基于DeFi犯罪类型化分析的资金流侦查策略.pdf

《基于DeFi犯罪类型化分析的资金流侦查策略.pdf》由会员分享，可在线阅读，更多相关《基于DeFi犯罪类型化分析的资金流侦查策略.pdf（9页珍藏版）》请在咨信网上搜索。

1、中国人民公安大学学报(自然科学版)2023 年第 2 期 No.2 2023Journal of People蒺s Public Security University of China(Science and Technology)总第 116 期 Sum116基于 DeFi 犯罪类型化分析的资金流侦查策略谢摇 玲,摇 孙美澄(西南政法大学刑事侦查学院,重庆摇 401120)摘摇 要摇 近些年来,利用“去中心化冶金融 DeFi 实施犯罪的新型作案手法已初露端倪。尤其是智能合约代码的违规部署和应用在虚拟货币涉传涉诈类案件中呈逐年上升趋势。由于 DeFi 协议框架下反洗钱和 KYC 要求被免除,

2、涉案交易过程无法从中心化机构调取证据,开源且无须许可的智能合约易于复制和修改,混币程序和跨链交易等深度匿名交易手段通过 DeFi 得以应用,导致各类 DeFi 犯罪的资金链路隐蔽且复杂,难以通过传统侦查方法予以穿透。对此,需要分析 DeFi 分层系统中引发安全漏洞的因素,以此为基础对 DeFi 犯罪做出类型化分析,进而围绕不同犯罪模式与智能合约创建特征之间的映射关系开展虚拟货币资金流研判工作,利用合约协议引出的关键线索实现案件“破局冶。关键词摇 DeFi;智能合约;代码;钱包地址;资金流侦查中图分类号摇 D918郾 2文献标志码摇 A收稿日期摇2023鄄01鄄10基金项目摇2021 年度重庆市

3、教委科学技术研究计划项目(KJQN202100313);西南政法大学 2021 年度校级科研项目重点项目(2021XZNDJDZD鄄12);西南政法大学 2022 年度科研重点委托项目(2022鄄XZWTZD04);重庆市科学技术局2022 年度技术创新与应用发展专项社发领域重点项目(CSTB2022TIAD鄄KPX0107)。作者简介摇谢玲(1983),女,重庆人,博士,副教授。研究方向为侦查学。E鄄mail:523737884 Fund Flow Investigation Strategy Based on DeFi Crime Typology AnalysisXIE Ling,摇 S

4、UN Meicheng(School of Criminal Investigation,Southwest University of Political Science and Law,Chongqing 401120,China)Abstract:In recent years,a new method of committing crimes by using decentralized financial DeFi hasemerged.In particular,the illegal deployment and application of smart contract cod

5、es in the cases of vir鄄tual currency involving transmission and fraud are on the rise year by year.Due to the exemption of anti鄄money laundering and KYC requirements under the framework of the DeFi agreement,the involved trans鄄action process cannot be transferred from the centralized institution,the

6、 open source and unlicensed smartcontract is easy to copy and modify,and the deep anonymous transaction means such as currency mixingprogram and cross鄄chain transaction are applied through DeFi,resulting in the hidden and complex finan鄄cial links of various DeFi crimes that are difficult to penetrat

7、e through traditional detection methods.Inthis regard,it is necessary to analyze the factors that cause security vulnerabilities in the DeFi layeredsystem,and make a typological analysis of the DeFi crime based on this,and then carry out the researchand judgment of the virtual currency capital flow

8、around the mapping relationship between different crimepatterns and the characteristics of smart contract creation,and use the key clues derived from the contractagreement to achieve the breaking of the case.Key words:DeFi;smart contract;code;wallet address;capital flow58谢摇 玲等:基于 DeFi詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬

9、詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬犯罪类型化分析的资金流侦查策略0摇 引言去中心化金融 DeFi(decentralized finance)应用发展迅猛,截至 2022 年底,用户持有 DeFi 代币价值已经超出全球加密资产半数。与主流传统金融服务CeFi(centralized finance)不同,DeFi 的执行过程并不依赖于中心化服务器,而是在支持智能合约的区块链上实现虚拟货币的授权定价、撮合交易和代币发行,几乎所有的传统金融项目都能通过合约规则的编码协议在 DeFi 上实现其功能运用。用户量大、缺乏中心化监管又具有传统金融生态的模仿性或复刻性,DeFi

