캄보디아 회왕 그룹, 타이더에 의해 2962만 USDT 동결 사건 분석

저자: Bitrace

테더(USDT)는 테더사가 발행한 중앙화된 스테이블코인으로, 블록체인 네트워크에서 스마트 계약을 통해 제약을 받으며, 달러에 가치를 고정합니다. USDT는 다른 암호화폐와 마찬가지로 익명 전송 및 허가 없는 사용 특성을 갖추고 있을 뿐만 아니라, 발행자에게는 막대한 조정 권한을 부여하여 개발자가 특정 주소의 USDT 토큰을 의도적으로 증발하거나 소각할 수 있으며, 특정 주소의 USDT 조작 권한을 제한할 수 있습니다. 이를 업계에서는 "테더 동결"이라고 부릅니다.

이러한 중앙화된 동결 활동은 일반적으로 전 세계 각국 정부 기관의 법 집행 요청이나 일시적인 대규모 암호화 보안 사고에 의해 촉발되며, USDT를 이용한 불법 범죄 활동을 차단하고 손실 자산을 가로막아 피해 확대를 방지하는 것을 목표로 합니다. 그러나 USDT가 현실 금융 시스템에서 채택되는 비율이 높아짐에 따라, 관련된 불법 범죄 사건이 빈발하게 발생하고 있으며, 이로 인해 테더 동결 활동이 점점 더 보편화되고 있습니다. 이는 정상적으로 운영되지만 위험한 암호화 자금을 수령한 web3 기업에 상당한 비즈니스 부정적 영향을 미치고, 심지어 법적 위험을 초래하기도 합니다.

본 문서는 캄보디아의 후이완 그룹이 테더에 의해 2962만 USDT가 동결된 사건을 예로 들어 분석하겠습니다.

후이완 비즈니스 규모 개요

후이완 그룹은 캄보디아에 위치한 대형 금융 그룹으로, 암호화폐 지갑, 결제, 거래 보증, 보험, 암호화폐 거래소 등을 포함한 다양한 사업 부문을 보유하고 있습니다. 그 핵심 결제 및 보증 사업은 대량으로 USDT를 사용하고 있으며, Bitrace의 DeTrust 블록체인 위험 자금 모니터링 관리 플랫폼의 주소 마킹 데이터에 따르면, 후이온페이(HuionePay)와 후이온보증(HuioneGuarantee)의 공식 및 사용자 주소 수는 18만 개를 초과하여, 현지에서 가장 큰 암호화 기업으로, 그 영향력은 동남아시아 및 동아시아 전역으로 확산되고 있습니다.

Bitrace의 모니터링에 따르면, 2022년 6월부터 2024년 6월 사이, 모든 알려진 후이온페이 및 후이온보증 사업 주소의 월간 자금 규모는 계속 상승세를 유지하고 있으며, 2022년 6월 최저 10.3억 USDT에서 2024년 4월 최고 83.9억 USDT에 이르렀으며, 2년간 총 자금 규모는 1023.97억 USDT에 달합니다.

이 기간 동안 후이온 관련 사업 주소는 상당한 양의 준비금을 유지하고 있었습니다. 2022년 6월부터 2024년 6월 사이, 모든 알려진 후이온페이 및 후이온보증 사업 주소의 일일 평균 잔액은 3568만 USDT에 달했습니다.

동남아시아 지역에서 불법 인사들이 암호화폐를 이용한 불법 활동이 빈발하는 지역인 만큼, 후이온의 사업 주소는 어느 정도 영향을 받았습니다. 후이온보증이 현재 사용 중인 핵심 사업 주소 TL8TBp를 예로 들면, Bitrace의 모니터링에 따르면, 2023년 7월 1일부터 2024년 6월 30일 사이, 해당 주소에는 총 21.58억 USDT가 유입되었으며, 그중 도박 고위험 자금은 0.35억으로 비율은 1.62%, 블랙 및 그레이 산업 거래 고위험 자금은 3.39억으로 비율은 15.71%, 자금 세탁 고위험 자금은 0.54억으로 비율은 2.50%, 사기 고위험 자금은 0.02억으로 비율은 0.09%입니다.

후이완 동결 주소 자금 분석

2024년 7월 13일, Tronscan은 트론 네트워크 주소 TNVaKW가 테더사에 의해 제한되었음을 보여주었으며, 그 중 2962만 USDT가 동결되어 전송할 수 없게 되었습니다. Bitrace는 즉시 조사에 착수했습니다.

초기 조사 결과에 따르면, TNVaKW가 생성된 지 불과 5일 만에 총 자금 거래 규모가 10억 USDT를 초과하였으며, 다수의 HuionePayUser로 표시된 트론 주소에서 예금을 수령하였고, 다른 HuionePay 공식 주소 및 HuioneGuarantee 공식 주소에서 자금을 수령하였습니다. 따라서 Bitrace는 해당 주소가 후이온의 공식 사업 주소임을 확인하고, 동결 원인은 대규모 도난 암호화 자금을 수령한 것으로 판단했습니다.

다음 날, 유명한 블록체인 탐정 ZachXBT는 소셜 미디어에서 일본 거래소 DMM의 도난 사건과 관련된 도난 자산이 후이온페이를 통해 크로스 체인 교환 형태로 유입되었다고 추가적으로 밝혔습니다.

ZachXBT가 공개한 주소를 바탕으로 Bitrace는 더 많은 세탁 활동 관련 주소를 발견하고 전체 자금 흐름을 재조명했습니다. 그 중------

\< >165 BTC가 Avalanche Bridge를 통해 Avalanche로 크로스 체인되었습니다.

\< >182 BTC가 ThorChain Bridge를 통해 Ethereum으로 크로스 체인되었습니다.

