作者：邵詩巍

來源：邵詩巍

“這個項目確實是我組織策劃的，我想知道你們是怎麼找到背後的操盤手的？按我的理解，你們是不可能找到我的，你們靠的是什麼？”

以上是莘縣公安局辦理“12.04”虛擬幣傳銷案所披露的辦案細節，犯罪嫌疑人傳銷頭目張某在審訊過程中，非常不解的詢問辦案民警這個問題。

邵律師在日常辦理涉黑灰產及虛擬貨幣類刑事案件的時候，很多當事人也會有這樣的疑問，比如會問我：“邵律師，當時做這個事情的時候我人在國外，我的上家也在國外，我們平時也是用TG（飛機軟件）溝通的，閱后即焚。虛擬貨幣交易不是匿名的嗎？咋公安就能抓到我呢？”

所以今天就來聊聊，虛擬貨幣類刑事案件當中，公安是如何追蹤虛擬貨幣的交易過程並鎖定犯罪嫌疑人身份的？

本文作者：邵詩巍律師

1

1 虛擬貨幣交易

真的匿名嗎？

虛擬貨幣作為區塊鏈技術的應用之一，有着去中心化、保護隱私、降低交易成本、高回報率等優點，但同時，由於其一定程度上的匿名性，往往又會被一些不法分子所利用，使虛擬貨幣進行洗錢、灰黑產相關交易的工具。

但虛擬貨幣其實並非完全匿名的，因為交易過程在鏈上是公開的，只是地址不直接關聯身份。另外，由於虛擬貨幣交易所需要遵守了解你的客戶 (KYC) 和反洗錢 (AML) 規則，這也使得執法部門更容易追蹤區塊鏈上的交易。

由於虛擬貨幣背後有一個公開的、不可篡改的賬本。所以虛擬貨幣交易取證對於公安機關來說，其實很友好。

2

公安機關是如何進行幣流追蹤

鎖定嫌疑人身份的？

可能在早些年，各地公安機關對於涉幣類案件缺乏了解，立案偵查的案件數量不多，很多被害人也維權無門。

但隨着辦案單位對於虛擬貨幣的認識不斷加深，對於虛擬貨幣流向進行鏈上數據追蹤以及數據研判的能力其實也在不斷加強。簡單介紹幾種常見手段：

1. 鏈上地址關聯分析

通過區塊鏈瀏覽器（如Tronscan、歐科雲鏈）分析交易圖譜，能夠識別地址間的共同輸入（Common Input） 和資金歸集模式。例如，多個地址頻繁向同一目標地址轉賬，可推斷為同一實體控制。

根據邵律師代理涉幣類案件的經驗來看，虛擬貨幣傳銷犯罪案件、開設賭場罪案件當中，往往會使用該分析手段。

在上文提到的聊城“12.04”虛擬幣傳銷案中，警方發現傳銷平台通過TokenPocket錢包生成多個地址歸集資金，最終將資金流向主地址，並通過交易所提現。通過分析這些地址的交易頻率和資金規模，鎖定主謀人員。

在邵律師代理的多起開設賭場類案件當中，賭場與支付結算人員的收益結算過程，同樣是以歸集地址為突破口，鎖定涉案人員身份。

2. 交易所KYC調證

目前，大部分主流的虛擬貨幣交易所（如：幣安Binance、歐易OKX、火幣HTX）以及数字錢包平台（如：ImToken）都會在官網上公開配合執法的政策規則以及配合內地公安執法的專門通道。

執法人員可以以郵件的方式向交易所發送協查函，要求調取嫌疑人的註冊信息、人臉照片、理財信息、充提幣交易，各幣種錢包地、法幣交易、幣幣交易、合約交易、登錄IP，MAC等設備信息。

另外，交易所也會應執法部門的要求，凍結嫌疑人賬戶內的虛擬貨幣，凍結期限一年，但到期前執法機構可以申請續凍。

3. 手續費（Gas費）、交易哈希追蹤

每一筆虛擬貨幣的成功交易，都需要支付Gas fee（TRX / ETH等）。那麼在追查犯罪嫌疑人收取贓款的錢包地址時，可以追溯嫌疑人從交易所購買Gas 費的記錄。例如警方分析涉案地址的Gas費來源，發現是通過幣安賬戶購買TRX支付手續費，從而鎖定交易所賬戶。

