• 黑客攻击资金的追踪与追回。例如，T3 金融犯罪部门冻结了 2025 年 3 月 Bybit 黑 客 攻 击 事 件 中 约 900 万 美 元 的 资 产；在 另 一 起 案 件 中，在 区 块 链 调 查 人 员 ZachXBT 的分析支持下，包括 Tether 在内的稳定币发行商冻结了约 500 万美元与 Lazarus Group 相关的资金。

• 洗钱及非法商品交易。根据 T3 金融犯罪部门的年度报告，非法商品与服务相关案件约占其调查类型的 39%，其余则分布在欺诈、黑客攻击、与朝鲜相关的行动及恐怖主义融资等领域。

需 要 特 别 强 调 的 是，冻 结 与 扣 押 在 法 律 与 技 术 层 面 并 不 等 同。冻 结（通 过 addBlackList 实现）本质上是一种临时性控制措施，其目的在于阻止资产继续流动，并不要求法院命令。而真正意义上的资产扣押，发生在 Tether 调用 destroyBlackFunds 函数，销毁被冻结的 USDT，并向政府控制的钱包重新铸造等值代币之时。这一「销毁并重新发行」的过程，通常需要通过民事资产没收程序获得法院授权，才构成执法部门对资金的正式接管。

泰达币冻结的规模化执行实践

从长期趋势来看，稳定币冻结行为在过去数年中呈现出显著上升态势。自 2017 年以来，与 USDT 相关的冻结地址数量持续增长，并在近两年出现明显加速。这一变化表明，稳定币对链上地址实施冻结的能力，已从早期的零星、个案式操作，逐步演变为一种常态化、规模化的执行手段。

仅在 2025 年全年，Tether 即将 4,163 个地址列入黑名单，累计冻结约 12.6 亿美元的 USDT。其中，超过一半的冻结资产（约 6.98 亿美元）已被销毁。按照 Tether 的执行机制，这部分被销毁的资金通常会被重新铸造，并返还给受害者或移交给执法机构，完成实际意义上的资产接管。

从链上分布来看，冻结活动在不同公链上的表现存在显著差异。波场链上的冻结地址数量约为以太坊的 5 倍以上，累计冻结金额也明显更高；而在以太坊上，单个被冻结地址的平均资产规模则更大。这一差异与两条链在黑灰产中的使用方式高度一致：波场更偏向高频、规模化的资金流转场景，而以太坊则更多承载单笔金额较大、结构更复杂的资金操作。

从时间维度观察，2025 年的冻结行为并非均匀发生，而呈现出明显的「波段式」特征。全年冻结活动在 7 月达到峰值，单月被列入黑名单的地址数量显著高于其他月份。这种集中爆发的节奏，反映出稳定币发行方的冻结行动，与执法和监管部门的外部行动之间存在较强的同步性。冻结不再是被动、事后响应的措施，而更接近于配合专项执法行动展开的系统性执行工具。

进一步分析被冻结资金的分布结构可以发现，冻结规模在资金层面呈现出高度集中特征。约 75% 的被冻结资产，集中在 275 个余额超过 100 万美元的地址之中。这一结构意味着，稳定币冻结在实际效果上并非平均作用于所有参与者，而是能够对关键节点和高价值账户形成显著约束，在资金层面产生明显的「杠杆效应」。

与此同时，这一分布也揭示了执法实践中的「双层策略」：一方面，通过冻结高余额地址，对与重大调查或核心犯罪活动相关的主体造成实质性资金损失；另一方面，通过大规模冻结余额较小的地址，持续清理跑腿钱包、中间人和洗钱节点，从而削弱非法网络赖以运转的基础设施。

需要强调的是，一旦地址被加入黑名单，其所持 USDT 将立即失去可转移性，相关资金无法继续在链上流动。这意味着，稳定币冻结并非事后追溯意义上的风险标记，而是一种直接改变资产状态的执行行为。从链上视角看，执法意图并不是停留在合规提示或风险警示层面，而是被明确地「写入」并落实到资产本身的可用性之中。

