虚拟货币交易真的匿名吗？公安是如何追踪资金流向并锁定嫌疑人的？

 

“ 这个项目确实是我组织策划的，我想知道你们是怎么找到背后的操盘手的？按我的理解，你们是不可能找到我的，你们靠的是什么 ？”

以上是莘县公安局办理“12.04”虚拟币传销案所披露的办案细节，犯罪嫌疑人传销头目张某在审讯过程中，非常不解的询问办案民警这个问题。

 

邵律师在日常办理涉黑灰产及虚拟货币类刑事案件的时候，很多当事人也会有这样的疑问，比如会问我：“邵律师，当时做这个事情的时候我人在国外，我的上家也在国外，我们平时也是用TG（飞机软件）沟通的，阅后即焚。 虚拟货币交易不是匿名的吗？咋公安就能抓到我呢 ？”

 

所以今天就来聊聊，虚拟货币类刑事案件当中， 公安是如何追踪虚拟货币的交易过程并锁定犯罪嫌疑人身份的 ？

本文作者：邵诗巍律师

1

 

 

 

1  虚拟货币交易

真的匿名吗？

虚拟货币作为区块链技术的应用之一，有着去中心化、保护隐私、降低交易成本、高回报率等优点，但同时，由于其一定程度上的匿名性，往往又会被一些不法分子所利用，使虚拟货币进行洗钱、灰黑产相关交易的工具。

但虚拟货币其实并非完全匿名的，因为交易过程在链上是公开的，只是地址不直接关联身份。另外，由于虚拟货币交易所需要遵守了解你的客户 (KYC) 和反洗钱 (AML) 规则，这也使得执法部门更容易追踪区块链上的交易。

由于虚拟货币背后有一个公开的、不可篡改的账本。 所以虚拟货币交易取证对于公安机关来说，其实很友好。

可能在早些年，各地公安机关对于涉币类案件缺乏了解，立案侦查的案件数量不多，很多被害人也维权无门。

但随着办案单位对于虚拟货币的认识不断加深，对于虚拟货币流向进行链上数据追踪以及数据研判的能力其实也在不断加强。 简单介绍几种常见手段：

1. 链上地址关联分析

通过区块链浏览器（如Tronscan、欧科云链）分析交易图谱，能够识别地址间的共同输入（Common Input） 和资金归集模式。例如，多个地址频繁向同一目标地址转账，可推断为同一实体控制。

根据邵律师代理涉币类案件的经验来看，虚拟货币 传销犯罪案件、开设赌场罪案件 当中，往往会使用该分析手段。

在上文提到的聊城“12.04”虚拟币传销案中，警方发现传销平台通过TokenPocket钱包生成多个地址归集资金，最终将资金流向主地址，并通过交易所提现。通过分析这些地址的交易频率和资金规模，锁定主谋人员。

在邵律师代理的多起开设赌场类案件当中，赌场与支付结算人员的收益结算过程，同样是以归集地址为突破口，锁定涉案人员身份。

2. 交易所KYC调证

目前，大部分主流的虚拟货币交易所（如：币安Binance、欧易OKX、火币HTX）以及数字钱包平台（如：ImToken）都会在官网上公开配合执法的政策规则以及配合内地公安执法的专门通道。

执法人员可以以邮件的方式向交易所发送协查函，要求调取嫌疑人的注册信息、人脸照片、理财信息、充提币交易，各币种钱包地、法币交易、币币交易、合约交易、登录IP，MAC等设备信息。

另外，交易所也会应执法部门的要求，冻结嫌疑人账户内的虚拟货币，冻结期限一年，但到期前执法机构可以申请续冻。

3. 手续费（Gas费）、交易哈希追踪

每一笔虚拟货币的成功交易，都需要支付Gas fee（TRX / ETH等）。那么在追查犯罪嫌疑人收取赃款的钱包地址时，可以追溯嫌疑人从交易所购买Gas 费的记录。例如警方分析涉案地址的Gas费来源，发现是通过币安账户购买TRX支付手续费，从而锁定交易所账户。

