TL;DR: 2026 年 5 月 4 日 UTC 時間 14:11:06 至 14:12:18 之間,Tether 多重簽名提交了 19 份針對 Tron 地址的
addBlackList提案——這些地址都與已經崩盤的 DSJ Exchange / BG Wealth Sharing 龐氏騙局有關——並在同一筆交易批次中全部執行。凍結總額:$38,430,800.62。平均凍結間隔:70 秒。凍結間隔期內的逃逸:零。這是我們紀錄中Tron 上單區塊 USDT 凍結金額最大的一次——是此前最大批次的 4.4 倍。負責協調此次行動的 ZachXBT 與 Tether、Binance、OKX 以及美國執法機構合作,他表示整個騙局共轉移了超過 1.5 億美元,其中凍結前一週內有 9,200 萬美元透過跨鏈方式被洗走。目前累計追回約 4,150 萬美元,佔比約 28%。
2026 年 5 月 4 日 UTC 時間 14:11:06,Tron USDT 多重簽名開始提交 addBlackList 提案,目標是一個自稱 DSJ Exchange 的龐氏騙局所控制的錢包,共 19 份。三秒後,這 19 份提案全部上鏈;從第一份落地起算 72 秒,全部執行完畢。整個批次在同一筆交易中鎖定了 19 個地址、共 3,840 萬美元。
在整個 Tron USDT 黑名單歷史上,沒有其他協調批次能與這次相提並論。排在第二的——8 個地址、872 萬美元、2026 年 3 月 31 日——還不到這次的四分之一。我們用兩條獨立的分析流水線核對過結果(Python 加 psycopg2,以及 Go 加 pgx/v5),兩邊數字完全一致。
目標有一個名字:DSJ Exchange,也寫作 DSJEX,是一個名為 BG Wealth Sharing 的龐氏騙局所使用的交易平台前端。鏈上偵探 ZachXBT 於 5 月 5 日揭露了這次行動,他指出該騙局自 2025 年起透過存款移動了超過 1.5 億美元,並在凍結前的七天內透過跨鏈橋與 DEX 聚合器悄悄抽走了 9,200 萬美元。
這不是一次例行拉黑,而是一次協調封鎖——Tether 多簽簽署人與 Binance 安全團隊、OKX 以及美國執法機構同步行動,全部依據 ZachXBT 的調查。在 Tron 這一側,時機一到,所有提案同時落地。
區塊級封鎖
大多數 Tron USDT 凍結都是一次凍結一個地址。一個多簽簽署人提交一份 addBlackList 提案,其他簽署人確認,一旦達到門檻(目前是 N 選 2),凍結便會執行。在 Tron 上,多簽延遲較短,典型的間隔約為 60 至 80 秒。這個間隔——我們稱之為凍結間隔——就是我們此前分析過的那個窗口,我們發現它被利用了 449 次,逃逸資金超過 2.155 億美元。
5 月 4 日的不同之處在規模和同步性,而不是間隔長度:70 秒是正常水準。以下是主批次的全部 19 個地址,UTC 時間 14:12:18 完成凍結:
總計:19 個地址,$38,430,800.62,全部在 2026-05-04 14:12:18 UTC 的同一交易批次中執行。
資金分布告訴了我們什麼
圖 1 按凍結金額繪製了主批次中的 19 個地址。3,840 萬美元並不是均勻分布的:其中一個地址——TAQa4FZweNjbxq69adEhPnFQeKZqkN1pJa——本身就持有 943 萬美元,約佔總額的四分之一。
這個錢包近期的入帳呈現出典型的歸集形態——營運者把零散存款拼成一個集中支付錢包,然後再統一轉出:5 月 2 日 07:19 至 07:54 之間,從一個名為 TKPTe5J5NzXyscatzqVmjrjWPy4av3mjfr 的餵入地址轉入了四筆,總計 240 萬美元。
剩下 18 個地址清晰地分成兩個層級:
- 11 個 200 萬美元層級錢包——10 個正好是 $2,000,000.00,1 個是 $2,000,010.54
- 7 個 100 萬美元層級錢包——5 個正好是 $1,000,000.00,另外還有 $1,000,010 和 $1,000,008.08
這種整數堆疊——100 萬、200 萬、100 萬、200 萬——是手動操作者按固定額度給熱錢包注資的特徵,而不是智慧合約分發或自動掃帳腳本。有人用手一個一個錢包充值,大概是為一筆最終沒有兌付的提現做準備。
