jakiro
撰文:0xjs@比特鏈視界
螳螂捕蟬,黃雀在後。
東南亞最大電詐集團最終被美國政府「收割」了。
北京時間10月14日晚,美國司法部指控總部位於柬埔寨的跨國詐騙集團「太子集團」創始人兼董事長陳志(Chen Zhi)及其他共犯涉嫌電信詐騙和洗錢。若這兩項罪名成立,美國政府將依法沒收其因該罪行直接或間接獲取的所有財產或其收益,包括但不限127271枚比特幣(約150億美元)。
這大約12.7萬枚BTC是太子集團欺詐和洗錢計劃的收益和工具,之前存儲在陳志持有其私鑰的非託管加密貨幣錢包中, 目前被美國政府控制 。
加密社區比較關注的是,美國政府現在控制的12.7萬枚比特幣,是不是和2020年曾經的比特幣第6大礦池Lubian礦池被盜的12.7萬枚BTC有關?
比特鏈視界查閱美國司法部起訴書,整理了關鍵信息,如下:
一、25個比特幣錢包 12.7萬枚BTC
美國司法部文件顯示, 這12.7萬枚BTC曾經存儲在25個由陳志控制的非託管錢包的加密地址中 。而且 早在約至2020年,陳志已通過巨額詐騙並洗錢積累了如此之多BTC。
陳志親自留存每個錢包地址的記錄,以及與私鑰相關的助記詞。 此25個地址具體如下表所示:
二、兩個關鍵日期
2020年12月29日,和2024年6月22日。
追蹤上表地址發現,以第一個地址3Pja5FPK1wFB9LkWWJai8XYL1qjbqqT9Ye為例, 2020年12月29日,此地址的20,452枚比特幣被分批多筆轉移。
它是被分拆為幾十到幾百枚BTC不等的形式轉移至多個BTC地址:
這些地址(以上圖第一個地址bc1qut988zlc9uhmczj4yz3d8c4xn8qdh2g7rymdzy為例,105.7枚)的 BTC在2024年6月22日再次被轉移到新地址(34x7umj1KZRH94F1nvyF6MtXQoLgQ3swRd),之後再未轉移過。
最後一個地址339khCuymVi4FKbW9hCHkH3CQwdopXiTvA,其也遵循同樣的模式。 只是2020年12月29日是一次性將1500枚BTC轉移至新地址。
三、美國政府是怎麼控制Lubian礦池「被盜」的12.7萬枚BTC的?
上一節的BTC地址在Arkham上均標記為Lubian hacker。
而 2 020年12月29日正是Lubian礦池12.7萬枚BTC被盜之日 。
據Arkham研究,LuBian礦池曾是2020年全球最大比特幣礦池之一,2020年5月其算力一度佔比特幣全網總算力的近 6%。2020年12月29日其遭遇黑客攻擊。
怎麼判斷Lubian礦池是被盜呢?Arkham研究發現每個黑客地址都收到了帶有 OP_RETURN 消息的交易,其中LuBian請求黑客歸還被盜資金。為發送這些消息,LuBian發起了1516筆交易,共消耗了約1.4枚比特幣。
參閱比特鏈視界此前報導,「 BTC驚天被盜案曝光:12萬枚比特幣145億美元 鏈上消息揭露真相 」。
而據美國政府的公告,太子集團的12.7萬枚比特幣目前由美國政府控制。 這意味著,最遲在2024年6月22日,美國政府就已經控制了此12.7萬枚BTC。
鏈上情報機構也錯誤得把美國政府標記為Lubian黑客。
那麼,太子集團創始人陳志曾經控制的12.7萬枚BTC是怎麼到美國政府手中的?
我們可以大膽猜測,可能性包括但不限於以下4種:
1、2020年12月29日之前美國政府拿到陳志的助記詞,2020年12月29日轉走Lubian礦池BTC,2024年6月22日美國政府整理BTC;
2、陳志2020年12月29日自編自導「Lubian礦池被盜」案,其「被盜」後新地址助記詞被美國政府拿到,2024年6月20日BTC被美國政府轉走。那麼新問題是,美國政府怎麼拿到的助記詞?
