全球網路安全聯盟洞察：TRON鏈上3.44億USDT遭OFAC凍結，穩定幣監管風險再受關注

閱讀本文需 15 分鐘

TRON 鏈 3.44 億 USDT 遭 OFAC 凍結調查分析

本文來源：全球網絡安全聯盟

1. 事件背景

2026 年 4 月 23 日，Tether 宣布配合美國財政部與執法機關凍結兩個 TRON 網絡上的 USDT 地址，凍結金額合計約 3.44 億 USDT。次日，美國財政部外國資產控制辦公室（OFAC）將這兩個地址加入伊朗央行 Bank Markazi 相關 SDN 制裁資訊中，並標註其與 IRGC-Qods Force、Hizballah 等制裁對象存在關聯。兩個被凍結的地址分別為：

•地址：TNiq9AXBp9EjUqhDhrwrfvAA8U3GUQZH81；鏈：TRON/TRC20-USDT；凍結金額：約 212,922,653 USDT；當前公開定性：OFAC 標記為伊朗央行相關地址；

•地址：TTiDLWE6fZK8okMJv6ijg42yrH6W2pjSr9；鏈：TRON/TRC20-USDT；凍結金額：約 131,288,800 USDT；當前公開定性：OFAC 標記為伊朗央行相關地址；

此次事件之所以被美國財政部外國資產控制辦公室（OFAC）定性為「伊朗政府相關地址」，主要依據並不是單一鏈上交易，而是多重判斷：

第一，OFAC 直接將兩個地址寫入伊朗央行相關制裁條目；

第二，美國財政部外國資產控制辦公室（OFAC）及鏈上分析機構認為，這些地址與伊朗交易所、伊朗央行相關錢包及中間地址存在交易路徑；

第三，兩個地址長期大額接收 USDT、低頻轉出、長期沉睡，行為特徵更接近機構級儲備或資金池，而不是普通用戶錢包。

但需要明確的是，OFAC 的制裁定性屬於官方法律與情報判斷，公開鏈上資料本身並不能直接證明私鑰由伊朗政府或伊朗央行直接掌握。換言之，當前能夠確認的是「美國財政部外國資產控制辦公室（OFAC）認定其與伊朗央行相關」，但不能僅憑公開鏈上數據得出「這兩個地址一定是伊朗政府直接控制的錢包」這一結論。

2. 詳細分析

2.1 兩個被凍結地址的鏈上特徵

從鏈上數據看，兩個地址均呈現出明顯的「大額流入、低比例流出、長期沉澱」特徵。其中，TNiq9...ZH81 是餘額更大的地址，歷史總收入約 2.286 億 USDT，總轉出約 1573 萬 USDT，轉出比例約 6.9%；TTiDL...Sr9 的凍結餘額約 1.313 億 USDT，並在 2026 年 4 月 23 日 12:02 UTC 被加入 USDT 黑名單。

這類行為不像典型高頻洗錢中轉地址，也不像交易所熱錢包。更合理的理解是：二者可能處在某個資金網絡中的「儲備層」或「歸集層」。TRM Labs 對兩個地址的合併分析也認為，二者累計收到約 3.70 億美元，約 1000 筆交易，大部分資金在 2023 年底前完成累積，之後長期沉睡，更像「儲備型錢包」而非日常運營錢包。

2.2 兩個被凍結地址之間的關係

兩個地址並非孤立存在。公開分析中提到，TTiDL...Sr9 曾向 TNiq9...ZH81 轉出約 860 萬 USDT。這一筆交易說明兩個地址之間存在直接資金關聯，支持它們屬於同一資金結構或同一運營網絡的判斷。

但這並不等同於「二者一定由伊朗央行直接控制」。更準確的說法是：這筆 860 萬 USDT 轉帳證明二者之間存在資金協調關係，但不能證明現實世界中的私鑰控制人，也不能排除第三方經紀商、OTC、托管方或清算商代為持有或操作的可能。

2.3 上游往來地址分析

根據公開圖譜和前期分析，幾個較重要的上游地址包括：

•地址：TD2BiYkihphjrK35YQy1QGxGotSo86vVnk；角色判斷：主要上游 Funder；與被凍結地址關係：約 29M / 30M 級別資金來源；結論：可能是上游資金池、經紀商或托管地址；

•地址：TZ3xL5jeBXyo8jPDvh2veBtJZCJozHq81t；角色判斷：主要上游 Funder；與被凍結地址關係：約 16.5M 級別資金來源；結論：與 Funder-001 構成同批注資徑；

•地址：TYkdG6k1987mkfU5ZzYf9ZK3xi989jNMPJ；角色判斷：次級 Funder；與被凍結地址關係：金額較小；結論：具有輔助證明共同資金結構的意義；

•地址：TGzGetNjyDNv4ByMaLwPqG3U8tskNwQsbL；角色判斷：次級 Funder；與被凍結地址關係：金額較小；結論：更像邊緣或測試型上游地址；

•地址：TCXfhTDMuS6pbfCEoACPcBf2EnnhMAAEWh；角色判斷：關鍵中轉 Hub；與被凍結地址關係：約 2.746 億 USDT 綜合流量；結論：更像清算 / 中轉節點；

其中，Funder-001 和 Funder-002 的意義最大。它們不是散戶碎片化入帳，而是較大金額、較集中地進入同一資金結構，說明被凍結地址可能連接著機構級資金來源、OTC 經紀商、多地址托管或清算網路。Funder-001、Funder-002 不能簡單寫成「伊朗政府地址」，更嚴謹的說法是「疑似上游大額資金來源地址，可能代表伊朗相關資金網路的供應端或經紀商端」。

此外，關鍵 Hub TCXfh...AEWh 更值得關注。該地址被描述為大額資金通道節點，處理約 2.746 億 USDT 綜合流量，餘額接近 0，表現為「經過但不長期持有」的中轉特徵。這說明整個資金結構可能並不是簡單的「伊朗央行冷錢包」，而更像：

上游資金來源 / 經紀商 → 歸集錢包 → 操作錢包 → 清算 Hub → 交易所、跨鏈橋、DeFi 或其他結算路徑

這一結構更符合「國家相關資金 + 第三方金融基礎設施 + 交易所邊緣帳戶」的混合網路，而不是單一政府錢包模型。

同時據美國財政部官方網站數據顯示，SDN 清單中明確標註的伊朗相關 TRON 加密貨幣地址共計 9 個。以此為基礎，本次分析構建了包含 ZEDCEX 交易所等 7 個已知實體在內的制裁地址參照庫，並對本次受制裁雙地址的 45 個有效交易對手方（TARGET 關聯 17 個，TNiq9 關聯 28 個）展開了嚴格比對：

在針對直接交易對手方的「第一跳」核查中，數據顯示除 TARGET 與 TNiq9 之間的內部資金劃轉外，雙方均未與參照庫中的任何伊朗地址發生直接交互。

在旨在排查隱蔽關聯的「第二跳」（Hop-2）溯源測試中，調查範圍進一步覆蓋至所有直接對手方的上下游交易。鏈上追蹤結果顯示，所有涉及的上游資金樞紐（如 TCXfh...）及下游去向，在二跳範圍內均未發現與已知伊朗制裁地址存在資金往來。