那三個零頭金額($2,000,010.54、$1,000,010.00、$1,000,008.08)看起來像「存款加收益記帳」的補差:錢包先打入一筆整數,後來又收到了一小筆手續費或利息累計。在龐氏騙局內部,這種微調通常指向一個模擬收益的內部記帳層——帳面數字在動,背後沒有真實產品。這些金額對正常交易盈虧來說太規整了,實際上是配額發放。
為什麼零逃逸
我們在二月份的文章裡詳細分析過凍結間隔問題。在 Tron 和 Ethereum 總共 8,310 次已執行的凍結中,449 次(5.4%)在提案提交到執行之間至少出現了一筆轉出,逃逸總額 2.155 億美元,僅 2025 年一年就是 1.417 億美元。
所以 5 月 4 日的自然問題是:這 19 個地址在 70 秒的凍結間隔裡,有幾個想要衝出去?我們針對相同的鏈上資料集,分別用 Python 和 Go 流水線跑了同一份查詢,兩邊返回的答案一致:零。在每份提案上鏈但尚未執行的 69 至 72 秒內,19 個錢包沒有任何一筆轉出。
這不符合統計上的預期。按 5.4% 的歷史逃逸率,19 個裡大約會有 1 個跑路;按 2025 年 6.2% 的 Tron 專屬比例還會更多一點。兩種情況都沒發生。當 19 個地址被同時盯上,營運者必須在 70 秒內決定先抽乾哪些,DSJ 營運者一個都沒選。
而想「全選」其實也不現實。要在 70 秒內救走 3,840 萬美元,需要廣播 19 筆獨立轉帳、每一筆單獨簽名並在凍結窗口內完成確認。Tron 出塊時間約 3 秒,留給你的預算是 23 個區塊——一兩個錢包能做到,19 個不行。即便有預先簽名的交易和熱簽名機,在這種規模下你也得跟自己的 nonce 順序、gas 估算和合約 revert 賽跑。
DSJ 營運者根本沒嘗試。沒有部分抽乾,相關區塊裡沒有待廣播的交易,看不出任何「按下恐慌按鈕」的跡象。在我們 2.155 億美元那篇分析裡,成功逃逸通常發生在提案提交後 12 至 24 秒——還在間隔窗口內。會逃逸的營運者是即時盯盤的營運者,DSJ 的營運者不在其中。
圖 2 展示了這條時間線:14:11:06 到 14:12:18,中間的間隔已用陰影標出。整個窗口內,每一個錢包都沒動過。
鏈上資料回答不了一個問題:營運者是事先知道凍結要來、選擇不抵抗,還是真的被這個批次打了個措手不及?鏈上軌跡只能告訴我們,沒有任何東西嘗試離開。
數字背後:DSJ 是什麼
addBlackList 提案不會告訴你為什麼要凍結一個錢包。原因來自 ZachXBT 的揭露,並得到至少五個司法管轄區監管機構同步預警的確認。
DSJ Exchange——也就是 DSJEX——是前端,BG Wealth Sharing 是招募層,兩者一起運行了一個被 BehindMLM 歸類為「按按鈕」龐氏騙局的專案:用戶被告知去存入 USDT,然後把透過 WhatsApp、BonChat、Telegram 發送的「交易訊號」貼到一個虛假的交易平台,平台顯示出虛構的獲利。
宣傳話術是 1.3% 到 2.6% 的日收益——按這個複利大約 60 天就能翻倍,本身就該是個警示訊號。拉人靠多層級推薦佣金,可信度則來自一個虛構的 CEO「Stephen Beard」(根本沒這個人),躲避監管的手段則是輪換網域:bg877.com、bg661.com、dsjex.net、dsj89.com、dsjex123.com 以及至少另外六七個變種。
監管機構早在鏈上行動之前就發現了。Alberta 證券委員會於 2026 年 2 月 17 日發布警告。Utah 商業部3 月 10 日跟進。Washington 州 DFI 於 4 月 10 日預警。Tonga 儲備銀行就針對僑民群體的變種發布了獨立警示——DSJ 當時正在積極招募東加、紐西蘭和澳洲的受害者。Nauru 金融情報機構也做了同樣的事,並指出 BG Wealth 應用程式本身帶有惡意軟體,在製造經濟損失的同時還會竊取用戶資料。
這些警告沒有凍結一分錢。
這種落差值得重視。五個司法管轄區,最早的比凍結早了兩個多月,都告訴公眾這些錢包與詐騙有關——但沒有一個具備單方面鎖定資金的權力。穩定幣凍結落在大多數消費者保護機構的監管邊界之外,所以這些機構能預警,卻無法在鏈上行動。
