체인널리시스 보고서: 2023년 암호화폐 자금 세탁 전략이 어떻게 변화할까요?

출처: Chainalysis, Deng Tong, Golden Finance 편집

자금 세탁의 목적은 범죄 자금의 출처를 숨겨 자금에 접근하고 사용할 수 있도록 하는 것입니다. 암호화폐 기반 범죄의 경우 일반적으로 자금을 현금으로 전환할 수 있는 서비스로 옮기는 동시에 자금의 출처를 숨기기 위한 추가 조치를 취하는 경우가 많습니다. 따라서 저희의 암호화폐 자금 세탁에 대한 온체인 분석은 두 가지 서비스 및 온체인 실체 그룹에 초점을 맞춥니다.

• 중개 서비스 및 월렛. 이 범주에는 개인 지갑, 하이브리드, 인스턴트 교환기, 다양한 유형의 탈중앙 금융 프로토콜, 기타 합법 및 불법 서비스가 포함됩니다. 암호화폐 범죄자들은 일반적으로 이러한 서비스를 사용하여 자금을 보유하거나 출처와 현재 주소 사이의 온체인 링크를 마스킹하여 범죄의 출처를 숨깁니다.

• 금융 오프-램프 서비스. 이 범주에는 암호화폐를 법정화폐로 변환하는 모든 서비스가 포함되며, 가장 일반적으로 중앙화된 거래소가 포함됩니다. 하지만 P2P 거래소, 도박 서비스, 암호화폐 ATM도 포함될 수 있습니다. 또한 중앙화된 거래소 인프라를 사용하고 많은 장외거래 플랫폼과 같이 법정화폐 오프쇼어링을 허용하는 중첩된 서비스를 고려하는 것도 중요합니다.

이러한 모든 서비스는 자금 세탁을 해결하는 데 있어 서로 다른 기능과 옵션을 가지고 있다는 점을 기억하는 것이 중요합니다. 예를 들어, 중앙화된 거래소는 의심스럽거나 불법적인 출처의 자금을 동결할 수 있으므로 더 많은 통제권을 가지고 있습니다. 그러나 탈중앙 금융 프로토콜은 자율적으로 운영되고 사용자의 자금을 에스크로에 보관하지 않기 때문에 일반적으로 이러한 옵션이 없습니다. 물론 탈중앙화 프로토콜의 특성상 블록체인 분석가는 일반적으로 탈중앙화 프로토콜을 통해 자금의 흐름을 추적할 수 있지만, 중앙화된 서비스는 불가능합니다. 물론 고의적으로 자금 세탁을 조장하는 불법 서비스는 일반적으로 법 집행 기관이나 기타 법적 절차에 의해서만 중단될 수 있습니다. 토큰 발행자 역시 적극적인 역할을 할 수 있다는 점을 기억하는 것도 중요합니다. 예를 들어, USDT와 USDC와 같은 스테이블코인은 범죄와 관련된 주소에 있는 자산을 동결할 수 있는 기능이 있습니다.

이를 염두에 두고 2023년 암호화폐 자금 세탁의 주요 트렌드를 살펴봅시다.

2023년 암호화폐 자금 세탁: 주요 동향

2023년 불법 주소에서 222억 달러 상당의 암호화폐가 전송되었으며, 이는 2022년 315억 달러에 비해 크게 감소한 수치입니다. 이러한 감소의 일부는 합법 및 불법 암호화폐 거래량이 전반적으로 감소했기 때문일 수 있습니다. 그러나 전체 거래량이 14.9% 감소한 것에 비해 자금 세탁은 29.5%로 훨씬 더 급격히 감소했습니다.

