分享至

全球网络安全联盟洞察：TRON 链上 3.44 亿 USDT 遭 OFAC 冻结，稳定币监管风险再受关注

2026-05-27 16:41:08

全球网络安全联盟发布报告称，TRON 链上 3.44 亿 USDT 因涉及伊朗央行已被 Tether 配合 OFAC 冻结，稳定币监管与链上风控风险再度引发行业关注。

1. 事件背景

2026 年 4 月 23 日，Tether 宣布配合美国财政部与执法机关冻结两个 TRON 网络上的 USDT 地址，冻结金额合计约 3.44 亿 USDT。次日，美国财政部外国资产管控办公室（OFAC）将这两个地址加入伊朗央行 Bank Markazi 相关 SDN 制裁信息中，并标注其与 IRGC-Qods Force、Hizballah 等制裁对象存在关联。两个被冻结地址分别为：

地址：TNiq9AXBp9EjUqhDhrwrfvAA8U3GUQZH81；资产：TRON/TRC20-USDT；冻结金额：约 212,922,653 USDT；当前公开定性：OFAC 标记为伊朗央行相关地址；
地址：TTIDLWE6fZK8okMJv6ijg42yrH6W2pjSr9；资产：TRON/TRC20-USDT；冻结金额：约 131,288,800 USDT；当前公开定性：OFAC 标记为伊朗央行相关地址；

此次事件之所以被美国财政部外国资产管控办公室（OFAC）定性为“伊朗政府相关地址”，主要依据并不是单一链上交易，而是多重判断：
第一，OFAC 直接将两个地址写入伊朗央行相关制裁条目；
第二，美国财政部外国资产管控办公室（OFAC）及链上分析机构认为，这些地址与伊朗交易所、伊朗央行相关钱包及中间地址存在交易路径；
第三，两个地址长期大额接收 USDT、低频转出、长期沉睡，行为特征更接近机构级储备或资金池，而不是普通用户钱包。

但需要明确的是，OFAC 的制裁定性属于官方法律与情报判断，公开链上数据本身并不能直接证明私钥由伊朗政府或伊朗央行直接掌握。换言之，当前能够确认的是“美国财政部外国资产管控办公室（OFAC）认定其与伊朗央行相关”，但不能仅凭公开链上数据得出“这两个地址一定是伊朗政府直接控制的钱包”这一结论。

2. 详细分析

2.1. 两个被冻结地址的链上特征

从链上数据看，两个地址均呈现出明显的“大额流入、低比例流出、长期沉淀”特征。其中， TNiq9...ZH81 是余额更大的地址，历史总收入约 2.286 亿 USDT，总转出约 1573 万 USDT，转出比例约 6.9%； TTIDL...Sr9 的冻结余额约 1.313 亿 USDT，并在 2026 年 4 月 23 日 12:02 UTC 被加入 USDT 黑名单。

这类行为不像典型高频洗钱中转地址，也不像交易所热钱包。更合理的理解是：二者可能处于某个资金网络中的“储备层”或“归集层”。TRM Labs 对两个地址的合并分析也认为，二者累计收到约 3.70 亿美元，约 1000 笔交易，大部分资金在 2023 年底前完成积累，之后长期沉睡，更像“储备型钱包”而非日常运营钱包。

2.2. 两个被冻结地址之间的关系

两个地址并非孤立存在。公开分析中提到， TTIDL...Sr9 曾向 TNiq9...ZH81 转出约 860 万 USDT。这一笔交易说明两个地址之间存在直接资金关联，支持它们属于同一资金结构或同一运营网络的判断。

但这并不等同于“二者一定由伊朗央行直接控制”。更准确的说法是：这笔 860 万 USDT 转账证明二者之间存在资金协调关系，但不能证明现实世界中的私钥控制人，也不能排除第三方经纪商、OTC、托管方或清算商代为持有或操作的可能。

2.3. 上游往来地址分析

根据公开图谱和前期分析，几个较重要的上游地址包括：

地址：TD2BiYkihphjrK35YQy1QGxGotSo86vVnk；角色判断：主要上游 Funder；与被冻结地址关系：约 29M/30M 级别资金来源；结论：可能是上游资金池、经纪商或托管地址；
地址：TZ3xL5jeBXyo8jPDvh2veBtJZCJozHq81t；角色判断：主要上游 Funder；与被冻结地址关系：约 16.5M 级别资金来源；结论：与 Funder-001 构成同批注资路径；
地址：TYkdG6k1987mkfU5ZzYf9ZK3xi989jNMPJ；角色判断：次级 Funder；与被冻结地址关系：金额较小；结论：具有辅助证明共同资金结构的意义；
地址：TGzGetNjyDNv4ByMaLwPqG3U8tskNwQsbL；角色判断：次级 Funder；与被冻结地址关系：金额较小；结论：更像边缘或测试型上游地址；
地址：TCXfhTDMuS6pbfCEoACPcBf2EnnhMAAEWh；角色判断：关键中转 Hub；与被冻结地址关系：约 2.746 亿 USDT 综合流量；结论：更像清算/中转节点；