稳定币合规的制度性转折

将 2025 年的稳定币冻结数据置于更长时间尺度下观察，可以发现，这一年并非孤立的异常，而是多项结构性变化叠加后的集中体现。

稳定币合规在 2025 年出现的执行强度提升，既源于制度环境的变化，也反映了稳定币在黑灰产体系中角色的根本转变。

首先，监管框架层面的明确化，为稳定币合规执行提供了制度基础。2025 年 7 月，美国正式通过《GENIUS Act》，首次在联邦层面为稳定币建立系统性监管框架。该法案将稳定币发行方明确纳入金融监管体系之中，要求其履行反洗钱、反恐融资及制裁合规义务，并具备执行合法冻结与资产处置指令的能力。对于在美国市场具有实质影响力的境外发行方而言，这意味着其合规责任从「合作层面」上升为「制度要求」。尽管法案设定了过渡期，但其信号已十分明确：稳定币发行方需要具备持续、可规模化的合规执行能力。

其次，稳定币在非法资金流动中的结构性地位，使其成为治理体系中无法回避的关键节点。多项研究表明，在 2025 年，稳定币已占据非法加密交易总量的绝对多数。稳定币并非因其属性而天然更易被滥用，而是由于其在合法与非法活动中均被广泛采用，成为跨链、跨平台资金流动的通用载体。这一现实意味着，任何涉及加密货币的合规体系，几乎不可避免地会接触到与非法活动存在关联的稳定币地址，合规执行不再是「是否发生」的问题，而是「何时发生」的问题。

再次，从执行结果来看，2025 年的冻结行为已显现出明显的长期趋势特征。链上数据显示，USDT 的冻结规模在过去数年中持续上升，2025 年达到阶段性高点。仅在这一年内，被冻结的 USDT 金额即超过十亿美元，而放眼更长周期，自 2023 年以来，累计被冻结的 USDT 已达到数十亿美元规模。冻结行为不再是零散、偶发的个案，而是呈现出逐年递增、节奏清晰的趋势。

综合来看，2025 年之所以构成稳定币合规的转折点，并不在于冻结数量或金额本身，而在于三项变化的同时发生：监管规则的明确化、稳定币在黑灰产中的核心化，以及合规执行能力的规模化落地。这使得稳定币从「可被监管的对象」，转变为「可被直接调用的执行基础设施」。

在这一背景下，稳定币冻结不再只是合规体系中的辅助措施，而逐步成为连接监管意图与链上资产状态的关键接口。这一转变不仅重塑了黑灰产网络对风险的预期，也为后续围绕稳定币展开的跨机构协作、链上治理与持续监管，奠定了现实基础。

东南亚组织化黑产的链上演进：人口、 平台与执法博弈

在全球加密货币相关的黑灰产活动中，犯罪行为的空间分布往往呈现出明显的区域集聚特征。东南亚正是这样一个在长期观察中反复出现的区域：一方面，该地区的黑灰产活动并非主要由某一单一犯罪类型所驱动，而是逐步发展出一个由诈骗活动、洗钱网络、稳定币使用以及线下人口控制与劳务组织机制相互交织而成的复杂生态系统；另一方面，这一生态在较长时间内保持了相对稳定的运作结构，使其成为分析加密货币犯罪整体形态的重要切入口。随着诈骗活动在该地区不断向园区化、规模化方向演进，线上资金活动与线下组织结构之间的耦合关系也愈发紧密，为相关网络的持续运作与跨区域复制提供了现实基础。

从链上数据的长期观察来看，与东南亚相关的资金网络在多类犯罪活动中反复出现，并在交易结构、洗钱路径以及对特定基础设施的依赖程度上呈现出较强的一致性。2025 年为进一步分析这一现象提供了一个尤为清晰的时间背景：与此前相比，全球范围内针对东南亚诈骗及相关洗钱活动的执法与监管行动明显加密，多个司法辖区在制裁、刑事执法、稳定币冻结以及与加密服务提供方协作等方面持续施压。在这一高压环境下，本章将东南亚黑灰产生态作为集中分析对象，结合线下组织形态与链上数据，考察诈骗园区、劳务担保平台等中介机制在支撑人口与资金流转中的作用，并分析相关网络在执法环境变化下所呈现出的链上行为调整。通过这一具有代表性的场景，本章旨在揭示在更广泛范围内同样具有参考意义的趋势与治理挑战。

诈骗园区与劳务担保：人口供给链的形成

工业化运作的诈骗园区

东南亚的诈骗园区已不再是零散、临时的犯罪窝点，而是呈现出明显的工业化运作特征。在缅甸、柬埔寨、老挝等地，大量诈骗园区以集中作业的形式存在，具备清晰的组织结构、稳定的人员编制，以及封闭的生活与工作空间。园区内部通常设有宿舍、办公区和后勤设施，并由武装力量控制人员出入，形成高度封闭的运行环境。

