要約: 2026年5月4日、UTC 14:11:06から14:12:18までの間に、Tetherのマルチシグは崩壊したDSJ Exchange / BG Wealth Sharingポンジ・スキームに紐づくTronアドレスを対象として19件の
addBlackList提案を送信し、そのすべてを単一のトランザクション・バッチで実行した。凍結総額は**$38,430,800.62**、平均フリーズギャップは70秒、ギャップ中の脱出はゼロである。本バッチは記録上Tron上で単一ブロック内に行われた史上最大のUSDT凍結であり、これまでの最大バッチの4.4倍の規模となる。Tether、Binance、OKX、米国法執行機関と連携してこの摘発を主導したZachXBTによれば、より広範なスキームが動かした金額は1億5,000万ドルを超え、凍結直前の1週間にクロスチェーンで9,200万ドルがロンダリングされたという。これまでの回収総額は約4,150万ドル、すなわち約28%である。
2026年5月4日 UTC 14:11:06、Tron USDTマルチシグは、DSJ Exchangeを名乗るポンジが管理するウォレットを対象とした addBlackList 提案の送信を開始した。提案は19件あった。3秒後には19件すべてがオンチェーンに乗り、最初の提案が着地してから72秒後にはそのすべてが実行されていた。このバッチによって、19アドレスにまたがる3,840万ドルが単一のトランザクションでロックされたのである。
Tron USDTのブラックリスト史を振り返っても、これに迫る規模の協調バッチは存在しない。次に大きいものは2026年3月31日の8アドレス・872万ドルだが、その規模は4分の1にも満たない。我々はこの結果を2系統の分析パイプライン(Pythonの psycopg2 とGoの pgx/v5)で確認しており、いずれも同一の数値を返した。
ターゲットには名前があった。DSJ Exchange、別名DSJEXである。これは、BG Wealth Sharingというポンジの取引プラットフォーム的フロントだった。オンチェーン調査者ZachXBTが5月5日に公表したところによれば、当該オペレーションは2025年以降、預金として1億5,000万ドル以上を動かしており、凍結に先立つ7日間で、クロスチェーンブリッジとDEXアグリゲーターを通じて9,200万ドルを静かに流出させていた。
これはルーチンのブラックリスト登録ではなく、協調されたロックダウンであった。Tetherのマルチシグ署名者は、Binanceのセキュリティ、OKX、米国法執行機関と並んで動き、いずれもZachXBTの調査を基盤として作業していた。そしてTron側では、その瞬間が来たとき、すべての提案が一斉に着地したのである。
ブロックレベルのロックダウン
Tron USDTの凍結はほとんどの場合、1アドレスずつ実施される。マルチシグ署名者が addBlackList 提案を送信し、他の署名者が承認し、閾値(現在2-of-N)に達した時点で凍結が実行されるという流れである。マルチシグの遅延が短いTronでは、典型的なギャップは約60〜80秒となる。このギャップ――我々がフリーズギャップと呼ぶもの――は、以前我々が分析した対象であり、449回にわたって悪用され、2億1,550万ドル超の資金が脱出するに至った窓である。
5月4日に起きたことは、長さの面では特異ではない。ギャップはごく普通の70秒であった。違いは規模と同期性にある。UTC 14:12:18に凍結された、メインバッチの全19アドレスは以下の通りである。
合計:19アドレスにわたり$38,430,800.62、すべて2026-05-04 14:12:18 UTCの同一トランザクション・バッチで実行された。
分布が示すもの
図 1は、メインバッチの19アドレスを凍結額別にプロットしたものである。3,840万ドルは均等に配分されてはいなかった。1つのアドレス――TAQa4FZweNjbxq69adEhPnFQeKZqkN1pJa――だけで943万ドルを保有しており、これは全体の約4分の1にあたる。
このウォレットへの直近のインフローを確認すると、運営者が小口の入金を一つの支出ウォレットに集約してから外部に送り出す際に見られる集約パターンが浮かび上がる。5月2日の07:19から07:54の間に、単一のフィーダー・アドレス TKPTe5J5NzXyscatzqVmjrjWPy4av3mjfr から計240万ドル相当の4回の送金が到着していたのである。
