链上资金追踪实战：一张依赖中心化交易所的洗钱网络是如何被还原的

背景：制裁名单背后的链上线索

2026 年 5 月，国际执法机构公开了一批涉嫌为非法资金跨境转移提供服务的以太坊地址。这批地址的指控行为模式为：在境外收取现金 → 换购加密货币 → 通过链上转账完成资金跨境 → 最终在交易所变现。

本文不涉及案件本身的定性，而是以这批公开地址为起点，演示链上资金图谱的还原过程，以及这类网络的结构性特征。

一、6 个地址，两种角色

此次公开的制裁地址共 6 个，分属两个角色：

• 角色 A（5 个地址）：负责资金归集与跨境转移，链上结构相对复杂
• 角色 B（1 个地址）：负责境内现金环节的加密货币操作，链上结构简单直接

两者分工明确，但从链上路径看，都没有使用混币器或复杂跨链桥，资金流向中心化交易所的路径相当清晰。

二、角色 A：5 个地址构成的资金网络

使用 MetaSleuth 对角色 A 的 5 个地址建图后，结构如下：

• 其中 3 个地址是某头部交易所的入金地址（充值接收地址）
• 另外 2 个地址是上述 3 个入金地址的上游中转地址
• 资金从多个交易所流入，经中转地址过一次手，再打入入金地址完成归集

图 1：角色 A 5 个被制裁地址的资金网络（左侧多个交易所入金，经地址中转后又归入头部交易所）

仅这 3 个入金地址，统计到的资金规模已超过 400 万美元（流入约 417 万美元、流出约 430 万美元），MetaSleuth 风险评级为 Critical。

图 2：3 个入金地址汇总数据

名单之外的延伸节点

值得注意的是，上游 2 个中转地址除了向被制裁的入金地址供血外，还连接到了另外 2 个目前尚未出现在制裁名单中的入金地址。从资金路径和行为模式判断，这 2 个地址极有可能属于同一网络。

图 3：上游地址连出的 2 个未被制裁入金地址

这正是链上分析相对于制裁名单的核心价值：名单是已知节点的快照，而资金流是连续的——顺着链上路径往下追，可以把名单尚未覆盖的关联节点补全出来。

三、角色 B：一个高度集中于单一平台的地址

角色 B 的链上画像更简洁：该地址本身就是某中心化交易所的入金地址，资金来源和去向都高度集中于同一平台，单笔规模集中在 2～3 万美元区间。

图 4：角色 B 被制裁地址资金往来

这意味着：这一环节的链上操作几乎完全发生在一家有完整 KYC 体系的中心化交易所内部，对应一个具有真实身份信息的账户。资金路径短、对手方集中，是合规筛查最容易捕获的模式之一。

四、这张图谱的结构性启示

1. 高风险资金高度依赖中心化交易所入金通道

无论是角色 A 的 3 个入金地址，还是角色 B 的 1 个入金地址，资金的上链和变现都绕不开交易所的入金环节——而不是依靠混币器或复杂跨链桥来规避追踪。这说明：交易所入金口仍然是此类异常资金流入链上的关键节点，也是风控介入效率最高的位置。

2. 制裁名单是起点，不是全貌

本案中上游地址延伸出的 2 个未被制裁入金地址，清晰地说明了这一点。完整的网络边界，需要以名单地址为种子、沿资金流做完整图谱还原才能看到。

3. 分工清晰，但链上路径都不复杂

两个角色各司其职——一个负责归集与转移，一个负责现金端操作——但链上路径都相当直接。对于交易所和支付机构而言，这意味着风险识别窗口是存在的：在资金进入平台之前，完全有机会通过地址风险评分发现问题。

五、对 VASP 的合规含义

这类案例对虚拟资产服务商（VASP）最直接的提示是：高风险资金可能在平台不知情的情况下完成入金。如果缺乏链上风险识别机制，平台可能在充值或 OTC 结算环节接收到来自制裁地址的资产，进而触发资产冻结、监管调查或牌照风险。

越来越多的合规团队开始将链上风险筛查前置到入金之前，对地址做实时风险评分，判断其是否与制裁实体、异常资金路径或高风险网络存在关联。这种前置筛查，正在从合规加分项演变为基础能力要求。

本文分析基于 MetaSleuth 对公开制裁地址的链上数据还原，相关地址的链上动向将持续追踪更新。