\< >263 BTC가 Threshold Bridge를 통해 Ethereum으로 크로스 체인되었습니다. 이로 인해 획득한 tBTC, BTC.b 등의 자산은 Avalanche, Ethereum 등에서 3182만 달러에 해당하는 USDT, USDC, DAI 등의 자산으로 교환된 후, 크로스 체인 교환을 통해 TRON 네트워크로 전송되었으며, 최종적으로 약 1400만 달러가 TNVaKW로 유입되었습니다.

DMM은 후이온 주소로 자금이 유입된 공개된 안전 사건 중 하나일 뿐이며, 다른 사건을 조사하는 과정에서 Poloniex 거래소의 도난 사건과 관련된 일부 자금도 후이온과 관련이 있음을 발견했습니다. 2024년 6월 5일부터 7일 사이, 최소 105만 USDT가 후이온페이 사용자 주소로 유입되었으며, TLmktr, TR5F41, TNVaKW를 포함한 여러 후이온페이 공식 사업 주소로 연속적으로 유입되었습니다.

현재 TNVaKW의 동결이 이 두 가지 안전 사건의 자금과 관련이 있다는 직접적인 증거는 없지만, 후이온의 다른 사업 주소가 동결되지 않았다는 점은 적어도 이번 동결 조치가 후이온 그룹 자체를 겨냥한 것이 아님을 나타냅니다.

후이완 결제 압박 분석

앞서 언급한 바와 같이, 모든 알려진 후이온페이 및 후이온보증 사업 주소의 일일 평균 잔액은 3568만 USDT이며, 동결 사건 발생 3개월 전에는 이 수치가 4000만 USDT를 유지하고 있었습니다. 동결된 2963만 USDT는 준비금의 75%에 해당하여, 일정한 인출 압력이 존재합니다.

최신 후이온페이 사업 주소 TQuFSv에 대한 분석을 진행하겠습니다------

해당 주소는 TNVaKW가 동결된 지 2.5시간 후에 활성화되어, 후이온페이 사용자의 충전 및 출금 요구를 처리하기 시작하였으며, TNVaKW로부터 11.48만 USDC의 유산을 수령하였습니다. 2024/7/16 9:34:39 기준으로 거래 규모는 7.33억 USDT에 달했습니다.

시간 단위로 TQuFSv의 수입 및 지출 상황을 통계한 결과, 뚜렷한 자금 이상 현상은 발견되지 않았으며, 현재 해당 주소에는 1288만 USDT의 잔액이 남아 있습니다.

TQuFSv의 거래 상대방을 분석한 결과, 자금 유입량 상위 10개의 상대방은 총 1.47억 USDT를 유입하였으며, 그 중 두 개의 주소가 후이온보증 주소로 표시되어 각각 TQuFSv로 0.73억 USDT와 0.15억 USDT를 전송하였고, 이는 총 유입의 23.64%를 차지합니다. 자금 유출량 상위 10개의 상대방은 총 0.80억 USDT를 TQuFSv로부터 수령하였으며, 그 중 세 개의 주소가 후이온보증 주소로 표시되어 각각 0.14억 USDT, 0.08억 USDT, 0.06억 USDT를 수령하였고, 이는 총 유출의 7.76%를 차지합니다.

이는 후이온페이가 동결 사건 발생 후 대규모 자금 유출을 경험했음을 나타내지만, 공식적으로는 다른 사업 주소에서 준비금을 보충하여 사용자들의 출금 요청을 충족할 수 있었습니다.

KYT의 중요성

후이온과 같은 대규모 암호화폐를 사용하는 기업에게 충분한 자금 흐름은 종종 자금 세탁 범죄 집단의 주목을 받게 됩니다. 전 세계적으로 점점 더 완벽해지는 암호화폐 관련 사건의 법 집행 활동 속에서, 플랫폼 사용자 주소의 자금 위험을 식별할 수 있는 능력이 부족하다면 플랫폼 비즈니스에 영향을 미치고, 심지어 운영자가 조사 위험에 처할 수 있습니다.

따라서, 전문적인 KYT 도구를 사용하여 위험한 암호화 자금을 정확하게 식별하고, 필요한 리스크 관리 절차를 기반으로 플랫폼 위험 사건을 처리하는 방법은 암호화폐 기업이 반드시 고려해야 할 사항이 되었습니다.

Bitrace는 암호화 범죄 산업 체인에 대한 장기적인 추적 연구를 바탕으로 독점적인 데이터 수집 처리 시스템을 구축하였으며, 전형적인 암호화 범죄 형태와 산업 체인에 대한 분석 모델을 개발하였습니다. 머신 러닝 및 패턴 인식 알고리즘을 통해 데이터 태그를 동적으로 확장하고 있으며, 현재 4억 개 이상의 주소 태그 라이브러리를 축적하고 있습니다. 여기에는 실체 태그(거래소, 지갑, OTC, 결제 플랫폼, 채굴 풀, DeFi 등)와 독점 위험 태그(자금 세탁, 도박, 블랙 및 그레이 산업, 사기, 해킹, 제재, 동결, 테러 자금 조달, 마약 거래 등)가 포함됩니다.

또한, DeTrust 블록체인 위험 자금 모니터링 관리 플랫폼은 암호화폐 기업이 중요한 사업 주소에 대해 24시간 거래 모니터링을 수행할 수 있도록 도와주며, 실시간으로 발생하는 각 거래 및 각 상대방에 대해 KYT, KYA를 수행하고, 사용자 정의 전략을 지원하여 거래 위험을 동적으로 평가할 수 있습니다.

규정 준수는 기업 운영의 기본이며, 기업은 적절한 KYT, KYC 절차를 구축함으로써 현지 규제 기관의 요구를 더 잘 충족하고 시장 경쟁 우위를 실현할 수 있습니다.