10、 所带有的天然风险被犯罪分子恶意利用,成为实施大量盗窃、诈骗、传销、洗钱等不法活动的新型作案工具淤。1摇 DeFi 犯罪的风险来源所有基于分布式技术、分布式网络产生的金融形式或者金融活动均可以定义为 DeFi,即“去中心化冶金融,也称分布式金融、开放式金融。DeFi 应用则是依托于区块链运行自动化程序(即智能合约)的“去中心化冶金融服务形体。由于 DeFi 生态系统使用智能合约替代了中介服务,自动达成用户之间的共识1,支持用户行使因持有代币而享有的权益,其记录的每一份条款、规则、交易记录具有不可篡改性且都能在区块链上公开查询,具有高度自由性和透明性。为了实现协议的自动化运行及用户终端的代币治理

11、,DeFi 利用分层组织结构完成业务编码的布局,由区块链及分布式账本技术组成的“结算层冶、虚拟货币构成的“资产层冶、智能合约构成的“协议层冶、允许用户通过 web 页面与应用程序交互的“应用层冶、支持不同 DeFi 协议共存的“聚合层冶建立通用架构2,每一层级之间通过协议代码的运行发生联系,短时间内便可实现用户对 DeFi 金融服务功能的定制。DeFi 虽然具有定制私人服务、保护用户隐私、降低交易成本、提升服务效率等“全去中心化冶治理与运营的绝对优势,但仍然无法摆脱区块链技术自身固有的局限性,隐藏着被犯罪团伙利用的潜在安全隐患。一方面,基于传统区块链技术的 DeFi 可扩展性与安全性之间存在的

12、紧张关系可能引发犯罪风险。“结算层冶的部分节点在利益驱动之下容易展开打包成本的恶性竞争发生“挖矿冶套利,诱发基于定价机制的 DeFi 犯罪;“资产层冶因欠缺统一的发币标准,其发行的缺陷代币存在兑换、赎回、交易、可操作性等市场流动性风险,为基于代币发行机制的DeFi 犯罪提供了便利;“协议层冶智能合约的协议代码在面临黑客攻击时不具有弹性优势,基于合约漏洞的 DeFi 犯罪利用代码漏洞实现不法交易目的;“应用层冶依托于传统的 Web 浏览器前端以网页方式呈现业务内容,遭受漏洞攻击时容易影响账户资产安全,基于授权机制的 DeFi 犯罪利用转账页面布下交易“陷阱冶;“聚合层冶的协议实现标准不统一,在发

13、生金融活动、实现交互时可能因兼容性漏洞受到攻击4,部分基于匿名机制的 DeFi 犯罪嵌入混币协议混淆交易主体,如图 1 所示。另一方面,DeFi共识坚持平等普惠、项目自由发行和自由交易原则,也为犯罪活动的侵入大开方便之门。一些投资者参与 DeFi 项目却陷入传销套路、遭遇虚拟货币被盗,犯罪团伙利用交易的匿名性和不受地域限制将涉案资金快速跨境转移,资金流向难以追踪监测,DeFi逐渐沦为诈骗工具、洗钱工具,这些现实问题已经引发普遍关注。国内外监管部门意识到 DeFi 生态系统已成为了金融犯罪团伙的“西部荒野冶。2021 年 9 月 24 日中国人民银行发布关于进一步防范和处置虚拟货币交易炒作风险的

14、通知,规定涉及虚拟货币的DeFi 项目在我国属于非法金融活动。2021 年 10月,FATF(反洗钱金融行动特别工作组)发布虚拟资产和虚拟资产服务提供商基于风险的方法的更新指南,对 DeFi 重新定义,要求 DeFi 服务提供商须遵循传统金融公司的反洗钱标准,对用户进行严格的身份认证。上述禁令或限制性措施都是为了降低利用 DeFi 技术实施犯罪的风险。我国虽然明确禁止相关 DeFi 交易活动,但犯罪团伙借助境外服务器,创建业务本身就涉嫌违法犯罪的 DeFi 项目,以电子钱包为聚合平台进行推广引流吸引潜在被害人,采取“去中心化冶交易、跨链跨币、混币在内的操作牟取巨额非法利益。困囿于虚拟货币“一刀

15、切冶政策,“币币冶交易、“钱币冶交易活动转入地下,银行金融部门监管和现有法律规制对相关案件的犯罪治理实效有待提高,加之 DeFi 交易具有强匿名性和难追踪性,大量非法资金流入 DeFi 项目不知踪迹,68淤根据漫雾科技公司 2022 区块链安全与反洗钱分析报告,2022 年 DeFi 安全事件共 183 起,涉案资金高达 20郾 75亿美元,占 2022 年虚拟货币行业总损失约 55%。谢摇 玲等:基于 DeFi詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬犯罪类型化分析的资金流侦查策略图 1摇 DeFi 分层系统及对应的安全风险摇DeFi 案件