3、陳志周圍內部人攻擊Lubian礦池,此人後續被美國政府捕獲,2024年6月22日比特幣被美國政府控制,並拔其蘿蔔帶起泥;
4、 真黑客 攻擊Lubian礦池,黑客被美國捕獲,同3。
案情更多細節,需要美國政府的進一步信息披露。
四、「太子集團案」相關個人與實體
太子集團高管組織圖
根據美國司法部起訴書,相關個人與實體情況如下:
a. 陳志:擁有中國、柬埔寨、萬那杜、聖露西亞及賽普勒斯國籍,曾居住於柬埔寨、新加坡、中國臺灣地區及英國。
b. 共謀者 1:擁有柬埔寨、萬那杜、賽普勒斯及聖基茨國籍,曾居住於柬埔寨、新加坡及英國。
c. 共謀者 2:擁有柬埔寨及賽普勒斯國籍,曾居住於新加坡及美國。
d. 共謀者 3:擁有中國及柬埔寨國籍,曾居住於美國及其他地區。
e. 共謀者 4:柬埔寨公民及居民。
f. 共謀者 5:中國香港公民及居民。
g. 共謀者 6:中國香港公民及居民。
h. 共謀者 7:新加坡公民及居民。
i. 交易平臺 1(Exchange-1):總部位於中國的加密貨幣交易平臺。
j. 交易平臺 2(Exchange-2):總部位於塞席爾的加密貨幣交易平臺。
k. 交易平臺 3(Exchange-3):總部位於美國的加密貨幣交易平臺。
l. 交易平臺 4(Exchange-4):總部位於美國的加密貨幣交易平臺。
m. 在線交易平臺 1(Trading Platform-1):一家在線交易平臺。
n. 金融機構 1(Financial Institution-1):總部位於美國的金融機構,其存款由聯邦存款保險公司(FDIC)承保。
o. 太子集團(Prince Group):柬埔寨註冊的控股公司,在全球 30 多個國家運營超過 100 家商業實體,陳志為創始人及董事長。
p. 雲基地產中介有限公司(「雲基公司」,Yun Ki Estate Intermediary Co., Ltd.):太子集團子公司,主營房地產開發業務。約 2020 年至今,共謀者 1 擔任該公司董事長。
q. 傲世環球投資集團(「傲世環球」,Awesome Global Investment Group):太子集團子公司,主營娛樂、酒店及房地產開發業務。約 2017 年至 2022 年,共謀者 2 擔任該公司董事長。
r. 太子房地產集團(Prince Real Estate Group)及太子環宇房地產集團(Prince Huan Yu Real Estate Group):太子集團子公司,均主營房地產開發業務。約 2018 年至至少 2024 年,共謀者 3 擔任太子環宇房地產集團董事長。
s. 太子銀行(Prince Bank):太子集團子公司,主營金融服務業務。約 2015 年至至少 2023 年,共謀者 4 擔任該銀行副董事長。
t. 寮國沃普數據科技獨資公司(「Warp Data」,Warp Data Technology Lao Sole Co., Ltd.):在寮國註冊的實體,運營比特幣挖礦設施。
u. Lubian:中國比特幣挖礦機構,在亞洲(包括中國及伊朗)多地設有比特幣挖礦設施。
v. 未來科技投資公司(「FTI」,Future Technology Investment):在開曼群島註冊的實體,共謀者 6 擔任該公司董事及銀行帳戶籤字人。
w. Amber Hill 投資有限公司(「Amber Hill 」,Amber Hill Ventures Limited):在英屬維京群島註冊的實體,共謀者 6 擔任該公司董事及銀行帳戶籤字人。
