一、簡介
線上上賭博網站以及一些其他網站的充值頁面,經常能看到虛擬幣錢包的充值方式,名稱為某某pay、某某錢包,點擊後會跳轉到相應頁面進行充值。這些錢包深受各類黑灰產的青睞,在工作中我們也發現很多這種錢包是專門服務於黑灰產的,深度綁定,某些平台註冊賬戶時,預設註冊錢包賬戶。
在黑灰產的銀行卡資金結算方式中,有通過支付寶財付通等第三方支付,還有聚合支付型的第四方支付,為了進行對應,我將上面的這種通過專門的虛擬幣錢包進行資金結算的方式稱為虛擬幣第四方支付。(僅作為個人的分類方式)
二、運行模式
它們的業務邏輯很簡單,跟黑灰產進行系統對接,負責虛擬幣的資金結算。業務邏輯雖然簡單,但它們的結算體系可一點都不簡單,跟虛擬幣交易所的模式很像,我歸納總結有以下幾點:
(一)波場地址為主
因交易費用、效率等因素,錢包地址主要以波場地址為主,以太坊地址為輔,交易幣種基本為USDT。
(二)地址多,體量大
錢包官方地址多,經常會定期更換地址,不同地址承擔著不同的功能,如接收用戶資金的地址、作為資金中轉的地址、給用戶進行提現的地址等,每個地址交易體量大。一些體量大的錢包,單個地址一個月交易量達到上億U。
(三)為用戶免費提供能量
在波場鏈的轉賬,均需要支付TRX,虛擬幣第四方支付平台為每個用戶分配單獨的錢包地址,自動為用戶地址支付TRX。所以我們也能看到專門為用戶地址提供TRX的功能性地址,通過對這個地址的交易統計,能粗略評估出錢包用戶規模,大型錢包能看到百萬級別的用戶地址。用戶地址可能定期會進行更換。
(四)通過手續費獲利
大部分通過轉賬手續費獲利,單筆轉賬收取1U、2U的手續費。當然,一些虛擬幣第四方支付平台是某些犯罪集團產業的一部分,服務於集團業務,對於整體而已,通過手續費獲利的資金僅僅是一小部分,結算系統的安全、穩定、高效更加重要。
(五)不可調證
有別於正規交易所,會配合司法查詢,虛擬幣第四方支付平台本身作為黑灰產的一部分,是不可調證的。
三、交易特徵
虛擬幣第四方支付的資金特徵跟交易所很像,以下方的示意圖為例,給用戶AB分配的地址是常見的以T開頭的34個字元的波場地址,交易類型不同,會呈現出不同的交易特徵。
(一)這個虛擬幣第四方支付平台以外的外部地址可以給用戶AB地址轉賬,這個轉賬記錄上鏈,可以在區塊鏈瀏覽器中查到。
(二)所有用戶地址的資金去向均為第四方支付平台錢包官方地址。
(三)用戶A地址與用戶B地址的內部轉賬,不上鏈,在用戶使用的交易頁面,可能顯示的是用戶A的地址編號轉向用戶B的地址編號,這個地址編號是由第四方支付平台自行決定的,這部分交易無法通過區塊鏈瀏覽器中查詢。
(四)用戶AB地址向外部地址轉賬,真實的資金流是用戶AB資金到某外部地址,在鏈上顯示的是該虛擬幣第四方支付平台錢包官方地址到某外部地址。
示意圖:
從上面的介紹中,我們不難看出,虛擬幣第四方支付結算的資金鏈路更加隱蔽,難以追蹤。就個人經驗來說,需要做好對相關平台官方地址的監控,尋找資金規律和交易特徵,尋找突破口。