残る18アドレスは、2つのきれいな階層に分かれていた。
- $2M帯のウォレットが11個 ――10個はちょうど$2,000,000.00、1個は$2,000,010.54
- $1M帯のウォレットが7個 ――5個はちょうど$1,000,000.00、加えて$1,000,010と$1,000,008.08
このような切りのいい数字での層別化($1M、$2M、$1M、$2M)は、運営者がホットウォレットに固定額のロットで手動で資金を補充している場合の典型的なシグネチャである。スマートコントラクトによる配布でも、自動化されたスイープでもない。誰かが手作業でウォレットにトップアップしていたのであり、それはおそらく、来ることのなかった支払いに備えてのものだった。
3つの中途半端な額($2,000,010.54、$1,000,010.00、$1,000,008.08)は、「入金+利回りクレジット」型のトップオフのように見える。ウォレットに切りのいい額が入金され、その後に小さな手数料や利息が積算されたものである。ポンジの内部では、この種の微調整は通常、利回りを模倣する内部会計レイヤーの存在を示す。実際の商品ではなく、帳簿上の動きにすぎない。合法な取引によるP&Lにしては数字が切りすぎており、これは配給と読むべきものである。
なぜ脱出はゼロだったのか
我々はフリーズギャップの問題を2月に詳細に取り上げている。実行されたTronとEthereumの凍結8,310件のうち、449件、すなわち5.4%は、提案の送信から実行までの間に少なくとも1件の出金トランザクションが発生していた。脱出総額は2億1,550万ドル、2025年の数字だけでも1億4,170万ドルにのぼる。
そこで5月4日について自然に湧く問いはこうである。19アドレスのうち、70秒のフリーズギャップの間に出口へ走ったのはいくつだったのか。同じクエリを我々のPythonとGoのパイプラインで同一のオンチェーン・データセットに対して実行したところ、両者とも同じ答えを返した――ゼロである。各提案がオンチェーンに乗っていながら未実行だった69〜72秒のウィンドウにおいて、19のウォレットのいずれからも転送は発生していなかった。
これは統計的に予想される結果ではない。歴史的な脱出率5.4%なら、19件のうち約1件は逃げ出すと予想される。Tron特有の率6.2%(2025年の数字)ならもう少し多い。どちらも起きなかった。19アドレスが一斉に攻撃されたとき、運営者は70秒のうちにどれを抜くかを選ばなければならず、DSJの運営者はどれも選ばなかったのである。
そもそも、すべてを選ぶという選択肢は実質的になかった。70秒で3,840万ドルを救出するには、19件の個別送金をブロードキャストし、それぞれに署名し、フリーズ・ウィンドウ内でそれぞれを承認させる必要がある。Tronのブロックタイムは約3秒なので、これは23ブロックの予算ということになる。1〜2件であれば可能だろうが、19件は無理である。事前署名済みのトランザクションとホット・サイナーがあったとしても、その量では自身のnonce順序、ガス見積もり、コントラクトのリバートと競争することになる。
DSJの運営者は試みなかった。部分的な引き出しはなく、該当ブロック内に保留中のブロードキャストもなく、パニックでボタンを押したような形跡も見当たらない。我々の2億1,550万ドル分析では、成功した脱出は通常、提案送信後12〜24秒で発生していた――ギャップの十分内側である。脱出する運営者はライブで監視している運営者であり、DSJの運営者はそうではなかった。
図 2は14:11:06から14:12:18までのタイムラインを示しており、ギャップは網掛けで表示してある。すべてのウォレットがウィンドウ全体を通じて手付かずのままだった。
オンチェーンでは答えられない問いが一つ残る。運営者は凍結が来ることを知っていて戦わないと決めたのか、それともバッチが本当に彼らの不意を突いたのか。トレースが示すのは、何も外に出ようとしなかったということだけである。
数字の背後:DSJとは何だったのか
addBlackList 提案は、なぜそのウォレットが凍結されているかは教えてくれない。その「なぜ」は、ZachXBTの公表から来たものであり、少なくとも5つの法域にわたる規制当局からの並行警告によって裏付けられている。