x. 橫向橋全球有限公司(「LBG」,Lateral Bridge Global Limited):在英屬維京群島註冊的實體,與 FTI 及Amber Hill 有關聯的共謀者 7 擔任該公司董事。
y. 興勝有限公司(「興勝公司」,Hing Seng Limited):在中國香港註冊的實體。
太子集團犯罪網絡
據悉,東南亞詐騙集團從70多個國家誘騙不知情的求職者,迫使他們與主動參與犯罪的人一起,針對全球幾乎所有司法管轄區實施大規模複雜詐騙。
僅在柬埔寨、寮國、緬甸三國,據信從事網絡犯罪的勞動力已超過35萬人 ,有估算顯示東南亞詐騙集團的年收入介於 500 億至 750 億美元之間。這使得跨國詐騙可能成為整個東南亞湄公河次區域最主要的經濟活動 —— 其規模甚至相當於主要宿主國 GDP 總和的近一半。其中,柬埔寨詐騙產業利潤尤為豐厚,估算其非法年收入介於125億至190億美元之間。
約自2015年至今,陳志及太子集團高管實施加密貨幣投資詐騙及其他欺詐方案,在全球範圍內詐騙受害者,侵吞數十億美元資金。為實施上述方案,陳志及其共謀者指使太子集團在柬埔寨各地建立並運營 「強迫勞動詐騙園區」,迫使園區內人員大規模實施詐騙活動。陳志及其共謀者利用在多國的政治影響力保護其犯罪活動,並向外國公職人員行賄以規避執法部門的打擊。隨後,他們通過專業洗錢機構及太子集團自身的 「表面合法」 商業網絡(包括在線賭博及加密貨幣挖礦業務),清洗詐騙所得。
五、電詐集團如何實施詐騙
美國司法部的起訴書信息量很大,詳細披露了東南亞電詐集團是如何實施詐騙的。
陳志是太子集團的創始人及董事長。根據該集團官網,其在柬埔寨的 「核心業務部門」 包括 「太子房地產集團、太子環宇房地產集團、太子銀行及傲世環球投資集團」。這些部門及其他太子集團下屬實體涉足 「房地產開發、銀行、金融、旅遊、物流、科技、餐飲及生活方式」 等多個公開披露的業務領域。
太子集團的最大利潤來源於陳志主導、其核心高管及同夥(包括共謀者1至共謀者7等)協助實施的非法欺詐活動 ,主要有:
1、詐騙園區
太子集團在上述網絡詐騙產業中佔據主導地位。在該非法產業中,數千名移民工人前往柬埔寨等地尋找工作機會,卻被販賣至詐騙園區,在暴力威脅下實施加密貨幣投資詐騙及其他欺詐活動。這些詐騙園區內設有大型宿舍,四周環繞高牆和鐵絲網,實際為 「暴力強迫勞動營」。
在陳志的指使下, 太子集團在柬埔寨各地建立並運營至少10個詐騙園區,專門實施加密貨幣投資詐騙及其他欺詐方案 ,其中包括:(i)位於柬埔寨西哈努克市、與太子集團 「金貝酒店賭場」 相關聯的 「金貝園區」(Jinbei Compound);(ii)位於柬埔寨芝雷託姆、名為 「金福科技園區」(又稱 「金雲園區」,Jinyun Compound)的園區;(iii)位於柬埔寨磅士卑省、名為 「芒果園區」(又稱 「金宏園區」,Jinhong Park)的園區。
陳志直接參與詐騙園區的管理,並留存每個園區的相關記錄,包括明確標註 「殺豬」盤的詐騙利潤追蹤記錄。陳志保存的一份帳簿詳細記錄了太子集團金宏園區運營的各類詐騙方案,以及園區內各樓棟、樓層負責的具體方案 ,其中包括 「越南訂單詐騙」「俄羅斯訂單詐騙」「歐美精聊」(指欺詐性對話)、「越南精聊」「中國精聊」「臺灣精聊」 及 「中國刷單」(指在線零售詐騙)。