16、的资金流追查变得异常困难。对此,侦查打击 DeFi 犯罪必须依托于区块链、智能合约和Dapps 等构成“去中心化冶金融的关键基础设施,透过操作系统上部署的智能合约代码解析相关业务流程和逻辑,从中发现作案规律和个案特征,以实现不同案件类型的对应。在明确案件类型后,通过分析地址间的交易层级关系,追加链上信息流和资金流的查证,最终穿透重要地址的匿名性获取其背后的真实身份,借助案件关键线索“破局冶。2摇 DeFi 犯罪类型化分析DeFi“去中心化冶属性引发的技术和法律两大风险成为滋生新型犯罪的土壤。智能合约的自动执行协议在满足触发条件时自发执行,以及部署在区块链上的代码、执行日志和功能是分布式的、完全

17、透明的和不可逆的,被推论为 DeFi 在技术层面能够实现“自我约束冶,然而上述“结算层冶有限数量的节点以不成比例的方式不当获利是为反例;DeFi 的协议自动化交易功能被推论为消除了“对于规则的需求冶,其本质是有意回避法律层面关于重要信息的披露义务、参与者的可识别性等监管要求3。在DeFi 框架下从事的虚拟项目或进行的活动,虽然本身就属于法律规制的对象,却借助 DeFi“去中心化冶的业务属性逃避了监管,由此产生了形形色色的DeFi 犯罪活动。以 DeFi 静态通用结构与动态运行机制中可能出现的风险漏洞及恶意利用行为的类型进行划分,DeFi 犯罪主要分为以下几类:(1)基于合约漏洞的 DeFi 犯

18、罪智能合约是 DeFi 应用的关键基础设施,合约开发者按照交易的业务逻辑以代码的形式将其部署在区块链上。交易的条件达成后触发链上代码,智能合约的协议内容自动执行。但是链上代码不可避免存在漏洞,加之 DeFi 随时在线,包括缺陷代码在内的区块链的信息具有不可篡改性,这就导致链上交易存在安全风险,而被黑客或犯罪团伙所利用。相关的 DeFi 犯罪形式主要表现为:一是基于合约漏洞的虚拟货币盗窃犯罪,攻击者利用智能合约的编程代码漏洞篡改数据,窃取、转移 DeFi 项目资产。针对 DeFi 的技术盗窃行为已成常态,且呈现逐年上升趋势。据相关统计,2021 年,DeFi 平台有价值约 2378谢摇 玲等:基

19、于 DeFi詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬犯罪类型化分析的资金流侦查策略亿美 元 的 虚 拟 货 币 被 盗,相 比 2020 年 增 加 了1 330%淤,其中最有代表性的是专攻跨链技术的DeFi 平台 Poly Network 因智能合约漏洞被盗价值6郾 1 亿美金的虚拟货币于;二是基于合约漏洞的虚拟货币诈骗犯罪,智能合约的部署人、开发者在骗取他人财产的主观故意支配下,将恶意程序写入合约代码,诱导、欺骗使用人或交易者使用智能合约,导致其账户内的虚拟货币自动转入开发者钱包地址。(2)基于代币发行的 DeFi 犯罪发布标准代币(T

20、oken)是智能合约在区块链上最基本的功能应用。以太坊区块链上发行代币的标准协议接口 ERC20 为例,通过一个 ERC20 代币合约,开发者或部署人可以自行定义代币协议中的状态变量、函数和事件,例如发行代币总量、转入数量及限额、转出数量及限额、交易触发事件等。发行代币对开发者的技术能力水平要求并不高,只需借助已有的智能合约模板修改字段和自定义参数,再运行代码就能实现协议,且 Dex(Decentralized ex鄄change,“去中心化冶交易所)上公示项目不需要经过代码审计,发行代币速度快、成本低盂,这导致犯罪团伙利用智能合约的发币功能,借助虚拟货币、挖矿、智能链等新概念实施侵财类案件。

21、一是基于代币发行的“拉地毯冶(Rug Pull)诈骗犯罪。犯罪分子利用智能合约以极低的成本发行“空气币冶,诱导缺乏虚拟货币投资经验、难以辨别投资项目真假的投资者使用 USDT(泰达币)、BNB(币安币)等主流币购买代币,在代币价格推高之后,突然放弃项目,不再操纵价格乃至暴跌归零,卷走被害人资金榆。二是基于代币发行的传销犯罪。犯罪分子在智能合约的发币代码中写入传销的邀请机制、静态收益、动态收益等业务逻辑,将智能合约作为传销模式的运行载体。与传统类型的虚拟货币传销犯罪不同,DeFi 传销模式下部署于区块链的智能合约没有App 和后台服务器,不能采取制作虚假网站、注册APP、填写“邀请码冶等方式发展