从地理分布上看，这些园区并非随机散落，而是沿边境地区呈现出明显的带状集聚特征，尤其集中在执法力量薄弱、跨境通道复杂的区域。这类地区通常监管能力有限、政局不稳定，为犯罪集团长期驻扎和规模化运作提供了现实条件。

园区内部的「业务」同样高度标准化。诈骗活动往往以多条「产品线」并行展开，包括虚假投资、情感诈骗、冒充公检法以及网络赌博等，目标群体主要位于境外。相关流程被拆解为可复制的操作步骤，话术和脚本持续迭代，甚至连寻找潜在受害者的行为也被量化为具体的绩效指标。

人力供给机制：诱骗、控制与转卖

如果将诈骗园区视为一座「工厂」，其持续运作的前提在于稳定且可替换的人力供给。从已有案例和调查材料来看，园区的人力来源通常经历三个阶段：招募或诱骗、控制与强迫劳动，以及内部流转或转卖。

招募阶段往往以高薪职位、海外就业机会或线上娱乐公司等名义展开，目标人群主要集中在信息获取能力有限、经济压力较大的群体。一旦出境，原有承诺迅速失效，护照被收缴，人身自由受到限制，原本的劳动关系随之转变为事实上的强迫劳动。

在此基础上，一种更为系统化的现象逐渐显现：被控制人员在不同园区之间被反复转卖和流转。当个体无法完成既定指标，或被视为「效率不足」时，便可能被再次出售给其他园区。这种内部流通机制意味着，诈骗园区已不再只是犯罪活动的发生场所，而是逐步演变为一个具备劳务交易属性的封闭市场。

劳务担保平台：人口交易的中介化与平台化

在这一背景下，本报告识别出一种正在加速人口贩运规模化的新型中介形态⸺劳务担保平台。与传统人口拐卖模式相比，这类平台通过规则化和平台化的运作方式，将原本高度依赖暴力威慑和私下协商的交易，转化为一套相对标准化的中介服务。劳务担保平台同时连接两端需求：一端是持续需要劳动力的诈骗园区，另一端是负责诱骗、运输与交付人员的贩运者。平台以「担保人」的角色介入，通过「押金 + 尾款」的结算机制降低交易违约风险，并从中抽取服务费用。具体而言，园区需先支付押金以确认需求，在人员完成交付并经确认后，平台再向贩运者结清尾款。

这一机制在形式上高度类似电商平台的交易流程，使原本非法且高风险的人口贩运被包装成一套看似「有规则、有信用」的交易体系。交易双方在平台规则的约束下形成稳定的协作关系，从而显著降低了人口贩运过程中的交易摩擦与不确定性。

沟通与结算基础设施：Telegram 与稳定币

在具体运作层面，劳务担保平台高度依赖两类基础设施：即时通讯工具与稳定币支付网络。

沟通主要发生在 Telegram 平台。一方面，小型私密群组用于讨论具体交易细节，包括交付地点、价格和确认流程；另一方面，大型公开群组则承担宣传和信用展示功能。平台和参与者通过展示聊天记录、交易确认信息以及链上转账记录，向潜在交易对手传递「成交快、可信度高」的信号，从而吸引更多供需双方进入体系。

在资金结算上，平台普遍选择波场网络上的 USDT 作为通用结算工具。平台通常控制一个或多个收款地址，园区将押金和尾款支付至该地址，平台再将资金分发给贩运者，完成担保闭环。低成本、高效率、跨境便利的稳定币转账机制，使这一跨国犯罪网络的结算流程得以高度自动化和规模化。

劳务担保平台的链上供方行为

在前文对诈骗园区及劳务担保平台运作机制的分析基础上，本节进一步将研究视角聚焦于链上数据。我们选取一家长期从事劳务担保业务、且在相关社群中保持较高活跃度的平台作为研究对象，结合其链上交易记录与群组信息，对参与人口贩运的供方行为进行画像分析，并系统统计其交易频次、金额分布以及资金流向特征。