陳志及其共謀者設計詐騙園區以實現利潤最大化,並親自確保園區具備 「觸達儘可能多受害者」 的必要基礎設施。例如,約 2018 年,共謀者 1 從非法在線市場獲取數百萬個手機號碼及帳戶密碼;約2019年,共謀者3協助監督金福園區的建設。陳志本人還留存描述並展示 「手機農場」(phone farms)的文件 ——「手機農場」 即用於實施加密貨幣投資詐騙及其他網絡犯罪的自動化呼叫中心,文件詳細記錄了兩個 「手機農場」 設施的建成情況:每個設施配備 1250 部手機,可控制某熱門社交媒體平臺的76000個帳戶。
此外,太子集團內部文件還包含 「如何與受害者建立信任」 的指導說明,以及 「如何批量註冊社交媒體帳戶」 的操作指南(包括 「使用『不太漂亮』的女性頭像,以確保帳戶看起來真實」 的明確指示)。
2022年夏季,共謀者2吹噓稱, 2018年太子集團通過欺詐性殺豬盤及相關非法活動,日均獲利超過3000萬美元。
2、通過行賄與暴力推進犯罪方案
陳志及其共謀者利用政治影響力,在多個國家保護詐騙活動免受執法部門打擊。其中,太子集團高管通過行賄獲取 「執法部門突襲詐騙園區」 的提前預警信息;此外,陳志指派共謀者 2 負責太子集團的 「風控」 職能,監督相關調查進展,並通過與外國執法官員進行 「腐敗交易」 維護太子集團利益。
陳志留存向公職人員行賄的帳簿,其中一本記錄了 「向太子集團關聯人員報銷數億美元行賄款及奢侈品採購費用」 的情況。 例如,帳簿顯示,2019 年共謀者2為某外國政府高級官員購買了一艘價值超過300萬美元的遊艇;陳志還為另一名外國政府高級官員購買了價值數百萬美元的豪華手錶。2020年,該官員協助陳志獲取外交護照,陳志於2023年4月使用該護照前往美國。
作為 「風控」 職責的一部分,共謀者2 擔任太子集團的 「執行者」,通過腐敗及暴力手段維持太子集團在詐騙行業的主導地位。例如,約 2024 年 7 月,共謀者 3 就 「太子集團關聯人員竊取集團非法利潤」 一事與陳志溝通,稱 「一名財務人員捲款潛逃並試圖藏匿」,並告知陳志 「正在採取措施追回贓款」,承諾 「無論如何都會徹查,不知老闆(指陳志)和集團是否有可分享的建議或方法…… mafia(黑手黨)和政府方面均已準備好採取行動,可殺雞儆猴。老闆,集團是否有相關經驗或資源?」 陳志隨後回覆:「此事你先與共謀者 2 溝通,先掌握所有信息再決定如何處理,查明此人目前所在地。」
在陳志的指使下,太子集團關聯人員頻繁使用暴力和脅迫手段達成 「商業目的」,推進犯罪方案。例如,一名太子集團關聯人員曾與陳志商議 「毆打在園區『惹事』的人員」,陳志批准了毆打計劃,但指示 「不要打死」,並補充:「必須看住他們,別讓跑了。」 另例如,陳志曾與共謀者 4 溝通 「兩名失蹤人員被警方在金福園區發現」 一事,共謀者 4 向陳志保證會處理此事,但建議陳志動用其 「警方關係」。
(3)布魯克林網絡
太子集團的投資詐騙方案針對全球受害者(包括美國受害者),並藉助為其工作的本地網絡實施。其中,一個名為 「布魯克林網絡」(Brooklyn Network)的網絡在紐約東區運作,協助太子集團金貝園區的詐騙者實施投資詐騙:詐騙者(「介紹人」,Introducers)通過各類即時通訊應用聯繫陌生受害者,謊稱 「通過投資加密貨幣、外匯等市場獲利」,誘騙受害者投資,並將其介紹給所謂的 「帳戶經理」(Account Managers)處理交易。帳戶經理隨後向受害者提供 「應將投資資金轉入的銀行帳戶信息」,並在包括 「在線交易平臺 1」 在內的移動在線交易平臺上為受害者創建虛假投資帳戶及投資組合。