22、人头,犯罪团伙转而通过虚拟货币转账的方式建立传销层级关系及进行团队计酬返利。例如,传销组织者甲使用钱包地址向乙的钱包地址空投代币,该代币即为入盟费,甲成为乙的上线或完成对下线的分红返利,待传销参与者转入犯罪团伙钱包地址的虚拟货币达到一定资金规模之后卷款跑路。三是基于代币发行的网络赌博犯罪。炼游(GameFi)是智能合约的一种应用形式。用户通过钱包打开 Dapp 链接地址,进入类似网络游戏的界面,通过“边玩边赚冶模式玩游戏获取兑换法币的虚拟货币。基于此,网络赌博犯罪团伙利用智能合约开发链上博彩的 Dapp 应用,组织赌客参与开盲盒、角色对战、棋牌活动等对赌、开奖活动,通过 GameFi将博彩游戏

23、化以掩盖组织赌博的违法犯罪行为。(3)基于授权机制的 DeFi 犯罪电子钱包是用户与 DeFi 应用连接的入口。用户不论是与其他地址发生交易还是接受他人赠予的空投代币支付手续费,都需要使用钱包打开合约地址,向智能合约授予短期或长期获取虚拟货币转移、扣除、交易等资产操作权限。智能合约部署人或开发者为了避免用户反复授权,一般会默认设置授权永久访问权限和“无限大冶交易量,一旦智能合约出现安全漏洞或者该智能合约代码被人恶意设定,钱包所有者将面临全部资产灭失的损失。常见的犯罪类型是基于授权机制的空投诈骗。犯罪团伙利用微信、telegram 等社交软件交流群以赠送新发行的项目代币为由,诱导被害人使用钱包打

24、开行骗 Dapp地址,由于被害人急于获取空投代币,忽略了转账页面设置的支付矿工费、资金交易等授权系“超大数额授权冶而做出确认操作,导致钱包地址内的虚拟货币被自动提取。(4)基于定价机制的 DeFi 犯罪流动性挖矿是 Uniswap、Pancakeswap 等“去中心化冶交易所使用流动性池实现撮合交易的定价机制。与传统“链下撮合、链上交割冶的做市商询价机制不同,流动性挖矿的交易定价完全在链上进行,可以自动提供流动性。具体而言,在标准的资金对中,流动性池内同时有两种由流动性提供者贡献的虚拟货币,通过智能合约进行连接。用户可以兑换直接88淤于盂榆资料来源:The Chainalysis 2022 C

25、rypto Crime Report,https:/ 年 8 月,专攻跨链技术的 Poly Network 宣布主网被黑客攻击,其用户在币安智能链、以太坊侧链上的资产总计被转移 6郾 1 亿美金,被称为史上被盗金额最大的 DeFi盗窃案件。在以太坊区块链上通过 ERC20 标准发行代币的成本不超过 100 美元,当前发行的代币已经超过五十万种。2022 年6 月8 日,币安智能链上项目 BabyElon 发生Rug Pull,代币下跌 98%,诈骗者将骗取的 623 枚 BNB 转入Tornado Cash 混币资金池,被骗金额约为 18 万美元。谢摇 玲等:基于 DeFi詬詬詬詬詬詬詬詬詬詬

26、詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬犯罪类型化分析的资金流侦查策略池子中的代币,成交价格按照两种代币的数量配比发生变化,而流动性提供者可以获得部分交易手续费分成作为参与交易流动性的奖励,如图 2 所示。基于流动性挖矿的奖励机制以及流动性提供者需要事先提供足够数量的虚拟货币以供交易的规则,一些犯罪团伙利用 DeFi 流动性挖矿项目套取流动性池中的质押资金。图 2摇 流动性挖矿运作及成交价变动摇摇 摇 常见的犯罪类型包括:一是基于定价机制的窃取流动性诈骗。诈骗团伙通过开发虚假的 DeFi 项目并发行代币,诱导大量投资者参与流动性挖矿,在推高流动性池中的代币价格

27、之后,利用智能合约中隐藏的恶意代码将池子中的以太币、泰达币等主流虚拟货币转移至预设地址;或是利用代码设置了开发者出售代币的唯一权限,代币价格上涨到一定程度后自动触发代码,将开发者控制的代币兑换成主流币;或是一次性大量抛售项目代币,卷钱跑路,导致投资者持有的代币价格迅速暴跌。例如,EOS 交易平台的 DeFi 产品 Emeraldmine 就是犯罪团伙利用流动性挖矿实施诈骗的项目淤。二是基于定价机制的流动性挖矿传销。诈骗团伙假借具有挖矿机制的DeFi 产品,引导被害人存入或借出指定的代币,为产品的资金池提供流动性而获取收益。事实上从事的是以滚动发展下线人数、会员缴纳入门费作为返利计酬依据和来源的