虚拟货币交易中，交易哈希可以确保交易的唯一性和不可篡改性，每笔交易产生的哈希值都是独一无二的。通过交易哈希可以看出交易详情‌，如发送方地址、接收方地址、交易金额、交易费等‌。

办案人员将Gas费交易记录、交易哈希提供给虚拟货币交易所，即可获得嫌疑人的KYC信息（如护照、身份证、邮箱、手机号等）。

4. 设备指纹与IP关联

办案人员通过交易所或钱包的登录IP、设备ID（如手机IMEI、MAC地址）关联多个地址的操作行为，从而锁定目标。

如在麻省理工黑客兄弟案中，FBI通过分析嫌疑人使用的VPN日志和设备指纹，发现其多次登录同一交易所账户，最终定位物理位置[i]。

5. 跨链兑换与混币破解

很多嫌疑人以为交易跨链或者使用混币器，就可以更好的隐匿身份，但并非如此。

跨链追踪 ：通过跨链桥（如比特币→以太坊）的交易哈希，追踪资金转移路径。

混币分析 ：使用链上指纹技术（如交易时间、金额模式）识别混币器（如Tornado Cash）的输入输出地址。

如美国司法部在追回科洛尼尔管道赎金时，通过分析黑客的“链式洗钱”路径，最终截获一串以“dh77gls”字符结尾的关键地址的私钥[ii]。

6、国际合作与稳定币冻结

对USDT等稳定币，公安可要求发行方（如Tether公司）冻结涉案地址资金 。也可以进行国际合作。

例如湖北荆门警方侦破的一起涉案流水达 4000 亿的跨境网络赌博案（全国「虚拟货币第一案」），据报道，“因该平台全部用虚拟货币结算，公安机关就与该虚拟货币发行机构进行对接，将相关涉案虚拟货币账户冻结”。

再例如在四川内江5500万以太坊盗窃案中，据报道，“为了侦破这起案件，四川警方与新加坡、美国、荷兰开展了14次国际合作，在实战中提炼出1套分析区块链地址的技战法，调取境外虚拟货币交易所数据70余次，溯源区块链地址20000余个”[iii]。

7、从最终的出金流向倒查

嫌疑人所持有的虚拟货币，在大部分国家，是不能直接用于日常消费的，所以黑灰产交易总有一个出口，也就是将虚拟货币兑换为法币。那帮助兑换法币的人，就成了追查上游犯罪人员身份的突破口。

8、异常交易触发风控

很多人的银行卡被冻结的原因就在于，由于频繁的快进快出交易触发了银行的风控系统。而在Web3的世界里，也是同理。

一般情况下，普通炒币人员是会把资金放在平台上买卖，而不是经常性的进行大额资金的高频率快进快出。所以，在对于币流追踪事实，如果发现地址存在资金的快进快出，则会被视为可疑地址。

不法分子会误以为：虚拟货币交易是匿名的、所以办案人员无法锁定自己的真实身份；虚拟货币交易所都在国外，国内公安肯定难以调查取证；通过跨链、混币器就无法追踪了等等。因此，会肆无忌惮的从事黑灰产交易。然而， 这种 侥幸心理最终只会让他们陷入更深的困境。

但有些当事人在被抓后，会和我探讨自己有多么后悔，但他们后悔的并非是触犯了法律，而是 后悔当初没有将交易链条设计的更加隐秘。

面对这样的当事人，有时我也不知道该说啥，也只能一声叹息作为回应。

[i] 12秒窃走2500万美元加密货币，麻省理工毕业的黑客两兄弟被捕  http://note.f5.pm/go-240378.html

[ii] 美国司法部截获黑客勒索的63.7枚比特币，比特币单日跌幅超10% | 界面新闻  https://m.jiemian.com/article/6209923.html

[iii] 四川内江5500万区块链资产盗窃案告破！ https://xinjiapo.news/news/215601/

诶冻结的虚拟或  能否强制执行

深挖细查，莘县公安局成功侦破全市首例虚拟币传销大案  https://mp.weixin.qq.com/s/KduRfmY5hk8r6xLO5t_epQ