其中，Funder-001 和 Funder-002 的意义最大。它们不是散户碎片化入账，而是较大金额、较集中地进入同一资金结构，说明被冻结地址可能连接着机构级资金来源、OTC 经纪商、多地址托管或清算网络。Funder-001、Funder-002 不能简单写成“伊朗政府地址”，更严谨的说法是“疑似上游大额资金来源地址，可能代表伊朗相关资金网络的供应端或经纪商端”。

此外，关键 Hub TCXfh...AEWh 更值得关注。该地址被描述为大额资金通道节点，处理约 2.746 亿 USDT 综合流量，余额接近 0，表现为“经过但不长期持有”的中转特征。这说明整个资金结构可能并不是简单的“伊朗央行冷钱包”，而更像：

上游资金来源/经纪商 → 归集钱包 → 操作钱包 → 清算 Hub → 交易所、跨链桥、DeFi 或其他结算路径

这一结构更符合“国家相关资金+第三方金融基础设施+交易所边缘账户”的混合网络，而不是单alc政府钱包模型。

同时据美国财政部官方网站数据显示，SDN 清单中明确标注的伊朗相关 TRON 加密货币地址共计 9 个。以此为基础，本次分析构建了包含 ZEDCEX 交易所等 7 个已知实体在内的制裁地址参照库，并对本次受制裁双地址的 45 个有效交易对手方（TARGET 关联 17 个，TNiq9 关联 28 个）展开了严格比对：

在针对直接交易对手方的“第一跳”核查中，数据显示除 TARGET 与 TNiq9 之间的内部资金划转外，双方均未与参照库中的任何伊朗地址发生直接交互。
在旨在排查隐蔽关联的“第二跳”（Hop-2）溯源测试中，调查范围进一步覆盖至所有直接对手方的上下游交易。链上追踪结果表明，所有涉及的上游资金枢纽（如 TCXfh...）及下游去向，在二跳范围内均未发现与已知伊朗制裁地址存在资金往来。

2.4. 当前不能明确证明为伊朗政府直接控制地址

综合来看，目前公开信息能够支持以下判断：

第一，两个地址已被 OFAC 官方标记为伊朗央行相关地址；
第二，两个地址链上行为具有大额储备型资金池特征；
第三，两个地址与多个上游 Funder、关键中转 Hub、交易所边缘地址存在资金联系；
第四，两个地址之间存在 860 万 USDT 的直接转账。

但公开信息仍存在明显不足：没有披露完整侦查材料，没有公开证明私钥控制人，没有证明上游 Funder 地址就是伊朗政府地址，也没有排除第三方经纪商、OTC、托管方、交易所边缘账户或混合清算网络参与的可能。

这两个地址的行为不像典型 IRGC 钱包；它们与 Bitfinex、HTX、Huione 等交易基础设施存在混合暴露，并且曾被提及与 scam-related flow 有重叠。这些因素都削弱了“这是一个干净、封闭、只属于伊朗政府储备地址”的简单叙意。

因此，本报告建议采用更谨慎的定性：

这两个地址可以被描述为“OFAC 认定的伊朗央行相关地址”或“疑似伊朗相关资金网络中的大额储备/归集地址”，但不宜直接表述为“已确认由伊朗政府直接控制的钱包地址”。

3. 影响分析

3.1. 对稳定币的影响

此次事件再次说明，USDT 等中心化稳定币并不是完全抗审查资产。虽然 USDT 运行在公链上，本发行方仍可在合约层面对特定地址执行黑名单和冻结操作。因此，USDT 更准确地说是一种“链上美元凭证+发行方合规控制权”的组合，而不是完全不可冻结的链上现金。这会带来双重影响：一方面，合规机构和监管部门会更认可稳定币的可监管性；另一方面，强调去中心化和抗审查的用户会重新评估中心化稳定币的冻结风险。

3.2. 对公链生态的影响

两个被冻结地址均位于 TRON 网络，说明 TRON 作为低手续费、高流动性的 USDT 转账网络，已经成为链上监管和执法重点关注对象。未来监管不会只关注公链本身，而会更多关注稳定币发行方、交易所、OTC、跨链桥、钱包服务商、链上数据服务商和法币提现与充值通道。这意味着，公链虽然在技术上保持中立，但其上的资产、入口、出口和服务商会受到现实监管和地缘政治影响。