28、组织传销活动犯罪。(5)基于匿名机制的 DeFi 犯罪与虚拟货币交易所和钱包厂商提供的交易服务相比,DeFi 协议下的交易对已经实现了高度的“去中心化冶,更容易滋生为各种不法活动转移资金的洗钱犯罪。根据 Chainalysis 报告,2022 年单纯利用比特币、USDT 进行洗钱的案例逐渐减少,DeFi 已成为非法资金的最大接收者,占所有链上非法资金总额的 69%于。原因主要有以下几点:一是反洗钱(AML)和了解客户(KYC)的要求不能作用于使用 DeFi 协议的用户。“反洗钱冶是指交易所和钱包厂商登记国为防止虚拟货币洗钱通常会采取一系列监管流程,而 KYC 是反洗钱的一个组成部分,即允许机构

29、确认并验证其用户的真实性。然而 DeFi 交易在区块链上而非实体化机构内进行,不需要用户注册及提交身份证明文件,钱包所有人是以匿名化的方式参与交易行为,钱包地址是唯一与“去中心化冶应用程序交互的主体;二是交易过程链上留痕但无法调证。DeFi 用户通过触发部署在区块链上的智能合约代码实现交易,不经过任何中心化机构寻找交易对,不能向交易所或钱包厂商发起调证,监管和追踪难度较大;三是基于智能合约生成的混淆资金工具隐匿资金流向。智能合约的协议代码可以部署混淆转入地址与转出地址的混币服务,以及切换不同区块链交易的跨链服务,导致链上交易的资金错综复杂难以追踪,如图 3 所示。这些基于匿名机制的洗钱犯罪主要

30、有以下运作方式:一是通过“去中心化冶交易所洗钱。犯罪分子将上游犯罪获取的虚拟货币,转入 Uniswap、MDEX、JustSwap 等“去中心化冶交易所的资金池中进行各种类型代币的交易转换以模糊资金来源,最后兑换为稳定币进入归集地址;二是通过 DeFi 借贷协议洗钱。犯罪分子将赃币投入到提供借贷服务的 DeFi98淤于2020 年,诈骗团伙创建 DeFi 产品 Emeraldmine,在十二小时内转移了资金池中 49 万 EOS 和 78 万 USDT,并通过 DeFiBo 进行出售,涉案总价值约为 1 439 万人民币,受骗人众多、危害极大。资料来源:The Chainalysis 2022

31、 Crypto Crime Report,https:/ 玲等:基于 DeFi詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬犯罪类型化分析的资金流侦查策略项目中,转化为其他类型的代币以隐蔽资金流转路径;三是创建留有后门的 DeFi 项目洗钱。犯罪分子利用智能合约创建 DeFi 项目,设置协议后门、制造漏洞攻击将项目资金转移;四是通过 DeFi 流动性挖矿洗钱。犯罪分子使用赃币为 DeFi 项目提供流动性挖矿以规避被识别风险。总之,DeFi 不同类型协议模式都可能成为犯罪分子利用的洗钱通道,再加上 Tornado Cash 混币程序的应用,极易实现

32、赃币与非法来源的脱钩。最终,犯罪团伙通过发布虚拟货币跑分任务、场内交易或 OTC 场外交易等方式将虚拟货币兑换成法币,完成 DeFi 洗钱处置。图 3摇 操作混币程序混淆转入地址与转出地址摇3摇 DeFi 犯罪资金流侦查DeFi 犯罪是目前侦查打击难度最大的一类虚拟货币犯罪案件。传统的虚拟货币犯罪依托于虚拟货币交易所、电子钱包,涉案数据储存在机构的服务器、后台上,侦查人员研判出关键涉案地址后便可向交易所或钱包厂商申请调证,穿透虚拟货币交易的匿名性,或者是通过技术渗透、获取权限的方式从涉案服务器中查找重要信息。然而,DeFi 项目完全由部署在区块链上的智能合约编程代码进行操作和管理,是一个开源、

33、无须许可的系统,不受任何中心化机构的管制和影响。面对由匿名开发人员编写或修改的不可变动的自动化代码,以及与智能合约交互时不具有保管资金功能的 Dapp,侦查人员不能像要求中心化交易所提供 KYC 或冻结赃款一样,调取地址背后的注册人基本信息和登陆 IP 地址、掌握后续的资金流向、控制地址内的涉案资金。因此,以穿透虚拟货币交易匿名性为指向的涉 DeFi 犯罪侦查活动,必须重点围绕不同犯罪模式下智能合约的创建特征与 Dapp 的执行过程开展相关案件研判工作。3郾 1摇 关键要素分析明确 DeFi 分层系统的关键威胁源、事件和漏洞,以及基于 DeFi 合约机制的各类犯罪形态、影响和总体风险,应围绕不

