Ứng dụng của Stablecoin trong rửa tiền và tài trợ khủng bố: Phân tích danh sách đen USDT

Giới thiệu

Trong những năm gần đây, phạm vi sử dụng Stablecoin ngày càng mở rộng, các cơ quan quản lý cũng ngày càng chú trọng đến việc thiết lập cơ chế đóng băng các khoản tiền bất hợp pháp. Các Stablecoin chính như USDT và USDC đã có khả năng kỹ thuật này và đã chứng minh vai trò của chúng trong việc chống rửa tiền và các hoạt động tài chính bất hợp pháp qua nhiều trường hợp.

Nghiên cứu cho thấy, stablecoin không chỉ được sử dụng cho việc rửa tiền, mà còn thường xuyên xuất hiện trong quá trình tài trợ cho các tổ chức khủng bố. Bài viết này sẽ phân tích từ hai khía cạnh:

1. Hệ thống xem xét hành vi đóng băng địa chỉ vào danh sách đen USDT;
2. Thảo luận về mối liên hệ giữa vốn bị đóng băng và tài trợ khủng bố.

1. Phân tích địa chỉ danh sách đen USDT

Thông qua việc giám sát các sự kiện trên chuỗi, chúng tôi đã xác định và theo dõi các địa chỉ trong danh sách đen của Tether. Phương pháp phân tích đã được xác thực qua mã nguồn hợp đồng thông minh của Tether. Logic cốt lõi như sau:

• Nhận diện sự kiện: Hợp đồng Tether duy trì trạng thái danh sách đen thông qua hai sự kiện:

  • Thêm địa chỉ vào danh sách đen
  • Xóa địa chỉ trong danh sách đen

• Xây dựng bộ dữ liệu: Ghi lại thông tin sau cho mỗi địa chỉ bị đen.

  • Địa chỉ bản thân
  • Thời gian bị đưa vào danh sách đen
  • Nếu địa chỉ bị gỡ khỏi danh sách đen, thì ghi lại thời gian gỡ bỏ

1.1 Phát hiện cốt lõi

Dựa trên dữ liệu Tether trên chuỗi Ethereum và Tron, chúng tôi phát hiện:

Kể từ ngày 1 tháng 1 năm 2016, có tổng cộng 5,188 địa chỉ đã bị đưa vào danh sách đen, liên quan đến việc đóng băng tài sản vượt quá 2,9 tỷ USD.

Chỉ trong khoảng thời gian từ ngày 13 đến 30 tháng 6 năm 2025, đã có 151 địa chỉ bị đưa vào danh sách đen, trong đó 90,07% đến từ chuỗi Tron, tổng số tiền bị đóng băng lên tới 86,34 triệu USD. Phân bố thời gian của các sự kiện trong danh sách đen: ngày 15, 20 và 25 tháng 6 là những đỉnh điểm bị đưa vào danh sách đen, trong đó vào ngày 20 tháng 6, số địa chỉ bị đưa vào danh sách đen trong một ngày lên tới 63.

• Phân bố số tiền bị đóng băng: Mười địa chỉ có số tiền bị đóng băng nhiều nhất tổng cộng 5,345 triệu USD, chiếm 61.91% tổng số tiền bị đóng băng. Số tiền bị đóng băng trung bình là 57.18 triệu USD, nhưng số trung vị chỉ là 40,000 USD, cho thấy một số ít địa chỉ lớn đã kéo cao tổng số trung bình.

• Phân bố vốn theo vòng đời: Những địa chỉ này đã nhận tổng cộng 808 triệu USD, trong đó 721 triệu USD đã được chuyển đi trước khi bị đưa vào danh sách đen, chỉ có 86,34 triệu USD thực sự bị đóng băng. Điều này cho thấy phần lớn vốn đã được chuyển đi thành công trước khi cơ quan quản lý can thiệp. Ngoài ra, có 17% địa chỉ hoàn toàn không có hồ sơ xuất tiền, có thể được sử dụng như kho tạm thời hoặc điểm tập trung vốn.

• Địa chỉ mới tạo dễ bị vào danh sách đen hơn: 41% địa chỉ trong danh sách đen có thời gian tạo chưa đủ 30 ngày, 27% tồn tại từ 91-365 ngày, chỉ có 3% sử dụng hơn 2 năm, cho thấy địa chỉ mới dễ bị sử dụng cho các hoạt động bất hợp pháp.

• Hầu hết các địa chỉ thực hiện "trốn thoát trước khi bị đóng băng": khoảng 54% các địa chỉ đã chuyển ra hơn 90% số tiền của họ trước khi bị đưa vào danh sách đen, và 10% còn lại có số dư bằng 0 khi bị đóng băng, cho thấy hành động thực thi pháp luật chủ yếu chỉ có thể đóng băng giá trị còn lại của số tiền.