전반적으로, 중앙화된 거래소는 계속해서 불법 주소에서 전송되는 자금의 주요 목적지가 되고 있으며, 그 비율은 다음과 같습니다. 지난 5년 동안 비교적 안정적으로 유지되었습니다. 시간이 지남에 따라 불법 서비스의 역할은 축소된 반면, 탈중앙화 금융 프로토콜로 유입되는 불법 자금의 비중은 증가했습니다. 이는 주로 해당 기간 동안 DeFi의 전반적인 성장에 기인하지만, DeFi의 고유한 투명성 때문에 자금 흐름을 난독화하는 데 적합하지 않은 경우가 많다는 점도 주목할 필요가 있습니다.

자금세탁에 사용된 서비스 유형을 세부적으로 살펴보면 2023년은 2022년과 대체로 유사하지만 불법 서비스 유형으로 전용된 불법 자금의 비율은 약간 감소하고 도박 서비스로 전용된 자금의 비율은 증가한 것으로 나타났습니다. 및 브릿지 계약이 증가했습니다.

이미지 src="https://img.jinse.cn/7179360_watermarknone.png" title="7179360" alt="IegH0rglMIIaTcezyZRiaTntFxQa4uIPpyriYQLV.jpeg">

그러나 특정 유형의 암호화폐 범죄자들이 자금을 세탁하는 방법을 확대하여 살펴보면 실제로 특정 영역이 크게 변화했음을 알 수 있습니다. 가장 주목할 만한 점은 도난당한 자금과 관련된 주소에서 크로스체인 브리지로 송금되는 자금의 양이 크게 증가했다는 점이며, 이는 나중에 더 자세히 살펴보도록 하겠습니다. 또한 랜섬웨어에서 도박 플랫폼으로, 랜섬웨어 지갑에서 브릿지로 전송되는 자금의 양이 크게 증가하는 것을 관찰했습니다.

자금 세탁은 법정화폐 수출 서비스에 집중

범죄자들이 암호화폐를 현금으로 전환할 수 있다는 점에서 법정화폐 수출 서비스가 중요한 이유는 자금 세탁 과정의 정점에 있기 때문입니다. 수천 개의 수출 서비스가 운영되고 있지만, 대부분의 자금 세탁은 소수의 서비스에 집중되어 있습니다. 2023년에는 수출 서비스로 유입되는 전체 불법 자금의 71.7%가 단 5개 서비스에 집중될 것이며, 이는 2022년의 68.7%보다 약간 높은 수치입니다.

이미지 src="https://img.jinse.cn/7179362_watermarknone.png" title="7179362" alt="DxPPgNKtqTJ4pPfMhUv0tni4SZVmGOPkntjA69rw.jpeg">

예금 주소 수준에서 자금 세탁의 집중도를 더 자세히 살펴볼 수도 있습니다. 입금 주소는 개별 사용자와 관련된 중앙 집중식 서비스 주소로, 은행 계좌와 비슷하다고 생각하면 됩니다. 따라서 입금 주소 수준에서 자금 세탁을 조사하면 대부분의 암호화폐 자금 세탁에 가장 직접적인 책임이 있는 개인 또는 중첩된 서비스를 더 잘 이해할 수 있습니다. 이러한 관점에서 2023년 자금세탁은 예금 주소 수준에서는 자금세탁이 약간 더 집중되어 있지만, 서비스 수준에서는 자금세탁이 실제로 덜 집중되어 있음을 알 수 있습니다.

위 차트는 2023년 서비스 입금 주소별 불법 암호화폐 총량을 개별 주소별로 보여줍니다. 각 회색 막대는 보관 버킷의 입금 주소 수를, 각 파란색 막대는 보관 버킷에 입금된 불법 암호화폐의 총액에서 모든 충전 주소를 나타냅니다. 첫 번째 스토리지 버킷을 예로 들면, 2,235,329개의 입금 주소가 5달러에서 100달러 사이의 불법 암호화폐를 수령했으며, 이 모든 입금 주소가 총 6,940만 달러 상당의 불법 암호화폐를 수령한 것을 알 수 있습니다.