34、同 DeFi 犯罪类型的案件特征、发案规律采取不同的侦查策略。DeFi 的本质是建立在公共智能合约平台上的协议堆叠,智能合约、钱包和交易规则是其关键要素,合约代码、多层钱包地址、各类虚拟资产的交互及互操作性构成了案件发生逻辑,关注智能合约的接入和执行方式有助于确定侦查思路、明确侦查方向。3郾 1郾 1摇 智能合约的映射分析一切 DeFi 应用以智能合约为底层逻辑才能在支持智能合约的类以太坊区块链上运行。侦查活动应指向 DeFi 的核心基础设施智能合约。智能合约部署在 DeFi 应用的协议层,大量虚拟货币盗窃、网络攻击案件都是针对协议层存在的漏洞实施,诈骗、传销案件中恶意代码的篡改和部署也是利用

35、了DeFi 协议未经安全审计的风险敞口。在侦查 DeFi犯罪案件时,首先要审查智能合约是否真实存在、是否开源、是否隐藏有恶意代码,然后通过分析智能合约代码研判涉案类型及其犯罪模式。比如,同样是利用智能合约发行代币,犯罪团伙有可能实施的是诈骗犯罪、传销犯罪或者网络赌博犯罪,链上数据表现出来的都是数百段编程代码或协议的运行,如果不能理解代码行所反映的交易双方之间的协议条款,就不能够从点对点的交互方式中发现案件线索,分析犯罪模式的展开过程,从而实现案件的准确定性。代码业务逻辑的解读需实现链上协议与链下活动两个层面的映射,即协议中设置的状态变量、函数和事件要与犯罪团伙线下的推广引流、犯罪话术布设以及维

36、持“去中心化冶行为运转的活动产生对应关系。以虚拟货币 DeFi 传销案件为例,犯罪团伙为了大规模发展下线人员牟取非法利益,利用各种互联网引流手段在社交软件中推广虚假的 DeFi 项目,通过分析其伪造发布的产品白皮书、收益规则和Dapp 下载地址,以及智能合约运行载体中协议代码对应设定的交易规则,可以从中发现其是否“命中冶传销案件上下线人员结构、三级以上的提成关系、静态收益和动态收益等奖金分配方式等交易特征,如果较为符合则可以初步定性为传销案件加以研判。从区块链上的全节点交易数据来看,地址之间的交易关系、交易金额或转币的倍数规律也可以用于佐证传销犯罪模式下 DeFi 产品白皮书的上下线依层级返利

37、行为,并以此为基础查找出较为活跃的转币地址作为资金流追踪的重点线索。3郾 1郾 2摇 虚拟货币社群的用户分析虚拟货币社群是各类犯罪团伙或引流团队向潜在被害人推广虚假 DeFi 项目的通用路径。智能合09谢摇 玲等:基于 DeFi詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬犯罪类型化分析的资金流侦查策略约在区块链上部署和实施,引诱越来越多怀有逐利高风险高收入的用户提供流动性才能确保“去中心化冶项目的运转,进而非法获取巨额收益。因此,犯罪团伙往往通过国内的常用社交软件、虚拟货币网络社区、聊天群组发布 DeFi 项目信息、宣传广告、Dapp 链接,通

38、常以投资、理财、慈善、经营活动等为噱头诱导被害人访问项目主页,让被害人在无法验证的信息暗示中倾向于相信项目投资最终能够带来利润回报,不断引导其购买代币。通过技侦、网安技术手段监测、获取、挖掘虚拟货币社群中的实时聊天记录,探知不同犯罪模式下引流者与用户关系结构的潜在模式和发展动态,有助于实现隐蔽社区中涉案角色的定人定位。对此,针对各类虚拟货币犯罪模式及其宣传话术创建 DeFi 犯罪语料库,与互联网企业合作强化虚拟货币社群、网站的行为分析和关联处置,促进互联网企业主动识别、发现多次发布DeFi 项目信息的网络账号,向侦查人员及时推送重大线索以便开展相关涉案人员网络流信息的侦查研判工作。3郾 1郾

39、3摇“钱包+Dapp冶的应用分析虚拟货币钱包不仅是用户储存虚拟货币的地址载体,也是非法资金来源和变现的工具。犯罪团伙将智能合约代码部署在类以太坊区块链上,并创建DeFi 项目的 Dapp,用户通过钱包接口连接访问,就可以使用钱包内的虚拟货币资产与 Dapp 发生交易,包括:赌客将钱包里的虚拟货币绑定 Dapp 进行充值参与网络赌博、被害人将虚拟货币兑换转移至犯罪团伙控制的钱包,或打开 Dapp 的地址向智能合约进行提币权和转账权的授权操作。基于点对点的地址交易,被害人的虚拟货币从自己的钱包转出进入犯罪团伙的钱包地址后,有可能会形成三种形式的虚拟货币转移:一是被害人的虚拟货币在操控下进入混币资金

