TL;DR: 2026 年 5 月 4 日 UTC 时间 14:11:06 至 14:12:18 之间,Tether 多签 (multisig) 提交了 19 份针对 Tron 地址的
addBlackList提案——这些地址都与已经崩盘的 DSJ Exchange / BG Wealth Sharing 庞氏骗局 (Ponzi) 有关——并在同一笔交易批次中全部执行。冻结总额:$38,430,800.62。平均冻结间隔 (freeze gap):70 秒。冻结间隔期内的逃逸:零。这是我们记录中Tron 上单区块 USDT 冻结金额最大的一次——是此前最大批次的 4.4 倍。负责协调此次行动的 ZachXBT 与 Tether、Binance、OKX 以及美国执法机构合作,他表示整个骗局共转移了超过 1.5 亿美元,其中冻结前一周内有 9,200 万美元通过跨链方式被洗走。目前累计追回约 4,150 万美元,占比约 28%。
2026 年 5 月 4 日 UTC 时间 14:11:06,Tron USDT 多签开始提交 addBlackList 提案,目标是一个自称 DSJ Exchange 的庞氏骗局所控制的钱包,共 19 份。三秒后,这 19 份提案全部上链;从第一份落地算起 72 秒,全部执行完毕。整个批次在同一笔交易中锁定了 19 个地址、共 3,840 万美元。
在整个 Tron USDT 黑名单 (blacklist) 历史上,没有其他协调批次能跟这次相提并论。排在第二的——8 个地址、872 万美元、2026 年 3 月 31 日——还不到这次的四分之一。我们用两条独立的分析流水线核对过结果(Python 加 psycopg2,以及 Go 加 pgx/v5),两边数字完全一致。
目标有一个名字:DSJ Exchange,也写作 DSJEX,是一个名为 BG Wealth Sharing 的庞氏骗局所使用的交易平台前端。链上侦探 ZachXBT 于 5 月 5 日披露了这次行动,他指出该骗局自 2025 年起通过存款移动了超过 1.5 亿美元,并在冻结前的七天里通过跨链桥和 DEX 聚合器悄悄抽走了 9,200 万美元。
这不是一次例行拉黑,而是一次协调封锁——Tether 多签签名者与 Binance 安全团队、OKX 以及美国执法机构同步行动,全部基于 ZachXBT 的调查。在 Tron 这一侧,时机一到,所有提案同时落地。
区块级封锁
大多数 Tron USDT 冻结都是一次冻结一个地址。一个多签签名者提交一份 addBlackList 提案,其他签名者确认,一旦达到阈值(目前是 N 选 2),冻结便会执行。在 Tron 上,多签延迟较短,典型的间隔约为 60 至 80 秒。这个间隔——我们称之为冻结间隔——就是我们此前分析过的那个窗口,我们发现它被利用了 449 次,逃逸资金超过 2.155 亿美元。
5 月 4 日的不同之处在规模和同步性,而不是间隔长度:70 秒是正常水平。以下是主批次的全部 19 个地址,UTC 时间 14:12:18 完成冻结:
总计:19 个地址,$38,430,800.62,全部在 2026-05-04 14:12:18 UTC 的同一交易批次中执行。
资金分布告诉了我们什么
图 1 按冻结金额绘制了主批次中的 19 个地址。3,840 万美元并不是均匀分布的:其中一个地址——TAQa4FZweNjbxq69adEhPnFQeKZqkN1pJa——本身就持有 943 万美元,约占总额的四分之一。
这个钱包近期入账呈现出典型的归集形态——运营者把零散存款拼成一个集中支付钱包,然后再统一转出:5 月 2 日 07:19 至 07:54 之间,从一个名为 TKPTe5J5NzXyscatzqVmjrjWPy4av3mjfr 的喂入地址转入了四笔,总计 240 万美元。
剩下 18 个地址清晰地分成两个层级:
- 11 个 200 万美元层级钱包——10 个正好是 $2,000,000.00,1 个是 $2,000,010.54
- 7 个 100 万美元层级钱包——5 个正好是 $1,000,000.00,另外还有 $1,000,010 和 $1,000,008.08
