要理解这条管道,得先认识它的主角:汇旺(Huione)。

2025年,美国财政部金融犯罪执法网络(FinCEN)认定,总部位于柬埔寨的汇旺集团(Huione Group)是一家“主要洗钱关切机构”(primary money laundering concern)。1 FinCEN的调查认定,汇旺在2021年8月至2025年1月间,至少为非法所得洗钱40亿美元。1

汇旺不是一家公司,而是一组业务的集合。它包括:负责支付的汇旺支付(Huione Pay PLC)、负责虚拟资产的汇旺加密(Huione Crypto),以及一个提供非法商品和服务的在线市场——汇旺担保(Haowang Guarantee)。1 FinCEN指出,汇旺是朝鲜(DPRK)网络盗窃集团,以及东南亚跨国犯罪组织“杀猪盘”诈骗洗钱的关键节点;在金边,客户可以用现金兑换与美元挂钩的加密货币USDT,尽管柬埔寨已经禁止了加密货币。1

把这几点放在一起,汇旺的角色就清楚了:它是这条供应链的“清算银行”,只不过它清算的是赃款,用的货币是USDT,服务的客户从东南亚的诈骗园区一直延伸到朝鲜的黑客。这个细节——同一个平台既为东南亚的杀猪盘洗钱、又为朝鲜的国家级黑客洗钱——揭示了一个重要事实:洗钱基础设施是“通用”的。它不在乎赃款来自骗局还是来自盗窃,只要能收取手续费、能完成清洗,它就照单全收。这种通用性,让它成为整个地下经济的公共设施,也让它的危害远超任何单一诈骗集团。12

汇旺最具创新性、也最值得拆解的,是它的“担保市场”模式——汇旺担保。

汇旺担保运行在Telegram的中文聊天群里。它的运作方式,模仿的是正规电商平台:成千上万的商户在这里出售数据、技术和洗钱服务,面向数以百万计的客户。2 平台扮演可信中介的角色——它审核商户,提供托管(escrow)服务,用机器人监控交易是否履约,并持有每个商户缴纳的“担保金”,一旦商户没有兑现承诺,担保金就用来赔偿客户。3

这是一个意味深长的细节:一个非法市场,竟然搭建了一套和淘宝、亚马逊如出一辙的信任机制——商户评级、第三方托管、履约担保、纠纷赔付。它把“在黑市做生意最怕被骗”这个痛点,用平台化的方式解决了。换句话说,汇旺担保把洗钱和黑产交易,从一种高风险的私下勾兑,升级成了一种有规则、有保障、可规模化的“正规生意”。这种平台化,是这门生意得以指数级扩张的金融前提——它降低了每一笔黑产交易的信任成本,就像电商平台降低了普通网购的信任成本一样。

所有支付都用Tether的USDT稳定币,主要在TRON(波场)区块链上完成。3 这样,价值可以点对点转移,绕开银行施加的大部分反洗钱审查。

但USDT有一个对洗钱者而言致命的特性:它不是真正去中心化的货币,而是由Tether这家公司中心化发行、并保留着控制权的代币。USDT的智能合约里写有 addBlackList(加入黑名单)这样的函数,只有Tether的管理地址能调用;一旦某个地址被列入黑名单,合约在执行转账时会检查黑名单状态并直接拒绝——这意味着停在被冻结地址里的USDT,会被永久锁死,无法转出,直到Tether把它解禁。23 换句话说,Tether手里握着一个开关,理论上可以让任何一笔USDT瞬间动弹不得。执法机构正是利用这个开关:FBI、特勤局、司法部通过既定渠道向Tether提出冻结请求,由其合规团队评估后执行,而不需要受害者个人去申请。23 据Tether自己披露,自2017年以来它已冻结超过25亿美元的USDT,配合的执法案件累计逾2300起。24

正是这个开关,解释了汇旺接下来的动作:它甚至推出了自己发行的、与美元挂钩的稳定币USDH,动机正是为了规避像USDT这样会被冻结的风险。4 当USDT的发行方Tether开始配合执法、冻结涉案地址,汇旺的回应不是收手,而是自己造一个不受外部控制的稳定币——这是一场关于“谁能冻结你的钱”的军备竞赛。