• Địa chỉ mới có hiệu quả rửa tiền cao hơn: Qua phân tích, phát hiện rằng địa chỉ mới thể hiện xuất sắc về số lượng, tần suất bị đưa vào danh sách đen và hiệu quả chuyển tiền, tỷ lệ thành công trong việc rửa tiền cao nhất.

1.2 Theo dõi dòng tiền

Thông qua công cụ theo dõi trên chuỗi, chúng tôi đã phân tích thêm dòng tiền của 151 địa chỉ USDT bị cấm từ ngày 13 đến 30 tháng 6, từ đó xác định các nguồn và hướng tiền chính.

1.2.1 Phân tích nguồn vốn

• Ô nhiễm nội bộ (91 địa chỉ): Các quỹ của những địa chỉ này đến từ các địa chỉ khác đã bị cấm, cho thấy sự tồn tại của một mạng lưới rửa tiền có sự liên kết cao.

• Nhãn lừa đảo (37 địa chỉ): Nhiều địa chỉ thượng nguồn được gán nhãn "Fake Phishing", có thể là nhãn lừa đảo để che giấu nguồn gốc bất hợp pháp.

• Ví nóng của sàn giao dịch (34 địa chỉ): Nguồn vốn bao gồm ví nóng của nhiều sàn giao dịch nổi tiếng, có thể liên quan đến tài khoản bị đánh cắp hoặc "tài khoản mules".

• Nhà phân phối chính duy nhất (35 địa chỉ): Địa chỉ bị đưa vào danh sách đen giống nhau nhiều lần như là upstream, có thể hoạt động như một aggregator hoặc mixer để phân phối tiền.

• Cổng kết nối chuỗi chéo (2 địa chỉ): Phần tiền được lấy từ cầu nối chuỗi chéo, cho thấy có hoạt động rửa tiền xuyên chuỗi.

1.2.2 Phân tích nguồn gốc vốn

• Chuyển đến các địa chỉ trong danh sách đen khác (54 cái): Giữa các địa chỉ trong danh sách đen tồn tại cấu trúc "chuỗi vòng nội bộ".

• Chuyển vào sàn giao dịch tập trung (41 cái): Những địa chỉ này chuyển tiền vào nhiều địa chỉ nạp tiền của các CEX nổi tiếng, thực hiện "xuống xe".

• Dòng tiền đến cầu nối chuỗi chéo (12 cái): chỉ ra rằng một phần tiền cố gắng thoát khỏi hệ sinh thái Tron, tiếp tục rửa tiền qua chuỗi.

Cần lưu ý rằng một số sàn giao dịch xuất hiện đồng thời ở cả hai đầu của dòng tiền vào (ví dụ: ví nóng) và dòng tiền ra (địa chỉ nạp tiền), làm nổi bật vị trí cốt lõi của chúng trong chuỗi tài chính. Việc thực thi các biện pháp AML/CFT của các sàn giao dịch hiện tại không đủ và sự chậm trễ trong việc đóng băng tài sản có thể cho phép những kẻ xấu hoàn thành việc chuyển nhượng tài sản trước khi cơ quan quản lý can thiệp.

Chúng tôi khuyến nghị các nền tảng giao dịch tiền điện tử lớn nên tăng cường giám sát thời gian thực và cơ chế chặn rủi ro như là kênh trung tâm của vốn, để phòng ngừa trước.

2. Phân tích tài trợ khủng bố

Để hiểu rõ hơn về việc sử dụng USDT trong tài chính khủng bố, chúng tôi đã phân tích lệnh tịch thu hành chính được công bố bởi Cục Tài chính Chống Khủng bố Quốc gia Israel (NBCTF). Mặc dù việc sử dụng nguồn dữ liệu đơn lẻ khó có thể khôi phục toàn bộ bức tranh, nhưng nó được coi là mẫu đại diện để đánh giá phân tích và ước lượng bảo thủ về các giao dịch liên quan đến khủng bố của USDT.

2.1 Phát hiện cốt lõi

• Thời điểm phát hành: Kể từ khi xung đột giữa Israel và Iran leo thang vào ngày 13 tháng 6 năm 2025, chỉ có thêm 1 lệnh tạm giữ mới (ngày 26 tháng 6). Trong khi tài liệu trước đó dừng lại vào ngày 8 tháng 6, cho thấy sự phản ứng của cơ quan thực thi pháp luật có sự chậm trễ trong thời kỳ căng thẳng địa chính trị.