DSJ Exchange――DSJEX――はフロントエンドであり、BG Wealth Sharingは勧誘層であった。両者は合わせて、BehindMLMが「ボタン1つでクリックするポンジ」と分類するスキームを運営していた。ユーザーはUSDTを入金するように指示され、その後WhatsApp、BonChat、Telegramで送られてくる「取引シグナル」を、捏造された利益を表示する偽の取引プラットフォームに貼り付けるよう言われたのである。
売り文句は日次1.3%〜2.6%のリターンであり、およそ60日で資金が倍になる複利計算上の数字で、これ自体が手がかりとなるべきものだった。多段階の紹介手数料が勧誘を担い、信頼性は「Stephen Beard」という架空のCEO(実在しない人物)が担っていた。回避策としてはbg877.com、bg661.com、dsjex.net、dsj89.com、dsjex123.comなど、少なくとも半ダースの派生ドメインがローテーションで使われていた。
規制当局はオンチェーン・アクションのはるか前にこれを把握していた。アルバータ州証券委員会は2026年2月17日に警告を発表し、ユタ州商務省は3月10日にこれに続いた。ワシントン州DFIは4月10日に警告を出している。トンガ準備銀行も、ディアスポラを標的としたバリアントについて独自のアラートを発した ――DSJはトンガ、ニュージーランド、オーストラリアの被害者を積極的に勧誘していたのである。ナウルの金融情報機関も同様に、BG Wealthアプリには金融被害と並行してユーザーデータを抜き出すマルウェアが含まれていたと指摘している。
これらの警告のうち、1ドルでも凍結したものはなかった。
このギャップには重みを与える価値がある。5つの法域、最も早いものは凍結の2ヶ月以上前から、いずれも公衆に対して、これらのウォレットが詐欺に紐づいていることを伝えていた。にもかかわらず、いずれも資金をロックする一方的な権限を持っていなかったのである。ステーブルコインの凍結は、ほとんどの消費者保護機関が活動する規制の境界線の外側にあり、各機関は警告できてもオンチェーンでの行動はできなかった。
そして5月2日、運営者は崩壊するすべてのポンジが行うことを行った。すなわち、より多くの金銭を要求する理由をでっち上げたのである。IFW Globalの詐欺サマリーによれば、参加者はプロジェクトがIPOを控えていると告げられ、出金を再開する前に12%の「税金」を払う必要があるとされた。出金はすでに無効化されており、12%とはエグジット・ポンプ――まだトレードが本物だと信じたい被害者から最後の利回りを絞り出す行為――にほかならなかった。Tetherがウォレットをロックしたのは、その2日後である。
すでに去った金銭
3,840万ドルという数字は、実態より小さく見せている部分がある。ZachXBTの調査は、ワシントンの警告と凍結の間の7日間のウィンドウである4月27日から5月3日までの間に、およそ9,200万ドルがネットワークを移動したと追跡している。そのほとんどは、5月4日のバッチでアドレスがタグ付けされる前に外に出ていた。
報告された経路は次の通りである。
- Bridgers、Butter Network、USDT0を含むクロスチェーンブリッジを使い、価値をTronから外し、Tetherが一方的に凍結できないチェーンへ移動させる
- USDDのラップ&アンラップ・ループを使い、Tetherが発行していないステーブルコインを通じて足跡を曖昧にする
- 最終的な着地点は、取引所の入金アドレスとOTCクラスター・ウォレット
これらはいずれも、回収にとって異なる種類の障害となる。ブリッジはファイナリティの遅延に加え、回収ツールセットが異なる宛先チェーンを追加する。USDDはTronネイティブのアルゴリズム型ステーブルコインであり、それにラップしてアンラップすると、Tronのネイティブ・インフラの内側にいながら足跡が曖昧になる。そして資金が取引所やOTCデスクに到達した時点で、回収はオンチェーンの問題ではなく、法的手続きの問題となる。
ZachXBTによれば、これまでの回収総額は約4,150万ドルである。Tron USDT凍結が口座を一気に押さえた分が3,840万ドル、残る約310万ドルは当該オペレーションに紐づくフィアット・オン/オフランプを保有するBinance、OKX、その他のプラットフォームによる協調アクションから来ている。ZachXBTが引用する預金総額1億5,000万ドル超に対する回収率は、およそ**28%**ということになる。