2023년에는 109개의 거래소 입금 주소가 각각 1천만 달러 이상의 불법 암호화폐를 받았으며, 총 34억 달러의 불법 암호화폐를 받았습니다. 이는 여전히 높은 집중도를 나타내지만, 2022년에는 40개의 주소만이 1천만 달러 이상의 불법 암호화폐를 받았으며 총 20억 달러에 조금 못 미쳤습니다. 2022년에는 100만 달러 이상의 불법 암호화폐를 받은 입금 주소가 542개, 총 63억 달러에 불과했으며, 이는 그 해 중앙화된 거래소가 받은 불법 금액의 절반 이상을 차지했습니다. 2023년에는 1,425개의 예치 주소가 100만 달러 이상의 불법 암호화폐를 받았으며, 이는 총 67억 달러로 그 해 거래소가 받은 불법 가치의 46%에 불과했습니다.

그러나 범죄 유형에 따라 자금 세탁 집중도가 달라진다는 점도 주목할 필요가 있습니다. 예를 들어, CSAM 공급업체와 랜섬웨어 운영자는 집중도가 높은데, CSAM 공급업체의 경우 단 7개 주소가 전체 거래 금액의 51.0%를 차지했고 랜섬웨어의 경우 단 9개 주소가 50.3%를 차지했습니다. 반면, 스캠과 다크웹 마켓은 훨씬 덜 집중되어 있습니다. 집중도가 높은 형태의 암호화폐 범죄는 자금 세탁 활동이 상대적으로 중단 불가능한 서비스에 의존하기 때문에 법 집행에 더 취약할 수 있습니다.

전반적으로, 암호화폐 범죄자들은 법 집행 기관과 거래소 규정 준수 팀으로부터 자신의 흔적을 더 잘 숨기기 위해 더 많은 서비스 또는 입금 주소로 자금 세탁 활동을 다각화하고 있을 수 있습니다. 또한 의심스러운 활동으로 인해 하나의 입금 주소가 동결될 경우 그 영향을 완화하기 위해 더 많은 주소로 활동을 분산하는 전략일 수도 있습니다. 결과적으로 자금 세탁 인프라를 표적으로 삼아 암호화폐 범죄에 대처하려면 활동이 더욱 탈중앙화됨에 따라 과거보다 온체인 활동의 상호 연결성에 대한 더 많은 주의와 이해가 필요할 수 있습니다.

자금 세탁 전술의 변화: 가장 정교한 암호화폐 범죄자들은 브릿지와 하이브리드를 활용

대부분의 암호화폐 자금 세탁은 비교적 단순하며, 악의적 행위자는 거래소에 직접 자금을 송금합니다. 지금은 사라진 전화번호 스푸핑 서비스인 iSpoof는 법 집행 기관에 의해 폐쇄되기 전까지 1억 파운드 이상의 사기 행위를 조장하여 수백만 개의 비트코인을 중앙화된 거래소 입금 주소로 직접 송금한 것으로 아래 Chainalysis Reactor 그래픽에서 확인할 수 있습니다.

이미지 src="https://img.jinse.cn/7179368_watermarknone.png" title="7179368" alt="0zgFQziVtlww1v9FbcCTifw4FTqWgNGln7RAJFWb.jpeg">

• 신바드가 금지 및 지정 후 OFAC 지정 이후;

• 크로스 체인 브릿지를 통한 체인 점프.

아래를 살펴봅시다.

새 믹서: YoMix가 신바드를 인수

전체적으로, 2023년부터 불법 주소에서 로 전송된 금액은 2022년 10억 달러에서 2023년 5억 4,430만 달러로 감소했습니다.