供方规模与交易频次：重复参与成为常态

在所分析的平台中，我们共识别出 652 个与人口贩运相关的供方地址，累计交易金额约 1,458 万美元。从交易参与情况来看，重复参与是该平台供方行为的常态。

仅有 216 个地址（33.1%） 只参与过一次交易，这意味着超过三分之二的供方地址至少参与过两次及以上的贩运交易。进一步观察发现，约三分之一的供方地址交易次数达到四次及以上，表明该平台并非仅吸引一次性参与者，而是逐步形成了一批持续参与、反复作案的供方群体。在极端情况下，少数地址的交易次数甚至超过二十次，呈现出高度职业化的人口贩运行为特征。

这一分布特征表明，劳务担保平台并非简单撮合零散个体行为，而是在事实上培育并维系了一批稳定、可重复使用的人口贩运供方，从而显著降低了该类犯罪的组织成本与持续运作门槛。

交易金额分布与稳定的定价区间

在交易金额层面，我们统计了每个供方地址通过平台获得的 USDT 总收益，发现其分布呈现出明显的集中区间特征。

供方地址的总收益中位数约为 11,023 美元，平均值约为 22,377 美元。约 54.2% 的地 址 总 收 益 集 中 在 5,000‒25,000 美 元 区 间 内，其 中 5,000‒10,000 美 元 与 10,000‒25,000 美元两个区间各自占据接近四分之一的比例。结合相关群组信息可以观察到，这一区间与公开讨论中单个人员的交易价格高度一致。

值得注意的是，这一分布并非由少数极端高额交易所驱动。相反，其相对稳定的形态表明，在供需关系、交付风险与成本因素的共同作用下，人口贩运交易正在形成一个相对固定的价格区间。这种价格结构的存在，反映出劳务担保平台在一定程度上降低了交易不确定性，并推动相关黑市交易向常态化方向发展。

资金出口与兑现路径：供方收益的最终去向

在获得稳定币收益后，供方如何将其转化为现实世界中的可支配资金，是理解该类犯罪为何能够持续运作的关键问题。

我们对约 120 个供方地址的下游资金流进行了抽样追踪，这些地址通过平台获得的收益合计约 62.46 万美元。分析结果显示，至少 54.3% 的非法收益最终流入中心化加密货币交易所完成兑现，涉及多个主流交易平台。其中，部分交易所承接了较为集中的兑现资金，反映出其在该类资金链条中的关键位置。

从具体行为模式来看，可以观察到两类较为典型的洗钱路径。一类供方缺乏洗钱经验，资金在较少的跳数内即流入交易所，甚至直接将交易所存币地址作为收款地址；另一类供方则尝试通过拆分金额、延长路径、并将资金分散流向多个交易所等方式，对资金来源进行混淆。

将上述抽样结果外推至整体交易规模，可以估算约有 790 万美元以上的非法收益最终通过交易所完成兑现。这一结果进一步表明，尽管人口贩运交易发生在高度隐蔽的黑市环境中，其资金的最终出口仍然高度依赖于数量有限的中心化金融基础设施。

执法压力下的链上交易反应与适应

为分析劳务担保业务在执法压力下的链上行为变化，本报告对领航担保平台在 2025年全年的交易量与交易额进行了统计，并绘制其随时间变化的趋势图。

从分析角度看，该趋势图并不直接反映诈骗园区或线下组织中的具体事件，而是刻画了外部治理与执法压力如何通过不同渠道传导至黑市交易活动，并在链上表现为可观测的波动。整体而言，领航担保平台在 2025 年的链上活动呈现出较为清晰的阶段性变化，可大致划分为三个阶段：4‒5 月的明显下滑、6‒7 月的阶段性回升，以及 8 月后的持续走低。

多线施压下的短期收缩

图中最为显著的首轮下滑出现在 4‒5 月。该阶段的变化并非由单一事件触发，而是园区端治理行动与金融及平台层面的监管措施在时间上的叠加效应，共同抬升了交易摩擦水平，导致劳务担保相关的黑市活动在短期内明显收缩。

在园区端，2025 年初起，泰缅边境针对诈骗园区的治理力度持续加强，包括对部分边境区域实施电力、燃料及网络供应的限制，以干扰诈骗中心的正常运作。路透社于 2025 年 3 月的报道指出，在多国联合行动下，已有部分受害者被解救并遣返。对劳务担保交易而言，此类治理行动同时作用于供需两端：一方面显著提高了人员「送达园区」的组织成本与不确定性，另一方面也削弱了园区在短期内公开招工和撮合交易的活跃度。