这种整数堆叠——100 万、200 万、100 万、200 万——是手动操作者按固定额度给热钱包注资的特征,而不是智能合约分发或自动归集脚本。有人在用手一个一个钱包充值,大概是为一笔最终没有兑付的提现做准备。
那三个零头金额($2,000,010.54、$1,000,010.00、$1,000,008.08)看起来像”存款加收益记账”的补差:钱包先打入一笔整数,后来又收到了一小笔手续费或利息累计。在庞氏骗局内部,这种微调通常指向一个模拟收益的内部记账层——账面数字在动,背后没有真实产品。这些金额对正常交易盈亏来说太规整了,实际上是配额发放。
为什么零逃逸
我们在二月份的文章里详细分析过冻结间隔问题。在 Tron 和 Ethereum 总共 8,310 次已执行的冻结中,449 次(5.4%)在提案提交到执行之间至少出现了一笔转出,逃逸总额 2.155 亿美元,仅 2025 年一年就是 1.417 亿美元。
所以 5 月 4 日的自然问题是:这 19 个地址在 70 秒的冻结间隔里,有几个想要冲出去?我们针对相同的链上数据集,分别用 Python 和 Go 流水线跑了同一份查询,两边返回的答案一致:零。在每份提案上链但尚未执行的 69 至 72 秒内,19 个钱包没有任何一笔转出。
这不符合统计上的预期。按 5.4% 的历史逃逸率,19 个里大约会有 1 个跑路;按 2025 年 6.2% 的 Tron 专属比例还会更多一点。两种情况都没发生。当 19 个地址被同时盯上,运营者必须在 70 秒内决定先抽干哪些,DSJ 运营者一个都没选。
而想”全选”其实也不现实。要在 70 秒内救走 3,840 万美元,需要广播 19 笔独立转账、每一笔单独签名并在冻结窗口内完成确认。Tron 出块时间约 3 秒,留给你的预算是 23 个区块——一两个钱包能做到,19 个不行。即便有预签名交易和热签名机,在这种规模下你也得跟自己的 nonce 顺序、gas 估算和合约 revert 赛跑。
DSJ 运营者根本没尝试。没有部分抽干,相关区块里没有待广播的交易,看不出任何”按下恐慌按钮”的迹象。在我们 2.155 亿美元那篇分析里,成功逃逸通常发生在提案提交后 12 至 24 秒——还在间隔窗口内。会逃逸的运营者是实时盯盘的运营者,DSJ 的运营者不在其中。
图 2 展示了这条时间线:14:11:06 到 14:12:18,中间的间隔已用阴影标出。整个窗口内,每一个钱包都没动过。
链上数据回答不了一个问题:运营者是事先知道冻结要来、选择不抵抗,还是真的被这个批次打了个措手不及?链上轨迹只能告诉我们,没有任何东西尝试离开。
数字背后:DSJ 是什么
addBlackList 提案不会告诉你为什么要冻结一个钱包。原因来自 ZachXBT 的披露,并得到至少五个司法管辖区监管机构同步预警的确认。
DSJ Exchange——也就是 DSJEX——是前端,BG Wealth Sharing 是招募层,两者一起运行了一个被 BehindMLM 归类为”按按钮”庞氏骗局的项目:用户被告知去存入 USDT,然后把通过 WhatsApp、BonChat、Telegram 发送的”交易信号”粘贴到一个虚假的交易平台,平台显示出虚构的盈利。
宣传话术是 1.3% 到 2.6% 的日收益——按这个复利大约 60 天就能翻倍,本身就该是个警示信号。拉人靠多层级推荐佣金,可信度则来自一个虚构的 CEO “Stephen Beard”(根本没这个人),躲避监管的手段则是轮换域名:bg877.com、bg661.com、dsjex.net、dsj89.com、dsjex123.com 以及至少另外六七个变种。
监管机构早在链上行动之前就发现了。Alberta 证券委员会于 2026 年 2 月 17 日发布警告。Utah 商业部3 月 10 日跟进。Washington 州 DFI 于 4 月 10 日预警。Tonga 储备银行就针对侨民群体的变种发布了独立警示——DSJ 当时正在积极招募汤加、新西兰和澳大利亚的受害者。Nauru 金融情报机构也做了同样的事,并指出 BG Wealth 应用本身带有恶意软件,在制造经济损失的同时还会窃取用户数据。
这些警告没有冻结一分钱。
这种差距值得重视。五个司法管辖区,最早的比冻结早了两个多月,都告诉公众这些钱包与诈骗有关——但没有一个具备单方面锁定资金的权力。稳定币冻结落在大多数消费者保护机构的监管边界之外,所以这些机构能预警,但无法在链上行动。