被害者にとって良い数字ではないが、意外な数字でもない。ポンジが目に見える形で崩壊する頃には、出ていくものの大半はすでに出ていっており、通常はそれより数週間あるいは数ヶ月前から、運営者の少しずつの抜き取りという形で流出している。最後に着地する凍結は本当の意味での回収ではなく、封じ込めである。9,200万ドルは戻ってこない。凍結が成し得たのは、次の3,840万ドルがそこに加わるのを止めることだけである。
このようなケースで回収率が改善し得るのは上流側であり、規制当局から発行体までのパイプラインの高速化や、公の崩壊に先立ってバッチ凍結できる事前タグ付けされたウォレットクラスターの整備などが該当する。DSJについては、そのいずれも存在しなかった。凍結は崩壊後にしか着地せず、そのことが救えた額の上限を画したのである。
なぜこの凍結はほとんどのものより速かったのか
5月4日の平均ギャップ70秒は速いが、Tronとしては記録的な速さではない。署名者がすでに揃っていれば、Tronマルチシグのバッチが3秒未満で実行された例も見られる。たとえば2026年3月11日の23アドレスのバッチは平均2.7秒であった。5月4日が異例だったのはギャップではなく、同時性の方である。
同時性がギャップ長より重要である理由を理解するには、ポンジの運営者が単一の凍結に対してどう反応するかを見ればよい。
- 彼らはマルチシグ・コントラクトを監視し、入ってくる
addBlackList提案を検知する(コントラクトは公開されているため、多くの運営者がこれを自動化している)。 - 自分のウォレットを対象とする提案が着地すると、実行までに約70秒の間に送金をブロードキャストする時間がある。
- 準備が整っていれば――事前署名済みトランザクションが用意され、メンプールを監視する自動化があれば――間に合う。
これが449件の歴史的な脱出を通じて我々が見てきたものである。ほとんどの運営者は、提案検出時に自動的に資金を抜くスクリプトを動かしており、それらがよく調整されていれば脱出率は上昇する。アクティブなドレイン・ボットを稼働させている運営者の場合、その率は特に高く、2025年のTronでは6.2%にも達していた。
これらのボットの障害モードは興味深い部分である。それらは1度に1アドレスを処理するように作られている。19件の提案が3秒のウィンドウ内で、いずれも同じ運営者が管理するウォレットを標的に到着すると、ドレイン・ロジックはスケールしない。各ドレイン・トランザクションは署名され、ブロードキャストされ、承認される必要があり、それぞれが、同じ運営者のnonceシーケンス内のスロットを互いに奪い合うことになる。署名キャパシティには上限があり、19件の同時提案はハードウェアやスクリプトの完成度にかかわらずその上限を遥かに超える。
これを同時バッチ防御と呼ぼう。運営者の反応ウィンドウのキャパシティを圧倒することで、マルチシグは単一アドレスに対して存在したであろうフリーズギャップを閉じる。ギャップは短くなったわけではなく、その規模では渡れないものになっただけである。図 3は、単一アドレス凍結(典型的なドレイン・ボットが破れるもの)と、協調された19ウォレット・バッチ(破れないもの)の構造的な違いを示している。
この防御パターンは、3つの要素に依存する。
- 事前配置されたマルチシグ署名者:分単位ではなく秒単位で承認できる態勢にあり、アドレスリストが事前配布されていること
- 協調された送信:すべての提案が連続してオンチェーンに着地する(本件の場合は3秒以内)こと
- アドレスリストの完全性:バッチ後に明らかな後継ウォレットが利用可能なまま残らないこと
ZachXBTがTether、Binance、OKXと連携したことが最初の2つを提供した。アドレスリストの完全性については、オンチェーン・データだけでは完全には評価できない部分である。
5月4日を文脈に置く
何が起きたのかをランク付けするため、Tron USDTのバッチ凍結のうち、単一の実行タイムスタンプが5アドレス以上をカバーしたものをすべて取り出し、合計額で並べた。クエリはPythonとGoで相互検証してある。
| 順位 | 日付 (UTC) | アドレス数 | 凍結総額 | 平均ギャップ |
|---|---|---|---|---|
| 1 | 2026-05-04 14:12:18 | 19 | $38,430,800.62 | 70.3s |