40、池或进行跨链转移,转入汇集钱包地址中;二是基于资金盘或赌博盘的返利机制,犯罪团伙在项目早期使用返利地址向被害人转入少量收益或分红,或在链游、赌博应用程序中发放奖金,以诱导被害人大额出币;三是区块的打包和确认需要向矿工记账支付交易手续费(Gas),犯罪团伙为了确保被害人转币成功,事先使用自己实际控制的地址向其钱包地址转入一笔 Gas,或在使用程序化多层转账转移赃币的过程中,使用手续费钱包为代码生成的程序化地址转入该条区块链上的主币作为交易 Gas。在错综复杂的地址间交易中发现由犯罪团伙实际控制的汇集地址、返利地址、手续费地址,是对各类虚拟货币犯罪资金流开展分析研判的关键。3郾 2摇 资金链路研判

41、DeFi“去中心化冶交易所必须通过持有虚拟货币的钱包 App 才能实现各种合约金融功能。由于需要链接入口发送交易并执行其他功能,DeFi 不能完全脱离中心化的前端网站和钱包 App 应用而真空运行。在交互过程中,被害人和犯罪人都会在区块链、虚拟货币交易平台和钱包应用留下数据信息,而涉案资金也必须从归集地址进入中心化交易所注册地址、钱包地址,由虚拟形态转化为现实法币,在链上转入链下的多个环节产生资金流转痕迹。因此,DeFi 犯罪的资金流追踪也同样涉及资金层级分析及伴随的网络数据流研判,追踪关键涉案地址构成的资金链路、穿透涉案交易地址或哈希背后的匿名性是实现资金流查控的主线任务。3郾 2郾 1摇

42、涉案地址迭代追踪充币地址、手续费地址等具有特殊交易功能的涉案地址是虚拟货币资金流追踪的起点。借助区块链浏览器和一些国内开发的虚拟货币追踪软件,可以围绕涉案地址查询链上与之具有关联性的若干层级交易。以 DeFi 传销犯罪为例,传销参与者的钱包地址流入多个充币地址,这些充币地址之间又具有相互转币、转入转出同一个地址、接收来自共同地址的主币作为手续费等同源关系。这些充币地址经过多层交易将大部分虚拟货币转至归集地址,对接个人钱包地址或虚拟货币交易所地址,为犯罪团伙成员或者其他参与人、技术合作方给付工作酬劳,或者是兑换为法币提现;小部分虚拟货币则被转入沉淀地址,后续分别对接传销参与者的钱包地址,用于智能

43、合约中设定的发展下线会员提成及奖金分配,如图 4 所示。基于对 DeFi 传销犯罪资金链路的结构分析,将涉案关联交易地址进行可视化拓展、反复迭代,利用全节点监测虚拟货币的流入与流出规律,分析其交易特征是否符合该类犯罪交易模型,再结合前期通过收集和风险标记的方法建立的高风险钱包地址库,就可能追踪到犯罪团伙控制或通过认证的虚拟货币交易所注册地址或钱包地址,从而实现对高风险作案地址的信息调证。3郾 2郾 2摇 重要地址信息调证通过信息调证穿透 DeFi 犯罪的匿名性。在涉案地址的迭代追踪过程中,如果发现涉案虚拟货币流向中心化交易所或钱包地址,可以向特定的交易19谢摇 玲等:基于 DeFi詬詬詬詬詬詬

44、詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬犯罪类型化分析的资金流侦查策略图 4摇 虚拟货币传销犯罪资金链路示意摇所或钱包厂商发起书面调证,或者是针对不特定的调证机构发起盲调。在犯罪嫌疑人使用中心化交易所注册地址进行操作的场景下,可能会得到交易所关于收币地址的注册人身份信息反馈,包括用户注册信息、手机号码、电子邮箱、虚拟货币交易记录、充币和提币记录、登录 IP、设备信息等。钱包厂商的调证结果虽然不包括钱包使用人身份信息,但能够借此了解嫌疑人是否使用该钱包进行操作、具体操作记录及交易流水,并获取手机操作系统、设备型号、识别号、位置、IP 地址等信息。涉案信息