5 月 2 日,运营者做了所有崩盘前的庞氏骗局都会做的事:编造一个理由要更多钱。根据 IFW Global 的骗局摘要,参与者被告知项目即将 IPO,在恢复提现之前需要先支付 12% 的”税款”——而提现其实早已被禁用。这 12% 就是退场抽水,从那些还想相信交易是真的受害者身上榨出最后一点收益。两天后,Tether 锁住了这些钱包。
已经离开的钱
3,840 万美元这个数字其实比看上去要小。ZachXBT 的调查追踪到大约 9,200 万美元在 4 月 27 日至 5 月 3 日之间通过这个网络流动——也就是 Washington 警告与冻结之间的七天窗口。其中大部分在 5 月 4 日批次里的任何地址被标记之前,就已经出门了。
报告中的资金路径:
- 跨链桥,包括 Bridgers、Butter Network 和 USDT0,把价值推出 Tron,送到 Tether 无法单方面冻结的链上
- USDD 包装与解包装循环,通过一个 Tether 不发行的稳定币模糊轨迹
- 最终落到交易所充值地址和 OTC 集群钱包
每一种都是不同性质的回收障碍。跨链桥增加了最终性延迟,加上目标链上回收工具完全不同。USDD 是 Tron 原生的算法稳定币,包装进去再解包出来既能模糊轨迹,又不离开 Tron 原生基础设施。一旦资金到达交易所或 OTC 柜台,回收就变成了法律程序问题,而不是链上问题。
按 ZachXBT 的说法,目前已追回总额约 4,150 万美元。其中 3,840 万美元就是我们刚才走过的 Tron USDT 冻结,剩下的约 310 万美元来自 Binance、OKX 以及其他持有该项目法币入金通道的平台的协调行动。跟 ZachXBT 引用的总入金 1.5 亿美元相比,回收率大约是 28%。
对受害者来说这不是一个好数字,但也不是一个意外的数字。当一个庞氏骗局明显崩盘时,本来要出来的钱大部分已经出来了——通常是几周或几个月之前,在运营者慢吞吞抽水的过程中。最后落地的冻结其实不算回收,而是遏制。那 9,200 万美元拿不回来了;冻结能做的,是阻止下一个 3,840 万美元加入它们。
在这种案件里,回收率有可能改善的环节在上游:监管机构到发行方的更快通道,可以在公开崩盘之前批量冻结的预先标记钱包集群。这些 DSJ 都不具备,冻结只是在崩盘之后才落地,这就限制了能挽救的金额。
为什么这次冻结比大多数都快
5 月 4 日 70 秒的平均间隔确实快,但对 Tron 来说还不算最快。我们见过 Tron 多签批次在 3 秒内执行——前提是签名者已经准备就绪——2026 年 3 月 11 日有一次 23 个地址的批次平均 2.7 秒。让 5 月 4 日不寻常的不是间隔长度,而是同步性。
要理解为什么同步性比间隔长度更重要,看看一个庞氏骗局运营者通常如何应对单次冻结:
- 他们监控多签合约里的
addBlackList提案(这部分很多运营者会自动化——合约是公开的)。 - 当一份针对自己钱包的提案落地时,他们有大约 70 秒在执行前广播一笔转出。
- 如果他们准备充分——预签名交易就绪、自动化盯着内存池——他们就能赶上。
这就是 449 次历史逃逸里的常见模式。大多数运营者跑的脚本会在检测到提案时自动抽干,脚本调得好,逃逸率就高。在 2025 年的 Tron 上,运行活跃抽干脚本 (drain bot) 的运营者逃逸率特别高,达到 6.2%。
这些脚本的失效模式才是有意思的部分。它们是按一次处理一个地址来设计的。当 19 份提案在 3 秒窗口内同时到达,目标全部是同一个运营者控制的钱包时,抽干逻辑就扩展不了:每笔抽干交易都要签名、广播、确认,每一笔都得跟其他几笔抢同一运营者 nonce 序列里的位置。签名能力是有上限的,19 份同步提案不论硬件如何、脚本写得多好,都会直接突破这个上限。
可以把这种打法叫做同步批量防御:通过压垮运营者的反应窗口容量,多签关闭了任何单个地址原本会有的冻结间隔。间隔本身没有变短,只是在这种规模下无法跨越。图 3 展示了单地址冻结(典型抽干脚本能击败它)与协调的 19 钱包批次(它击败不了)之间的结构性差异。
这种防御模式依赖三件事:
- 预先到位的多签签名者,能在几秒而不是几分钟内确认,地址清单已经预先分发