在金融与平台层面，5 月 1 日，美国财政部金融犯罪执法网络（FinCEN）将柬埔寨 Huione Group 认定为「主要洗钱关注对象」，并提出限制其进入美国金融体系的拟议规则，明确指向其与网络诈骗及洗钱生态的深度关联。随后，Telegram 于 5 月中旬开始封禁与 Huione Guarantee、Xinbi Guarantee 等担保生态相关的账号与频道。尽管领航担保并非上述行动的直接针对对象，但此类「生态级」的监管与平台治理措施显著提升了整体不确定性，促使黑市参与者推迟交易决策、减少在公域渠道展示成交行为，最终在链上体现为交易量与交易额在该阶段同步下滑。

冲击后的适应与反弹

进入 6‒7 月，平台的交易量与交易额出现阶段性回升。这一变化与我们在跨境诈骗及劳务担保生态中的长期观察高度一致：短期高压打击往往并不会直接导致相关活动消失，而更常见的结果是迁移、重组与再组织。

来自地区媒体与研究机构的多项记录表明，在妙瓦底（Myawaddy）等重点区域受到集中关注和打击后，部分诈骗团伙会将运作重心转移至邻近园区或其他据点继续活动。《伊洛瓦底》（The Irrawaddy）的报道指出，一些团伙在 KK Park 等区域进入执法与舆论聚焦后，选择转向周边地区维持经营。联合国毒品和犯罪问题办公室（UNODC）在其 2025 年关于湄公河区域诈骗产业的报告中亦指出，当执法压力上升时，有组织犯罪往往采取「对冲与多元化」策略进行应对，包括调整运作模式、分散风险敞口，以及重建渠道和金融路径。

映射到劳务担保业务的具体场景中，这种适应性表现为一系列可观察的替代行为：原有园区被拆除后，新的园区在其他地区出现；公开的担保公群被封禁后，新的频道迅速建立；当既有区块链地址受到持续关注时，资金流动则迁移至新的地址体系或路径结构。

在这一背景下，6‒7 月交易量与交易额的回升，可以被理解为黑市生态完成了从初期冲击阶段向适应阶段的过渡，其运作并未中断，而是在新的风险约束条件下重新达到相对稳定的活动水平。

长期挤压下的结构性回落

与前两个阶段不同，8 月至年底呈现的并非一次剧烈的断崖式下跌，而是一条更为平缓、持续的下行通道。这一变化更符合治理与监管压力长期增强所带来的结构性调整特征，而非短期冲击下的波动反应。

在监管层面，美国相关行动并未止步于 5 月的定性判断。FinCEN 于 10 月发布最终规则，进一步切断 Huione Group 与美国金融体系的联系，使针对诈骗及洗钱生态的金融约束由阶段性措施转向持续性制度安排。这类政策信号在时间上的累积，强化了黑市参与者对长期风险上升的预期，对交易活跃度形成持续挤压。

与此同时，平台侧的治理措施也逐步走深。与担保生态相关的公开频道和群组被持续清理，使依赖公域渠道进行获客、撮合交易和「晒单式背书」的模式显著受限。在这一环境下，交易活动更可能迁移至私域小范围圈子，或分散至更多替代性的担保服务，并通过更加碎片化的地址体系完成结算，从而降低单一平台或渠道暴露带来的风险。

需要注意的是，平台层面的封禁并不必然等同于业务活动的即时终止。以领航担保为例，其公开频道被封禁后，相关区块链地址在 9 月至 12 月期间仍出现零星收款。这种「可见渠道被清理，但资金路径未同步冻结」的错位现象，表明部分交易活动正在从高可见度的公开空间转入更隐蔽的私域环境，链上活动由集中转向低频、分散的状态。

小结

从 2025 年全年交易量与交易额的变化趋势来看，劳务担保平台的链上活动并未呈现出「被打击即消失」的线性反应，而是清晰地体现出在外部执法与监管压力下的阶段性调整与适应过程。短期内，针对园区端和金融端的多线施压能够显著抬高交易摩擦，导致黑市活动收缩；但随着渠道重建和参与者行为调整，交易活跃度往往会出现回弹，反映出该类生态较强的适应能力。