这个市场的体量,大到改写了“非法在线市场”的历史纪录。

据链上分析公司Elliptic的研究,汇旺担保累计撮合的交易额至少达到310亿美元——这个数字在不同口径下有差异,Telegram在关停时提到的规模约为350亿美元,另有分析给出约270亿美元的估算,应当注意口径不一。35 无论取哪个数字,它都远远超过了历史上著名的非法市场——丝绸之路(Silk Road,约2.16亿美元)和AlphaBay(约10亿美元)。3 这使它成为有史以来最大的非法在线市场。

这个对比尤其值得玩味。丝绸之路和AlphaBay是暗网时代的标志性黑市,藏在Tor网络的深处,需要专门的技术才能访问。而汇旺担保运行在Telegram上——一个数以亿计的普通人每天都在用的即时通讯软件。它不需要躲进暗网,因为它的体量和“正规”外观,已经让它敢于在半公开的平台上运营。这本身就说明了这门生意的胆量和它所处环境的宽松。

把视野再放大一点。UNODC估计,在2021到2024年间,一家位于湄公地区的虚拟资产服务商(VASP)处理了490亿至640亿美元的加密货币交易,是整个亚太地区同类中规模最大的。6 这些数字共同说明:加密货币不是这门生意的边缘工具,而是它的金融主动脉。没有这条主动脉,园区骗到的钱无法规模化地清洗和转移。监管机构正是看到了这一点,才把切断这条主动脉当作打击的核心目标。18

这条管道的顶端,连着东道国的政治结构,这一点不容回避,但也只作事实陈述。

FinCEN点名的汇旺集团管理者之一,是Hun To——他是柬埔寨现任首相洪玛奈(Hun Manet)的表亲,也是前首相洪森(Hun Sen)的侄子。1 这是FinCEN文件中陈述的事实关系,本书不就此评价柬埔寨政府的动机或政策。Kharon等合规研究机构在分析这家被切断的网络时,也把这层政治关联列为理解汇旺为何能长期运营的关键背景之一。12

但这个事实本身,与前几章的发现构成了呼应。在缅北,是家族通过议员、警察的身份获得政治庇护;在缅泰边境,是边防军通过军政府的支持获得地盘;而在柬埔寨,这条金融管道的顶层关系,触及了执政家族的亲属网络。三个地方,三种形态,指向同一个结构性特征:这门生意要做到规模化,离不开与当地政治权力的某种连接。这正是美国和平研究所所说的“收编当地精英”在金融环节的体现。20

然而,这条看似无懈可击的管道,有一个致命的软肋——它记在一本所有人都能看的账本上。

这正是加密货币的两面性。一方面,USDT让赃款绕开了银行的反洗钱审查;另一方面,区块链是公开的,每一笔USDT转账都被永久记录在链上。这给了链上分析公司和执法机构一个传统金融时代难以想象的抓手。

要理解这个抓手有多锋利,得先看链上取证大致是怎么做的。它的起点是一种叫“地址聚类”(address clustering)的技术。区块链上的每个地址表面上是匿名的,但当多个地址反复出现在同一笔交易的“输入”里,分析方就能推断它们由同一个主体控制——这被称为“共同输入归属”启发式(common-input-ownership heuristic)。21 顺着这条逻辑,原本一盘散沙的地址,会被归并成一个个“实体”,一个洗钱网络的轮廓就此浮现。洗钱方当然知道这一点,于是发展出反制手段,最典型的是“剥离链”(peeling chain):把一大笔赃款放进一个地址,每次只“剥下”很小一笔转走,主干余额则继续往下传,如此反复,制造出一长串令人眼花的交易,试图把追踪者甩掉。21 更进一步的,是利用“跨链桥”把资产从一条链(如比特币)换到另一条链(如以太坊、Solana),在链与链的接缝处制造断点。针对这些,Elliptic、Chainalysis、TRM Labs这类公司开发了跨链追踪能力,试图在桥的两端把同一笔资金重新接上,并最终锁定它“上岸”的那个交易所地址——那往往是整条链上唯一需要实名、因而最脆弱的一环。22

正是凭借这套方法,Elliptic才得以宣称:它对汇旺担保和另一个市场新币担保(Xinbi Guarantee)的分析,“直接导致”了这些市场被关停;2025年5月,FinCEN在认定汇旺为“主要洗钱关切机构”时,引用了Elliptic的研究。7 同样的可追溯性,也是美方能够没收陈志那约127,271枚比特币的技术前提(见第二章)。据Elliptic的分析,这批比特币是在2021到2022年间通过比特币挖矿获得的,自2023年起就基本处于休眠状态——长期不动,反而让它们更易被锁定、被一网打尽。19 在第五章里,我们看到星链让“断网”这种打击失效;但在这里,加密货币的链上透明,反而让“追踪资金”这种打击变得空前有力。技术对这门生意是把双刃剑:它让钱更难拦截,却也让钱更难藏匿。链上分析公司Chainalysis把这种动态描述为执法与犯罪基础设施之间的持续博弈——每一次成功的追踪,都会逼迫对方升级其规避手段。11