• Tổ chức mục tiêu: Kể từ khi xung đột bùng phát vào ngày 7 tháng 10 năm 2024, NBCTF đã phát hành tổng cộng 8 lệnh tạm giữ, trong đó 4 lệnh rõ ràng đề cập đến "Hamas", và lệnh mới nhất lần đầu tiên đề cập đến "Iran".

• Địa chỉ và tài sản liên quan đến lệnh tạm giữ:

  • 76 USDT (Tron) địa chỉ
  • 16 địa chỉ BTC
  • 2 địa chỉ Ethereum
  • 641 tài khoản của một sàn giao dịch nào đó
  • 8 tài khoản của một nền tảng

Chúng tôi đã theo dõi chuỗi trên địa chỉ 76 USDT (Tron) cho thấy hai mô hình hành vi của Tether khi phản hồi các chỉ thị chính thức này:

1. Đóng băng chủ động: Tether đã đưa 17 địa chỉ liên quan đến Hamas vào danh sách đen trước khi lệnh tạm giữ được ban hành, trung bình sớm 28 ngày, thậm chí có địa chỉ sớm nhất là 45 ngày.

2. Phản ứng nhanh chóng: Đối với các địa chỉ còn lại, Tether chỉ mất trung bình 2,1 ngày để hoàn thành việc đóng băng sau khi lệnh tạm giữ được công bố, cho thấy khả năng phối hợp thực thi tốt.

Những dấu hiệu này cho thấy Tether có mối quan hệ hợp tác chặt chẽ, thậm chí là tiền đề, với một số cơ quan thực thi pháp luật của các quốc gia.

3. Tóm tắt và các thách thức đối mặt với AML/CFT

Nghiên cứu của chúng tôi cho thấy, mặc dù stablecoin như USDT cung cấp các phương tiện kỹ thuật cho khả năng kiểm soát giao dịch, nhưng trong thực tế, AML/CFT vẫn phải đối mặt với những thách thức sau:

3.1 Thách thức cốt lõi

• Thực thi chậm trễ vs Kiểm soát chủ động: Hiện tại, hầu hết các hành vi thực thi vẫn phụ thuộc vào việc xử lý sau, để lại không gian cho các đối tượng bất hợp pháp chuyển nhượng tài sản.

• Khu vực mù của việc quản lý sàn giao dịch: Sàn giao dịch tập trung như là nút giao dịch tiền vào và ra, thường thiếu sự giám sát, khó có thể nhận diện hành vi bất thường kịp thời.

• Rửa tiền xuyên chuỗi ngày càng phức tạp: Việc sử dụng hệ sinh thái đa chuỗi và cầu nối xuyên chuỗi khiến cho việc chuyển tiền trở nên kín đáo hơn, khó khăn trong việc theo dõi của cơ quan quản lý.

3.2 đề nghị

Chúng tôi khuyên các nhà phát hành Stablecoin, sàn giao dịch và cơ quan quản lý:

• Tăng cường chia sẻ thông tin trên chuỗi;
• Phân tích hành vi đầu tư theo thời gian thực;
• Thiết lập khung tuân thủ đa chuỗi.

Chỉ trong một hệ thống AML/CFT kịp thời, hợp tác và công nghệ trưởng thành, thì tính hợp pháp và an toàn của hệ sinh thái stablecoin mới có thể được đảm bảo thực sự.

4. Nỗ lực trong ngành

Hiện tại, trong ngành đang nỗ lực thúc đẩy tính an toàn và tuân thủ của ngành công nghiệp tiền mã hóa, tập trung vào việc cung cấp các giải pháp trên chuỗi có thể thực hiện và khả thi cho AML và CFT. Một số sản phẩm chính bao gồm:

4.1 Giải pháp tuân thủ

Được thiết kế dành cho sàn giao dịch, cơ quan quản lý, dự án thanh toán và DEX, hỗ trợ:

• Điểm rủi ro địa chỉ đa chuỗi
• Giám sát giao dịch thời gian thực
• Nhận diện và cảnh báo danh sách đen

Giúp người dùng đáp ứng các yêu cầu tuân thủ ngày càng nghiêm ngặt.

4.2 Nền tảng theo dõi trên chuỗi có thể nhìn thấy

Các nền tảng này đã được nhiều cơ quan quản lý và thực thi trên toàn cầu áp dụng. Chúng hỗ trợ:

• Theo dõi vốn trực quan
• Hình ảnh địa chỉ đa chuỗi
• Phục hồi và phân tích đường đi phức tạp

Những công cụ này thể hiện sứ mệnh của ngành trong việc bảo vệ trật tự và an toàn của hệ thống tài chính phi tập trung.