이것은 2023년 11월 블렌더 Sinbad의 제재 및 폐쇄와 같은 집행 및 규제 노력의 영향이 큰 부분으로 작용한 것으로 보입니다. 하지만 라자루스 그룹과 같은 정교한 사이버 범죄 조직은 하이브리드의 사용에 적응해 왔습니다. 작년 암호화폐 범죄 보고서에서 보고한 바와 같이, 신바드는 북한 관련 해커들이 가장 선호하는 믹서기가 되었으며, 이는 토네이도 캐시가 제재를 받은 직후인 2022년으로, 이전에는 이러한 정교한 사이버 범죄자들이 선호하던 방식이었습니다. 신바드가 사라지면서 비트코인 기반 믹서인 요믹스가 그 자리를 대신하게 되었습니다. 아래 리액터 그래프에서 그 예를 확인할 수 있는데, 북한 해킹과 관련된 지갑이 이전에 신밧드로부터 자금을 받았던 YoMix로부터 자금을 받은 것을 볼 수 있습니다.

이미지 src="https://img.jinse.cn/7179374_watermarknone.png" title="7179374" alt="fZOL1LCT56YYyBI5c0RrN6hSBQZDfGO42TlXP7k8.jpeg">

전반적으로 YoMix는 2023년 한 해 동안 유입이 5배 이상 증가하며 엄청난 성장을 보였습니다.

이미지 src="https://img.jinse.cn/7179379_watermarknone.png" title="7179379" alt="z5C2zWnwoAwKlfhXRjdeL8YmKGaJqOv3W9uN81Wr.jpeg">

체인널리시스 데이터에 따르면 YoMix 유입의 약 3분의 1은 암호화폐 해킹과 관련된 지갑에서 발생합니다. YoMix의 성장과 라자루스 그룹의 인기는 기존 인기 서비스가 폐쇄될 때 기존 플레이어가 적응하고 대체 하이브리드 서비스를 찾아내는 능력을 보여주는 대표적인 예입니다.

크로스체인 브리지 사용하기

크로스체인 브리지를 통해 사용자는 한 블록체인에서 다른 블록체인으로 자금을 이체할 수 있습니다. 일반적으로 누구나 이러한 스마트 콘트랙트에 접근할 수 있지만, 이론적으로 브릿지를 통해 블랙리스팅이 가능할 수 있습니다. 이 모든 활동은 체인에서 일어나며, 이는 브릿지로 전송된 자금을 보관하는 중앙화된 주체가 없기 때문에 블록체인 분석가가 브릿지를 통해 자금을 추적할 수 있다는 것을 의미합니다.

앞서 언급했듯이 2023년에는 자금 세탁, 특히 암호화폐 도난을 위한 불법 행위자들의 브릿지 프로토콜 사용이 크게 증가할 것으로 예상됩니다.

2023년 브리징 프로토콜은 불법 주소로부터 7억 4380만 달러의 암호화폐를 받은 반면, 2022년에는 3억 1220만 달러에 불과했습니다.

북한과 관련된 해커들이 자금 세탁을 위해 크로스체인 브리지를 가장 많이 사용하며, 아래 리액터 그래프에서 이러한 활동의 예를 확인할 수 있습니다.

이미지 src="https://img.jinse.cn/7179381_watermarknone.png" title="7179381" alt="5dlhJaDJ26GZ1XDqr6Pv9HHQIvw5LbNMxeec9pyx.jpeg">

이 사례에서는 2022년 하모니 해킹과 관련된 자금이 2023년 5월에 비트코인 블록체인에서 아발란체 블록체인으로 대중적인 브릿지 프로토콜로 전송되었습니다. 그런 다음 이 자금은 스테이블코인으로 거래된 후 이번에는 다른 프로토콜을 사용하여 다시 아발란치 블록체인에서 트론 블록체인으로 연결되었습니다.

교묘한 해커들은 종종 자금 세탁 전략을 조정합니다

라자루스 그룹과 같은 암호화폐 범죄자들의 자금 세탁 전술의 변화는 가장 정교한 불법 행위자들이 항상 자금 세탁 전술을 조정하고 새로운 유형의 암호화폐 서비스를 활용한다는 사실을 상기시켜 줍니다. 이러한 새로운 자금 세탁 방법을 연구하고 이와 관련된 온체인 패턴을 숙지함으로써 법 집행 및 규정 준수 팀의 효율성을 높일 수 있습니다.