打击落下后,这条管道的反应,再次印证了“挤气球”的逻辑。

2025年,针对汇旺的打击密集而连续:3月,汇旺支付的牌照被柬埔寨政府吊销,到7月底已退出商业登记;5月FinCEN提出依《美国爱国者法案》第311条切断汇旺的动议,10月15日最终规则落地,10月16日刊于联邦公报;7月,Telegram关停了汇旺担保这个被它称为约350亿美元规模的市场。18155

这里值得把第311条这件武器的机制说清楚,因为它的杀伤力常被低估。FinCEN对汇旺动用的是所谓“第五项特别措施”(special measure five):它禁止受美国监管的金融机构为汇旺集团开立或维持“代理账户”(correspondent account),并要求这些机构采取合理措施,不为涉及汇旺的交易做清算。8 代理账户是一家境外银行接入美元体系的接口;切断它,等于关上了汇旺通往美元清算网络的大门。25 在一个全球贸易仍以美元为主要结算货币的世界里,被切断美元通道,意味着这家机构几乎无法再与任何重视美国合规风险的对手方做正经生意——这是一种不动用军队、不跨境抓人,却能让一家金融机构“社会性死亡”的手段。这套组合拳——吊销牌照、311条切断美元通道、平台关停——动用了从柬埔寨到美国再到Telegram的多重力量,不可谓不重。18

链上追踪与稳定币冻结结合起来,还能直接把赃款追回,而不只是切断通道。一个标志性的案例是:2025年6月18日,美国司法部(哥伦比亚特区联邦检察官办公室)提起民事没收,目标是约2.25亿美元的USDT——这被称为美国史上针对加密骗局的最大一笔没收。26 这笔钱被指来自杀猪盘诈骗。取证过程颇能说明链上分析的精细程度:调查锁定了某交易所上的144个账户,发现它们使用越南的实名认证文件、IP地址却集中在菲律宾、连实名认证的照片都拍摄于同一个物理场景——这些“共用一套作案痕迹”的细节,把表面独立的账户串成了一张网。26 锁定之后,执法方请Tether冻结相关钱包,再由Tether“销毁并重发”(burn-and-reissue)等值代币给美国政府,从而完成没收。27 这个流程揭示了一件事:在USDT这种中心化稳定币上,所谓“没收赃币”,技术上其实是发行方配合执法、把旧币作废、给政府开一笔新币——这是传统现金时代不可能有的操作。

打击是有效的:汇旺担保的交易量从2024年的峰值下跌了约50%。9 但生意并没有消失,而是迁移了。在汇旺担保被关停后的几天内,另一个叫“土豆”(Tudou)的市场,日流入量暴增了70倍,迅速接近了汇旺担保此前的水平。9 被制裁的汇旺自身则遭遇挤兑、业务停摆,客户在监管落地前后抢着把资金转出,平台甚至冻结了部分客户资金。1013 但它留下的市场空白,立刻被竞争者填补。

这是一个清醒的提醒:你可以关掉一个平台,却关不掉对这种平台的需求。只要园区还在生产赃款,只要USDT还能点对点流动,就总会有新的“汇旺”冒出来。有研究指出,这类“担保市场”利用稳定币所形成的洗钱生态,已经不是某一个平台的问题,而是一种可以被反复复制的模式。14 “币”这根支柱,比“武力”那根更难拔除——因为它不依赖任何一块特定的领土。

钱的故事讲到这里,已经触及了一个更大的背景:为什么这门生意能在缅甸的土地上扎根,又为什么连中国都难以单方面将它铲除。答案的一部分,藏在一座被包装成“智慧新城”的园区——亚太新城,和一条横穿缅甸的管道里。1617 下一章,我们去看这个地缘的底座。

参考文献

  1. FinCEN, “FinCEN Finds Cambodia-Based Huione Group to be of Primary Money Laundering Concern,” 2025(结构、40亿美元洗钱、服务DPRK与杀猪盘、金边USDT兑换、Hun To、311条进程)。链接 →