- 协调提交,所有提案以紧凑顺序上链(本案中是 3 秒内)
- 地址清单完整性,这样批次过后没有明显的后继钱包还能用
ZachXBT 与 Tether、Binance、OKX 的协调提供了前两点。地址清单完整性这部分,我们仅凭链上数据无法完全评估。
把 5 月 4 日放到背景里看
为了给这次行动排名,我们拉取了所有 Tron USDT 批量冻结记录,只保留单次执行时间戳覆盖五个或更多地址的批次,然后按总金额排序。查询在 Python 和 Go 两种语言里交叉验证过。
| 排名 | 日期 (UTC) | 地址数 | 冻结总额 | 平均间隔 |
|---|---|---|---|---|
| 1 | 2026-05-04 14:12:18 | 19 | $38,430,800.62 | 70.3s |
| 2 | 2026-03-31 20:57:15 | 8 | $8,724,744.65 | 74.6s |
| 3 | 2026-03-27 19:32:24 | 7 | $5,570,189.95 | 71.1s |
| 4 | 2026-03-31 20:57:18 | 7 | $4,171,169.54 | 74.1s |
| 5 | 2026-03-27 19:32:27 | 9 | $3,776,144.95 | 71.0s |
DSJ 批次是前任纪录的 4.4 倍。在我们数据集所覆盖的 Tron USDT 全部批量冻结历史里——一直回溯到 2020 年——没有任何一次协调批次接近过这个规模。
比头条数据更有用的视角是:在 2026 年迄今 Tron USDT 上冻结的超过 12.9 亿美元里,DSJ 批次大约相当于全年总量的 3% 在 72 秒的下午时间里完成——一个运营者,一个项目,一次协调拆台。随着时间推移,这次会成为合规团队解释”大规模协调冻结长什么样”时引用的案例。
这个案例展示了什么
回收里最大的变量不是多签签得多快,而是提案落地时钱包里还有没有东西。等到 5 月 4 日的批次落地时,前一周已经有 9,200 万美元洗了出去,所以这次冻结锁住了 3,840 万美元,但回收上限早在七天前就已经定了。一个能在检测上抢出 7 天的合规流程,胜过把签名时间砍掉 15 秒的流程。28% 这个回收率,差不多就是晚期庞氏骗局拆台的现实上限:等到一个项目明显崩盘,要离开的钱大部分已经离开了,所以崩盘后冻结是遏制,不是追讨。真正的胜利在上游——在受害者还在存款、运营者还在抽水的那几个月。5 月 4 日的行动是对的,只是从更高回收比例的角度来说,时机不对。
跨链洗钱仍然是没堵上的漏洞。4 月 27 日至 5 月 3 日间转移的 9,200 万美元穿过了 DEX 聚合器、三座跨链桥和一个包装稳定币循环。稳定币发行方能在自己的原生链上冻结,但没法撤销一笔跨链桥转移,回收量受限于洗白量中有多少离开了发行链。而虽然五个司法管辖区在 2 月 17 日至 4 月 27 日之间对 DSJ 发出过警告,这些警告没有阻止一分钱的离开。链上行动来自稳定币治理,其他都只是信号。把监管警示当作触发器、而不是终点的合规团队,会更早抓住运营。
5 月 4 日这次批次还说明了一件关于防御设计的结构性事情。把 19 份提案压在 3 秒内提交,省下的不只是签名者的时间——它压垮了运营者的反应窗口,这是任何单地址冻结都做不到的。当目标是一个相互关联的集群时,打包是一种防御,而不只是工作流上的便利。胜利在于同步性,不在于速度。
关于 Phalcon Compliance 的说明
我们在 BlockSec USDT Freeze Dashboard 中追踪 Ethereum 与 Tron USDT 上每一份已执行和待执行的冻结提案。本文中提到的 19 个主批次地址,都已通过上方的链接接入。对于需要实时监控其投资组合中钱包冻结提案——包括逃逸转账仍可能发生的冻结间隔窗口——的合规团队,Phalcon Compliance 产品将相同的数据通过筛查 API 暴露出来。
对 DSJ 来说,数据一直都在。冻结之所以能落地,是因为有人——本案中是 ZachXBT——把洗钱轨迹反推回一个干净的地址清单,而多签签名者在批次到达时已经准备好。那种协调才是需要数周调查工作的部分;链上的执行,一旦你有了干净的清单和同步好的签名者,就是几十秒的事。