45、的机构反馈有助于进一步确认定人是否准确以及发现嫌疑人真实身份。如,在调证返回的钱包交易信息中,如果发现调证对象持有达世币、大零币、门罗币等加密虚拟货币币种,基于其有意使用逃避监管识别的交易方式,可以将其列为重点嫌疑对象。3郾 2郾 3摇 加密身份技术穿透利用 DeFi 平台部署 Dex 同链币种转换交易、跨链交易和混币程序是犯罪团伙深度隐匿身份的常用方法。通过对重点涉案地址或交易哈希的研判以及向交易所和钱包调证,可能查明嫌疑人身份、沉淀涉案资金。然而 DeFi 交易本身具有匿名性、不可回溯和无 KYC 等特征,再加之深度隐匿身份技术方法的应用,增加了交易地址背后嫌疑人身份穿透和还原资金链路的难

46、度。例如,犯罪分子将一种代币通过“去中心化冶交易所直接转换成另一种代币;或是在“去中心化冶交易所自由切换不同的区块链进行币币兑换;将非法资金转入 Tornado Cash 进行混币操作,混淆转入地址与转出地址及资金量,如图 3 所示。同一条区块链上的虚拟货币转移,可以通过区块链浏览器追溯其资金链路;跨链交易则需要通过结合多条区块链的数据打通币币兑换;混币模式下以转入地址和转出地址为起点,分别进行交易对手扩线和地址碰撞,发现交集地址并进行交易对的迭代追踪,以获取更多关于非法资金转出结果的比对线索5。3郾 3摇 拓展查证线索DeFi 犯罪案件具有链上链下交织、无 KYC 查证、地址恶意混淆等特点,

47、这些特点导致异常资金流向的发现和涉案资金链路的追踪较为复杂困难。通过转变侦查思路、拓展侦查视角、依托区块链的历史数据和实时交易数据进行重要侦查线索的筛查,变被动追踪为主动发现,能够精准应对涉虚拟货币犯罪手法和工具的更新演变。3郾 3郾 1摇 链上交易数据监测通过布设全节点对历史和当前的区块及交易记录进行资金流监测。全节点能够同步记录和储存区块链上全部交易数据,也就是说,犯罪团伙在区块链上的所有操作都能够被全节点所掌握。针对每一种犯罪类型资金流向的特点,如:基于虚拟货币传销案件中充值地址、归集地址、沉淀地址和提币地址之间的层级交叉关系,从全节点监测的交易数据结果中筛查出“命中冶传销交易特征的地址

48、,可以作为相关犯罪发现的有效线索。3郾 3郾 2摇 智能合约代码检测通过智能合约代码检测发现犯罪高风险协议。智能合约是无许可的开源协议,任何人都可以连接29谢摇 玲等:基于 DeFi詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬詬犯罪类型化分析的资金流侦查策略区块链网络参与代码的修改和部署,这导致 DeFi 平台成为各类虚拟货币犯罪的工具载体。然而 DeFi犯罪仍然遵循传统犯罪的类型化构成特征,智能合约代码反映的各种业务逻辑必须符合犯罪模型才能实现其预设的犯罪目的。对此,通过分析、研判不同犯罪类型的涉案 Dapp 智能合约代码,抓取、解析自定义代码

49、的功能和意义,创建 DeFi 常见犯罪的特征代码模型供机器学习,进而研发用于检测 DeFi 平台中犯罪行为的计算模型6,将有助于审查“去中心化冶项目是否存在犯罪高风险行为。3郾 3郾 3摇 高危代币关联发现通过智能合约的涉案代币循线查找具有较高犯罪风险的其他代币进而获取系列案件线索。在DeFi 犯罪案件中,以低成本发行新的代币是大多数犯罪团伙引诱被害人进入 DeFi 项目的惯用伎俩。一些犯罪团伙在一定时期内以类似的作案手法实施系列犯罪,可能会利用智能合约多次发行不同名称的代币。如果掌握某种涉案代币的犯罪线索,在链上进行代币查询,可以查找到合约创建者累计发布的其他代币,经过查询、比对、分析代币的

50、交易数据,判断其他代币是否也是犯罪团伙用于实施相关虚拟货币犯罪的工具,由此可以拓展出其他的系列 DeFi犯罪案件。4摇 总结与展望DeFi 是运用合约代码取代各种传统金融服务“中介冶的区块链技术。无需许可的开源协议与编程代码的自动化操作令 DeFi 应用实现了高度的“去中心化冶,消除了传统金融业集中系统的固有风险,所有的链上交易更加透明高效且可被追溯和验证。然而,各种 DeFi 金融应用飞速发展的同时,也不可避免地随之滋生诸多隐患。由于缺乏中心化监管和KYC 真实身份确认制度,使得任何人都可以使用“去中心化冶应用程序在 DeFi 空间内进行匿名交易和转移资金,因此,利用 DeFi 从事各类新型