| 2 | 2026-03-31 20:57:15 | 8 | $8,724,744.65 | 74.6s |
| 3 | 2026-03-27 19:32:24 | 7 | $5,570,189.95 | 71.1s |
| 4 | 2026-03-31 20:57:18 | 7 | $4,171,169.54 | 74.1s |
| 5 | 2026-03-27 19:32:27 | 9 | $3,776,144.95 | 71.0s |
DSJのバッチは従来記録の4.4倍である。Tron USDTバッチ凍結の歴史全体(我々のデータセットで2020年まで遡る)にわたって、これに近い単一の協調バッチは存在しない。
見出しのチャートよりも有用なフレームを示すなら、こうである。2026年にこれまでにTron USDTで凍結された12.9億ドル超のうち、DSJバッチは1人の運営者、1つのスキーム、1つの協調された摘発による、72秒の午後のウィンドウで年間の凍結量の約3%を占める。時間が経つにつれ、これは大規模な協調凍結の姿を説明する際にコンプライアンス・チームが引き合いに出すケーススタディとなっていくはずである。
このケースが示すこと
回収における最大の変数は、マルチシグがどれだけ速く署名するかではなく、提案が着地したときにウォレットに何が入っているかである。5月4日のバッチが着地した時点で、その前の1週間にすでに9,200万ドルが洗い流されて出ていたため、凍結が押さえたのは3,840万ドルだったが、回収の上限は7日前にはすでに決まっていた。検出を7日先行させるコンプライアンス・パイプラインは、署名から15秒を削るパイプラインに勝る。28%という回収率は後期段階のポンジ摘発における現実的な上限とほぼ等しい。スキームが目に見える形で崩壊する頃には、出ていくもののほとんどはすでに出ていっており、崩壊後の凍結は回収ではなく封じ込めだからである。勝利は上流――被害者がまだ入金しており、運営者がまだ抜き取っている数ヶ月の間――にある。5月4日は正しい行動ではあったが、より高い回収シェアにとって正しいタイミングではなかった。
クロスチェーンのロンダリングは依然として塞がれていない穴である。4月27日から5月3日の間に動いた9,200万ドルは、DEXアグリゲーター、3つのブリッジ、そしてラップド・ステーブルコインのループを通った。ステーブルコインの発行体はネイティブ・チェーンで凍結できるが、ブリッジ通過を巻き戻すことはできず、回収はロンダリングされた量のうち発行チェーンを離れる量によって上限を画される。また、5つの法域が2月17日から4月27日までの間にDSJについて警告したが、これらの警告のいずれも1ドルの流出も止められなかった。ステーブルコインのガバナンスはオンチェーンでアクションが起きる場所であり、それ以外はすべてシグナリングである。規制当局のアドバイザリーを終点ではなくトリガーとして扱うコンプライアンス・チームは、より早い段階でオペレーションを捕捉できる。
5月4日のバッチは、防御設計についての構造的な論点も浮かび上がらせる。19件の提案を3秒で送信したことは、署名者の時間を節約しただけではなく、いかなる単一アドレス凍結でも実現できない方法で運営者の反応ウィンドウを圧倒した。連結したクラスターを標的とする場合、提案の束ねはワークフロー上の便宜ではなく防御策そのものである。勝利は同時性のなかにあり、速度のなかにはない。
Phalcon Complianceについての注記
我々はEthereumおよびTron USDTにおける、実行済みおよび保留中のすべての凍結提案をBlockSec USDT Freeze Dashboardで追跡している。19のメインバッチ・アドレスはすべて上記でリンクしている通りである。ポートフォリオ内のウォレットを標的とする凍結提案――脱出送金がまだ可能なフリーズギャップのウィンドウを含む――について、リアルタイムのアラートが必要なコンプライアンス・チームのために、Phalcon Compliance製品はスクリーニングAPIを通じて同じデータを提供している。
DSJについては、データは常にそこにあった。凍結が着地したのは、誰か――この場合はZachXBT――がロンダリングの軌跡をクリーンなアドレスリストに繋ぎ戻し、バッチが着地したときにマルチシグの署名者が準備できていたからである。その協調こそが数週間の調査作業を要する部分であり、クリーンなリストと連携した署名者がそろえば、オンチェーンでの執行は数秒の問題にすぎない。