在更长时间尺度上，持续、高频的治理行动则逐步改变了黑市交易的组织形态。公开渠道和集中平台的重要性下降，交易活动趋向私域化、碎片化，链上表现为更低频、更分散的资金流动。这一变化并不意味着需求消失，而是意味着交易方式和可见度的重构。

总体而言，领航担保平台在 2025 年的链上行为表明，执法与监管压力确实能够对黑灰产活动产生实质影响，但其效果更多体现在改变运作结构和提高交易成本，而非立即切断全部活动。这一特征为理解东南亚黑灰产生态在高压环境下的演化路径，以及识别更具长期效果的治理杠杆，提供了重要的实证背景。

监管启示：从打击个体行为到约束关键基础设施

综合本章对东南亚黑灰产生态的分析，一个反直觉但反复被验证的结论逐渐清晰：推动黑市规模持续扩张的，往往并非更隐蔽的犯罪手段，而是更高效、低摩擦的基础设施。

在东南亚，诈骗园区通过高度组织化的运作方式，将诈骗活动转变为可复制、可扩张的「工厂化」流程；劳务担保平台进一步将人口贩运包装为规则清晰、可结算的交易过程，使原本依赖暴力和私下协商的黑市行为被纳入平台化运作之中。与此同时，Telegram 显著降低了市场沟通与获客成本，而基于波场网络的 USDT 结算体系，则使跨境支付、分润与资金调度几乎可以低摩擦完成。

在这一体系下，「买人」和「卖人」不再依赖彼此之间的信任，而是依赖平台规则、链上转账记录以及可以被反复传播和验证的交易凭证。当关键流程被标准化、模块化后，相关网络便具备了高度的可复制性与恢复能力⸺可以被迁移、被重建、被更名、被重新上线。这也解释了为何在多轮执法行动之后，链上交易活动往往呈现出「短期收缩、快速恢复」的典型特征。

这一观察为监管与执法提供了重要启示。针对东南亚黑灰产生态的治理，如果仅聚焦于单一园区、个别平台或具体案件，往往只能产生阶段性、局部性的效果。相比之下，更具长期杠杆效应的切入点，存在于支撑该体系高效运转的关键基础设施之中。

具体而言，治理的关键不在于「是否存在犯罪」，而在于：黑灰资金是否持续集中流向少数关键地址或实体，犯罪活动是否依赖可复制的群组网络进行组织与协同，以及非法收益是否能够顺利通过中心化交易所完成最终兑现。只有在「供给—交付—结算—兑现」这一完整链条上形成协同约束，才能实质性削弱劳务担保平台及其背后黑灰产网络的运作效率，使其规模化优势不再成立。

毒品黑产的金融化转型：从现金走私到 链上洗钱网络

在加密货币相关犯罪的研究中，毒品贩卖通常被视为一种「传统型犯罪」。其链上活动往往被简化为非法交易的一个分支，分析重点更多集中在交易对象和交易行为本身，而对其背后的资金运作与洗钱体系关注相对有限。

然而，随着加密货币逐步嵌入跨境资金流动和地下金融网络，这一认知正在发生变化。毒品犯罪并未止步于将加密资产作为简单的结算工具，而是在资金层面不断吸收和重构链上基础设施，将其纳入更系统化的洗钱与资金调度流程之中。特别是稳定币的广泛使用，使毒品相关资金在跨境转移、价值存储和变现执行方面，获得了以往现金体系难以实现的效率与灵活性。

通过本章所分析的两个案例可以看到，毒品贩卖相关资金正经历一场明显的「金融化」转型：从依赖现金走私和线下地下渠道，逐步演化为以链上操作为核心的洗钱网络。加密货币在其中不再只是被动的支付工具，而是成为连接不同环节、不同地域和不同参与者的关键金融基础设施。这一转变不仅改变了毒品犯罪的资金结构，也对监管和执法提出了新的挑战。

案例一：暴力贩毒集团的洗钱网络

Ryan James Wedding 案为理解毒品犯罪如何系统性地将加密货币纳入洗钱与资金调度体系，提供了一个高度清晰且罕见完整的样本。该案涉及一个横跨加拿大、美国、墨西哥及拉丁美洲的可卡因贩运网络，其组织规模、分工复杂度以及对加密资产的依赖程度，均体现出成熟有组织犯罪的典型特征。与许多仅将加密货币作为辅助结算工具的案件不同，在本案中，加密资产已被深度嵌入犯罪集团的核心资金运作结构之中。