虛擬貨幣交易中，交易哈希可以確保交易的唯一性和不可篡改性，每筆交易產生的哈希值都是獨一無二的。通過交易哈希可以看出交易詳情‌，如發送方地址、接收方地址、交易金額、交易費等‌。

辦案人員將Gas費交易記錄、交易哈希提供給虛擬貨幣交易所，即可獲得嫌疑人的KYC信息（如護照、身份證、郵箱、手機號等）。

4. 設備指紋與IP關聯

辦案人員通過交易所或錢包的登錄IP、設備ID（如手機IMEI、MAC地址）關聯多個地址的操作行為，從而鎖定目標。

如在麻省理工黑客兄弟案中，FBI通過分析嫌疑人使用的VPN日誌和設備指紋，發現其多次登錄同一交易所賬戶，最終定位物理位置[i]。

5. 跨鏈兌換與混幣破解

很多嫌疑人以為交易跨鏈或者使用混幣器，就可以更好的隱匿身份，但並非如此。

跨鏈追蹤：通過跨鏈橋（如比特幣→以太坊）的交易哈希，追蹤資金轉移路徑。

混幣分析：使用鏈上指紋技術（如交易時間、金額模式）識別混幣器（如Tornado Cash）的輸入輸出地址。

如美國司法部在追回科洛尼爾管道贖金時，通過分析黑客的“鏈式洗錢”路徑，最終截獲一串以“dh77gls”字符結尾的關鍵地址的私鑰[ii]。

6、國際合作與穩定幣凍結

對USDT等穩定幣，公安可要求發行方（如Tether公司）凍結涉案地址資金。也可以進行國際合作。

例如湖北荊門警方偵破的一起涉案流水達 4000 億的跨境網絡賭博案（全國「虛擬貨幣第一案」），據報道，“因該平台全部用虛擬貨幣結算，公安機關就與該虛擬貨幣發行機構進行對接，將相關涉案虛擬貨幣賬戶凍結”。

再例如在四川內江5500萬以太坊盜竊案中，據報道，“為了偵破這起案件，四川警方與新加坡、美國、荷蘭開展了14次國際合作，在實戰中提煉出1套分析區塊鏈地址的技戰法，調取境外虛擬貨幣交易所數據70餘次，溯源區塊鏈地址20000餘個”[iii]。

7、從最終的出金流向倒查

嫌疑人所持有的虛擬貨幣，在大部分國家，是不能直接用於日常消費的，所以黑灰產交易總有一個出口，也就是將虛擬貨幣兌換為法幣。那幫助兌換法幣的人，就成了追查上游犯罪人員身份的突破口。

8、異常交易觸發風控

很多人的銀行卡被凍結的原因就在於，由於頻繁的快進快出交易觸發了銀行的風控系統。而在Web3的世界里，也是同理。

一般情況下，普通炒幣人員是會把資金放在平台上買賣，而不是經常性的進行大額資金的高頻率快進快出。所以，在對於幣流追蹤事實，如果發現地址存在資金的快進快出，則會被視為可疑地址。

3

結語

不法分子會誤以為：虛擬貨幣交易是匿名的、所以辦案人員無法鎖定自己的真實身份；虛擬貨幣交易所都在國外，國內公安肯定難以調查取證；通過跨鏈、混幣器就無法追蹤了等等。因此，會肆無忌憚的從事黑灰產交易。然而，這種僥倖心理最終只會讓他們陷入更深的困境。

但有些當事人在被抓后，會和我探討自己有多麼後悔，但他們後悔的並非是觸犯了法律，而是後悔當初沒有將交易鏈條設計的更加隱秘。

面對這樣的當事人，有時我也不知道該說啥，也只能一聲嘆息作為回應。

[i] 12秒竊走2500萬美元加密貨幣，麻省理工畢業的黑客兩兄弟被捕 http://note.f5.pm/go-240378.html

[ii] 美國司法部截獲黑客勒索的63.7枚比特幣，比特幣單日跌幅超10% | 界面新聞 https://m.jiemian.com/article/6209923.html

[iii] 四川內江5500萬區塊鏈資產盜竊案告破！ https://xinjiapo.news/news/215601/

誒凍結的虛擬或 能否強制執行

深挖細查，莘縣公安局成功偵破全市首例虛擬幣傳銷大案 https://mp.weixin.qq.com/s/KduRfmY5hk8r6xLO5t_epQ