然而,帳戶經理提供給受害者的銀行帳戶並非投資帳戶,而是由布魯克林網絡控制、以紐約布魯克林區及皇后區空殼公司名義開設的帳戶(開戶機構位於布魯克林區、皇后區及紐約其他地區)。受害者資金並未按承諾用於投資,而是被侵吞,並通過這些帳戶及其他帳戶洗錢。
同時,帳戶經理為受害者創建的 「投資帳戶」 被人為操控,看似 「投資價值持續增長」,實則並無增長。起初,受害者投資組合的 「表面價值」 會上升,讓受害者誤以為投資獲利,進而誘使其繼續投資;此外,當受害者首次請求提取小額投資資金時,帳戶經理會予以配合。但當受害者要求從交易平臺提取大額資金時,會遭遇重重阻礙 —— 例如,帳戶經理以 「需支付交易費、稅費或法律費用」 為由拒絕提現。最終,帳戶經理與介紹人不再回復受害者信息,受害者無法提取其按帳戶經理指示轉入的大部分資金。
布魯克林網絡最終通過一系列帳戶將資金轉回太子集團金貝園區及其他地區的詐騙者手中,經進一步清洗後流向太子集團及其高管。洗錢手段包括:將詐騙所得通過空殼公司銀行帳戶轉移、兌換為 USDT 後轉入複雜的非託管虛擬貨幣地址網絡,或提取現金以切斷審計痕跡(現金隨後用於購買加密貨幣,再以相同方式轉移)。
約 2021 年 5 月至 2022 年 8 月期間,布魯克林網絡協助太子集團從紐約東區及美國其他地區的 250 餘名受害者處欺詐性轉移並清洗了超過 1800 萬美元。
陳志還親自監控接收詐騙所得(包括來自美國受害者的資金)的虛擬貨幣地址。例如,陳志留存的記錄顯示,約 2021 年 6 月,有 10 萬枚 USDT 轉入以 「0x77」 開頭的虛擬貨幣地址(下稱 「0x77 地址」);同年夏季,該地址還直接收到可追溯至加利福尼亞州受害者(「受害者 1」)的資金。具體而言,2021 年 7 月至 8 月期間,受害者 1 從某熱門加密貨幣交易所帳戶向以 「0x1e」 開頭的地址(下稱 「0x1e 地址」)轉入超過 40 萬美元的加密貨幣;該筆資金隨後經以 「0x83」 開頭的地址(下稱 「0x83 地址」)轉入以 「0x34」 開頭的地址(下稱 「0x34 地址」);2021 年 7 月至 9 月期間,0x34 地址向陳志監控的 0x77 地址轉入超過 35 萬美元的 USDT。
六、12.7萬枚BTC是怎麼洗出來的
陳志及其共謀者通過複雜的洗錢網絡清洗太子集團的非法利潤(包括加密貨幣),手段包括:藉助專業洗錢機構,利用太子集團自身業務(包括在線賭博、加密貨幣挖礦)清洗資金;隨後將資金用於奢侈旅行、娛樂消費,以及購買豪華手錶、遊艇、私人飛機、度假別墅、高端收藏品及稀有藝術品(包括通過紐約某拍賣行購買的一幅畢卡索畫作)。
專業洗錢機構: 有時稱為 「洗錢屋」「錢莊」 或 「水房」,其接收太子集團詐騙活動從受害者處侵吞的詐騙所得,再將資金返還給太子集團。常見操作方式為:以比特幣或 USDT、USDC 等穩定幣形式收取詐騙所得,兌換為法定貨幣後,用現金購買 「乾淨」 的比特幣或其他加密貨幣。陳志直接協調此類洗錢活動,並與共謀者討論其使用 「非法錢莊」「地下錢莊」 的情況;陳志還留存明確提及 「比特幣清洗」(BTC washing)及 「比特幣洗錢人員」(BTC money laundering people)的文件。