根据起诉书披露，Wedding 犯罪集团对贩毒所得的清洗主要涉及美元、加元及加密货币三种形式。其中，在加密资产层面，犯罪集团将大额毒品收益持续拆分为多笔小额转账，通过多个 USDT 钱包进行快速转移，并最终将资金汇集至由被告 RyanJames Wedding 实际控制的核心钱包。司法文件明确指出，Sokolovski、Hossain 与 Canastillo-Madrid 等人承担了洗钱流程中的关键执行角色，与其他已知或未知的协助者一同，被认定为 「Wedding 犯罪组织」 成员。

* 起诉书中关于贩毒收益通过加密货币进行清洗的描述

* 起诉书中对犯罪集团部分洗钱过程的刻画

结合起诉书披露的信息与对应的链上分析结果，可以观察到，该犯罪集团围绕毒品收益构建了一套层级清晰、分工明确的洗钱网络结构。位于上游的是一组与毒品交易直接相关的地址集群，这些地址承担初始资金接收与快速分流职能，在短时间内完成多笔拆分与转移，以降低单一地址暴露风险。这一阶段强调速度与频率，为后续更系统化的清洗流程创造条件。

Wedding 组织三层分工： Sokolovski 套现、Hossain 转移分发、Wedding 汇控

进入中游阶段后，洗钱活动呈现出更为明显的组织化特征。司法文件与链上路径均显示，至少存在两条并行但分工清晰的资金路径。一条路径以 Sokolovski 为核心，其控制的地址承担资金汇集与对外变现职能，大量资金最终流入中心化交易所（如 KuCoin），完成向法币或高流动性资产的转换。

另一条路径则通过 Hossain 等节点，将资金继续在链上进行多轮转移，并最终汇集至由 Ryan James Wedding 实际控制的钱包地址。

这种「双路径」结构在功能上形成互补：一端侧重于快速兑现与资金落地，另一端侧重于资金控制、调度及再分配，从而在效率与控制权之间取得平衡。起诉书亦明确指出，洗钱活动由专门角色负责执行，其组织结构与毒品交易本身在职能上相对分离，反映出洗钱已成为一种高度专业化、可外包的犯罪职能。

稳定币在该体系中发挥了关键作用。起诉材料与链上数据均显示，USDT 被广泛用于不同阶段的资金转移与结算。相较价格波动较大的加密资产，USDT 为跨阶段、跨角色的资金流转提供了稳定的计价单位，降低了长周期洗钱过程中的价值不确定性。同时，其在主流中心化交易所中的高流动性，使其成为连接链上洗钱操作与线下资产变现的关键桥梁。这种选择并非主要出于匿名性考量，而是基于稳定性、可用性与执行效率的综合权衡。

总体来看，Wedding 案所呈现的是一种高度组织化的链上洗钱结构：清晰的角色分工、可复制的操作流程，以及围绕稳定币构建的资金中枢。该案例表明，在当代毒品犯罪中，加密资产已不再只是规避工具，而是逐步演变为支撑跨国犯罪网络持续运作的重要金融基础设施。

案例二：作为地下金融服务的链上洗钱体系

与 Wedding 案中「犯罪集团内部消化洗钱需求」的模式不同，本案所揭示的，是一个相对独立运作的专业化洗钱网络。该网络并不隶属于某一个具体的毒品走私组织，而是以「洗钱服务提供者」的角色存在，长期为包括毒品贩运在内的多类非法活动提供资金清洗、跨境转移与结算服务。

在这一结构中，加密资产并非犯罪收益的终点，而是被嵌入到一套跨阶段、跨地域的地下金融流程之中，承担价值中介和调度工具的功能。调查材料显示，该网络具备稳定的客户来源、明确的角色分工以及可复用的操作流程，呈现出明显的「服务化」特征。

洗钱流程的组织方式：从分散接收到集中控制

根据宣誓书披露的信息，该洗钱网络的整体结构呈现出明显的「漏斗型」特征。在上游阶段，资金首先由大量中间地址接收。这些地址对应不同地区、不同来源的非法交易收益，其中包括毒品贩运产生的资金。相关地址承担的是初步接收与分流职能，资金在进入核心节点之前，通常会经历多轮拆分、重组与短周期转移，以拉长路径、降低单一地址的风险暴露。