  2. CACI DarkBlue, “Unraveling the Huione Guarantee Ecosystem”(Telegram担保市场运作机制)。链接 →

  3. “Telegram’s $35B Crack Down on Crypto Scams Fails to Quell Fraud as More Platforms Pop Up,” CoinDesk, 2025-07-30(撮合规模、USDT/TRON、与丝绸之路/AlphaBay对比、托管担保机制)。链接 →

  4. Elliptic, “Huione: the company behind the largest ever illicit online marketplace has launched a stablecoin”(USDH稳定币规避冻结)。链接 →

  5. “How Haowang Used Telegram to Run a $27B Scam Empire for 5 Years,” Medium (Scofield O. Idehen)(撮合规模口径之一,约270亿美元,作为参照需与Elliptic等核证)。链接 →

  6. UNODC, “Inflection Point,” 2025-04(湄公区单一VASP处理490-640亿美元加密交易)。链接 →

  7. Elliptic, “The U.S. Treasury Finds Huione Group to be of Primary Money Laundering Concern Following Elliptic Research”(Elliptic分析“直接导致”市场关停)。链接 →

  8. Federal Register, “Imposition of Special Measure Regarding Huione Group, as a Foreign Financial Institution of Primary Money Laundering Concern” (final rule), 2025-10-16。链接 →

  9. Elliptic, “Telegram dark markets expand to fill the gap left by Huione Guarantee”(汇旺担保量跌50%,土豆日流入70倍增)。链接 →

  10. “Sanctioned Cambodian Lender Huione, Linked to Illicit Crypto, Faces Bank Run,” CoinDesk, 2025-12-02。链接 →

  11. Chainalysis, “Huione Group Shutdown and the Future of Crypto Scam Infrastructure,” 2025。链接 →

  12. Kharon, “The Cyberscam-Tied Cambodian Network That Treasury Just Cut Off from the US Financial System,” 2025。链接 →

  13. ICIJ, “Cambodian payment processor freezes customer funds before regulators shut it down,” 2025。链接 →

  14. RUSI, “Multi-Billion Dollar Guarantee Marketplaces Exploit Stablecoins for Scams,” 2025。链接 →

  15. Federal Register, “Special Measure Regarding Huione Group” (proposed rule), 2025-05-05。链接 →

  16. U.S. Department of the Treasury, press release sb0278, 2025-10-14(与陈志案同步切断汇旺)。链接 →

  17. TRM Labs, “Historic U.S.–U.K. Operation… Record $15 Billion Bitcoin Seizure,” 2025-10(链上可追溯性支撑没收)。链接 →

  18. “FinCEN Bars Huione Group from Financial System,” Money Laundering Watch, 2025。链接 →

  19. Elliptic, “Prince Group targeted with $15B crypto seizure and sanctions for pig butchering operations,” 2025-10。链接 →

  20. USIP Senior Study Group Final Report, “Transnational Crime in Southeast Asia,” 2024-05(“收编当地精英”框架)。链接 →

  21. “Transaction Clustering in Crypto Address Analysis,” Nansen(地址聚类与“共同输入归属”启发式、剥离链等链上取证基础方法)。链接 →

  22. Chainalysis, “How We Built Chainalysis’ Robust Knowledge Graph”(实体归属、跨链桥追踪与上岸点识别的方法学说明)。链接 →

  23. “Can Tether Freeze Stolen USDT? How Stablecoin Blacklists Work,” Crypto Trace Labs, 2026(USDT 合约 addBlackList/isBlackListed 函数、transfer 回退、永久冻结机制、执法请求渠道)。链接 →

  24. Tether, “Tether Supports Freeze of More Than $344M in USDT in Coordination with OFAC and U.S. Law Enforcement,” 2026(发行方一手披露:累计冻结规模与配合案件数)。链接 →

  25. Federal Register, final rule 2025-19571, “Imposition of Special Measure Regarding Huione Group” (special measure five:禁止代理账户、切断美元清算), 2025-10-16。链接 →

  26. “Justice Dept. Files to Seize Record $225 Million Tied to ‘Pig Butchering’ Crypto Scams,” Decrypt, 2025-06-18(USAO-DC 民事没收约$2.25亿USDT;144个交易所账户共享越南KYC/菲律宾IP/同场景照片的取证细节)。链接 →

  27. Tether, “Tether Acknowledged by DOJ for Support in $225M Seizure Linked to Pig Butchering Fraud,” 2025(冻结—销毁—重发 burn-and-reissue 机制完成没收)。链接 →