「空殼公司」 洗錢: 陳志及其共謀者還通過 「空殼公司」 洗錢(此類公司的唯一用途即為洗錢),這些公司由陳志、共謀者 1、5、6、7 及其他太子集團關聯人員控制,包括 FTI、Amber Hill、LBG 等數十家公司。其中,FTI 用於清洗非法資金(包括通過下文所述的太子集團挖礦機構沃普數據洗錢)。在 2019 年 1 月金融機構 1 為 FTI 開設帳戶的開戶記錄中,共謀者 6 稱 FTI 的業務活動包括 「以自有資金進行挖礦及數字資產買賣」,卻虛假申報 FTI 的收入來源為 「個人財富」;同時,共謀者 6 在同一開戶文件中嚴重低估 FTI 的月度交易規模,申報 「預計月存提款各約 200 萬美元」,但帳戶對帳單顯示,2019 年 2 月 FTI 在金融機構 1 的帳戶實際存款約 2800 萬美元、提款約 2700 萬美元。Amber Hill的用途類似,同樣在金融機構 1 開設帳戶:2019 年 3 月的開戶記錄中,共謀者 6 稱Amber Hill的業務活動為 「自營交易及投資」,虛假申報收入來源為 「個人財富」,並同樣嚴重低估月度交易規模(申報預計月存提款各約 200 萬美元),而帳戶對帳單顯示,2020 年 2 月安珀山在金融機構 1 的帳戶實際存款約 2250 萬美元、提款約 2180 萬美元。
太子集團業務部門洗錢: 陳志及其共謀者還通過太子集團的功能性業務部門洗錢,尤其是其龐大的在線賭博業務 —— 即便柬埔寨約 2020 年禁止在線賭博後,該業務仍在多個國家運營。為規避執法打擊,太子集團通過 「鏡像網站」(在不同域名及伺服器上複製網站內容)運營賭博業務。陳志直接監管太子集團的在線賭博業務,並與他人討論 「通過該業務清洗加密貨幣詐騙所得」;共謀者 1 負責管理在線賭博業務的薪資發放,留存 2018 年至 2024 年期間的員工薪資帳簿,其中明確標註 「員工工資 —— 請用乾淨資金支付」。
比特幣挖礦洗錢: 此外, 陳志及其共謀者還通過 「用非法所得資助大規模加密貨幣挖礦業務」 洗錢, 涉及寮國的沃普數據及其美國德克薩斯州子公司、中國的Lubian, 這些機構產出大量與犯罪所得無關的 「乾淨比特幣」。 Lubian礦池在運營期間曾一度成為全球第六大比特幣挖礦機構。 陳志向他人炫耀太子集團的挖礦業務 「利潤豐厚,因為沒有成本」,畢竟這些業務的運營資金均來自從受害者處竊取的資金。 例如,2022 年 11 月至 2023 年 3 月期間,沃普數據從空殼公司興勝公司收到超過6000萬美元;興勝公司還用於向傲世環球某高管的配偶支付款項,以及購買價值數百萬美元的奢侈品(包括一塊勞力士手錶及上文提及的畢卡索畫作)。陳志及其共謀者還系統性地將 「非法資金」 與 「新挖出的加密貨幣」 在挖礦機構關聯的錢包中混合,以掩蓋資金來源。
多層洗錢: 陳志及其共謀者常採用 「多層洗錢手段」,進一步掩蓋陳志及太子集團利潤的非法來源。在陳志的指使下,太子集團關聯人員(包括擔任陳志私人財富經理的共謀者 5、共謀者 6 等)使用複雜的加密貨幣洗錢技術(包括 「分散轉帳」(spraying)和 「集中轉帳」(funneling)):將大量加密貨幣反覆拆分至數十個錢包,再重新集中到少數幾個錢包中,無任何商業目的,僅為掩蓋資金來源(具體流程見下文示例)。部分資金最終存儲在交易平臺 1、交易平臺 2 等加密貨幣交易所的錢包中,或兌換為法定貨幣存入傳統銀行帳戶;其他資金(包括通過太子集團挖礦機構清洗的資金)則存儲在陳志個人控制的非託管加密貨幣錢包中。