与 Wedding 案中多条路径并行推进的结构不同，本案的洗钱流程更强调向单一中心的持续汇集。宣誓书中多次提及的 Macro Wallet，正是这一网络的核心控制节点。该钱包由核心洗钱人直接掌控，承担资金最终汇集、调度以及对外结算的职能，是整个体系中风险与权力高度集中的位置。

中心钱包的功能定位

从调查人员对交易过程的描述可以看出，中心钱包在该洗钱网络中并非普通收款地址，而是一个具有明确职能分工的资金中枢，其主要作用包括：

• 汇集来自多个中间地址、已完成初步分层处理的资金；
• 按照客户需求和时间窗口，对资金进行批量调度；
• 通过 OTC 渠道、流动性服务商或其他金融通道，将资金转化为法币或等价资产。

这种设计将路径复杂性前置至上游，而将控制权集中于极少数关键节点，使整体操作在保持隐蔽性的同时，具备更高的执行效率。宣誓书中对多次「受控交易」的刻画显示，该网络能够在短时间内完成大额资金的接收、拆分、确认与交付，体现出高度成熟的操作能力。

稳定币的角色：跨境与制裁环境下的标准化结算层

与 Wedding 案类似，USDT 在本案中被广泛用于各个洗钱阶段，但其功能并不仅限于稳定计价。宣誓书记录了被告在多次交流中对使用 USDT 原因的直接解释：选择稳定币，核心考量在于其跨境可用性、结算效率以及在受限金融环境下的可执行性，而非匿名性本身。被告明确提到，USDT 使其能够在不同国家和地区之间「更顺畅地移动价值」，并避免频繁暴露于传统银行体系的审查之下。

在该洗钱网络的运作环境中，上游资金往往涉及多个司法辖区，并受到外汇管制、制裁措施或银行合规审查的限制。USDT 为此类资金提供了一种相对中性的中介形态：无需依赖本地银行体系即可完成跨境转移，同时避免价格波动对大额、长路径操作的影响。

更重要的是，稳定币在这里充当了一种标准化结算层。不同来源、不同犯罪类型的非法资金，可以在统一计价单位下被整合、拆分与重新分配，再根据需求导向不同的下游路径。这种标准化显著降低了跨境洗钱在操作层面的复杂度，使洗钱网络能够同时服务多个「客户」，而不必为每一种非法交易单独设计结算机制。

* 宣誓书中被告谈及 USDT 在洗钱网络中的便利性

毒品黑产的金融化转型

通过对上述两个案例的分析可以看到，毒品相关犯罪在资金层面的运作方式，正在经历一场系统性的转变。与过去主要依赖现金走私、地下钱庄或零散账户周转的传统模式不同，毒品黑产正逐步将其资金流动嵌入到以加密资产为核心的链上洗钱网络之中，形成更具结构性和持续性的资金运作体系。

这种转型并非沿着单一路径展开。在部分情形下，洗钱职能被内嵌于犯罪集团内部，通过高度组织化的分工结构完成资金的分层、调度与兑现；在另一些情形下，洗钱则被外包给相对独立运作的中介网络，作为一种专业化的地下金融服务，长期为贩毒及其他非法交易提供支持。尽管两种模式在组织形态上存在差异，但其底层金融逻辑高度一致：通过标准化流程与可复制结构，提高非法资金流转的效率与韧性。稳定币在这一过程中发挥了关键作用。其稳定的计价属性、跨境可用性以及在受限金融环境下的执行效率，使其成为连接链下非法收益、链上洗钱操作与法币体系的重要媒介。借助稳定币，毒品相关资金获得了更强的流动性与适应性，也更容易在不同司法辖区之间完成迁移、整合与重组。

从链上行为特征来看，这种金融化转型带来了更长的洗钱路径、更深的地址层级，以及对少数关键中介节点的高度依赖。洗钱操作呈现出明显的流程化和模板化特征，使非法资金不再依赖单次交易或个别渠道，而是被纳入一套可以持续运作、反复调用的地下金融体系之中。

总体而言，毒品黑产的风险已不再局限于毒品交易本身，而越来越多地体现在其背后的洗钱基础设施上。从现金走私到链上洗钱网络，这一转型正在重塑毒品犯罪的资金面貌，也对执法与监管提出了新的要求⸺治理重点正在从追逐单笔交易，转向对关键中介、核心节点以及资金兑现通道的系统性识别与干预。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。