5 月 2 日,營運者做了所有崩盤前的龐氏騙局都會做的事:編造一個理由要更多錢。根據 IFW Global 的騙局摘要,參與者被告知專案即將 IPO,在恢復提現之前需要先支付 12% 的「稅款」——而提現其實早已被禁用。這 12% 就是退場抽水,從那些還想相信交易是真的受害者身上榨出最後一點收益。兩天後,Tether 鎖住了這些錢包。
已經離開的錢
3,840 萬美元這個數字其實比看上去要小。ZachXBT 的調查追蹤到大約 9,200 萬美元在 4 月 27 日至 5 月 3 日之間透過這個網路流動——也就是 Washington 警告與凍結之間的七天窗口。其中大部分在 5 月 4 日批次裡的任何地址被標記之前,就已經出門了。
報告中的資金路徑:
- 跨鏈橋,包括 Bridgers、Butter Network 和 USDT0,把價值推出 Tron,送到 Tether 無法單方面凍結的鏈上
- USDD 包裝與解包裝循環,透過一個 Tether 不發行的穩定幣模糊軌跡
- 最終落到交易所充值地址和 OTC 集群錢包
每一種都是不同性質的回收障礙。跨鏈橋增加了最終性延遲,加上目標鏈上回收工具完全不同。USDD 是 Tron 原生的演算法穩定幣,包裝進去再解包出來既能模糊軌跡,又不離開 Tron 原生基礎架構。一旦資金到達交易所或 OTC 櫃檯,回收就變成了法律程序問題,而不是鏈上問題。
按 ZachXBT 的說法,目前已追回總額約 4,150 萬美元。其中 3,840 萬美元就是我們剛才走過的 Tron USDT 凍結,剩下的約 310 萬美元來自 Binance、OKX 以及其他持有該專案法幣入金通道的平台的協調行動。跟 ZachXBT 引用的總入金 1.5 億美元相比,回收率大約是 28%。
對受害者來說這不是一個好數字,但也不是一個意外的數字。當一個龐氏騙局明顯崩盤時,本來要出來的錢大部分已經出來了——通常是幾週或幾個月之前,在營運者慢吞吞抽水的過程中。最後落地的凍結其實不算回收,而是遏制。那 9,200 萬美元拿不回來了;凍結能做的,是阻止下一個 3,840 萬美元加入它們。
在這種案件裡,回收率有可能改善的環節在上游:監管機構到發行方的更快通道,可以在公開崩盤之前批次凍結的預先標記錢包集群。這些 DSJ 都不具備,凍結只是在崩盤之後才落地,這就限制了能挽救的金額。
為什麼這次凍結比大多數都快
5 月 4 日 70 秒的平均間隔確實快,但對 Tron 來說還不算最快。我們見過 Tron 多簽批次在 3 秒內執行——前提是簽署人已經準備就緒——2026 年 3 月 11 日有一次 23 個地址的批次平均 2.7 秒。讓 5 月 4 日不尋常的不是間隔長度,而是同步性。
要理解為什麼同步性比間隔長度更重要,看看一個龐氏騙局營運者通常如何應對單次凍結:
- 他們監控多簽合約裡的
addBlackList提案(這部分很多營運者會自動化——合約是公開的)。 - 當一份針對自己錢包的提案落地時,他們有大約 70 秒在執行前廣播一筆轉出。
- 如果他們準備充分——預先簽名的交易就緒、自動化盯著記憶體池——他們就能趕上。
這就是 449 次歷史逃逸裡的常見模式。大多數營運者跑的指令稿會在偵測到提案時自動抽乾,指令稿調得好,逃逸率就高。在 2025 年的 Tron 上,運行活躍抽乾腳本 (drain bot) 的營運者逃逸率特別高,達到 6.2%。
這些指令稿的失效模式才是有意思的部分。它們是按一次處理一個地址來設計的。當 19 份提案在 3 秒窗口內同時到達,目標全部是同一個營運者控制的錢包時,抽乾邏輯就擴展不了:每筆抽乾交易都要簽名、廣播、確認,每一筆都得跟其他幾筆搶同一營運者 nonce 序列裡的位置。簽名能力是有上限的,19 份同步提案不論硬體如何、指令稿寫得多好,都會直接突破這個上限。
可以把這種打法叫做同步批量防禦:透過壓垮營運者的反應窗口容量,多簽關閉了任何單個地址原本會有的凍結間隔。間隔本身沒有變短,只是在這種規模下無法跨越。圖 3 展示了單地址凍結(典型抽乾腳本能擊敗它)與協調的 19 錢包批次(它擊敗不了)之間的結構性差異。
這種防禦模式依賴三件事:
- 預先到位的多簽簽署人,能在幾秒而不是幾分鐘內確認,地址清單已經預先分發
- 協調提交,所有提案以緊湊順序上鏈(本案中是 3 秒內)
- 地址清單完整性,這樣批次過後沒有明顯的後繼錢包還能用
ZachXBT 與 Tether、Binance、OKX 的協調提供了前兩點。地址清單完整性這部分,我們僅憑鏈上資料無法完全評估。
把 5 月 4 日放到背景裡看
為了給這次行動排名,我們拉取了所有 Tron USDT 批次凍結紀錄,只保留單次執行時間戳記涵蓋五個或更多地址的批次,然後按總金額排序。查詢在 Python 和 Go 兩種語言裡交叉驗證過。
| 排名 | 日期 (UTC) | 地址數 | 凍結總額 | 平均間隔 |
|---|---|---|---|---|
| 1 | 2026-05-04 14:12:18 | 19 | $38,430,800.62 | 70.3s |
| 2 | 2026-03-31 20:57:15 | 8 | $8,724,744.65 | 74.6s |
| 3 | 2026-03-27 19:32:24 | 7 | $5,570,189.95 | 71.1s |
| 4 | 2026-03-31 20:57:18 | 7 | $4,171,169.54 | 74.1s |
| 5 | 2026-03-27 19:32:27 | 9 | $3,776,144.95 | 71.0s |
DSJ 批次是前任紀錄的 4.4 倍。在我們資料集所涵蓋的 Tron USDT 全部批次凍結歷史裡——一直回溯到 2020 年——沒有任何一次協調批次接近過這個規模。
比頭條資料更有用的視角是:在 2026 年迄今 Tron USDT 上凍結的超過 12.9 億美元裡,DSJ 批次大約相當於全年總量的 3% 在 72 秒的下午時間裡完成——一個營運者,一個專案,一次協調拆台。隨著時間推移,這次會成為合規團隊解釋「大規模協調凍結長什麼樣」時引用的案例。
這個案例展示了什麼
回收裡最大的變數不是多簽簽得多快,而是提案落地時錢包裡還有沒有東西。等到 5 月 4 日的批次落地時,前一週已經有 9,200 萬美元洗了出去,所以這次凍結鎖住了 3,840 萬美元,但回收上限早在七天前就已經定了。一個能在偵測上搶出 7 天的合規流程,勝過把簽名時間砍掉 15 秒的流程。28% 這個回收率,差不多就是晚期龐氏騙局拆台的現實上限:等到一個專案明顯崩盤,要離開的錢大部分已經離開了,所以崩盤後凍結是遏制,不是追討。真正的勝利在上游——在受害者還在存款、營運者還在抽水的那幾個月。5 月 4 日的行動是對的,只是從更高回收比例的角度來說,時機不對。
跨鏈洗錢仍然是沒堵上的漏洞。4 月 27 日至 5 月 3 日間轉移的 9,200 萬美元穿過了 DEX 聚合器、三座跨鏈橋和一個包裝穩定幣循環。穩定幣發行方能在自己的原生鏈上凍結,但沒法撤銷一筆跨鏈橋轉移,回收量受限於洗白量中有多少離開了發行鏈。而雖然五個司法管轄區在 2 月 17 日至 4 月 27 日之間對 DSJ 發出過警告,這些警告沒有阻止一分錢的離開。鏈上行動來自穩定幣治理,其他都只是訊號。把監管警示當作觸發器、而不是終點的合規團隊,會更早抓住營運。
5 月 4 日這次批次還說明了一件關於防禦設計的結構性事情。把 19 份提案壓在 3 秒內提交,省下的不只是簽署人的時間——它壓垮了營運者的反應窗口,這是任何單地址凍結都做不到的。當目標是一個相互關聯的集群時,打包是一種防禦,而不只是工作流上的便利。勝利在於同步性,不在於速度。
關於 Phalcon Compliance 的說明
我們在 BlockSec USDT Freeze Dashboard 中追蹤 Ethereum 與 Tron USDT 上每一份已執行和待執行的凍結提案。本文中提到的 19 個主批次地址,都已透過上方的連結接入。對於需要即時監控其投資組合中錢包凍結提案——包括逃逸轉帳仍可能發生的凍結間隔窗口——的合規團隊,Phalcon Compliance 產品將相同的資料透過篩查 API 公開出來。
對 DSJ 來說,資料一直都在。凍結之所以能落地,是因為有人——本案中是 ZachXBT——把洗錢軌跡反推回一個乾淨的地址清單,而多簽簽署人在批次到達時已經準備好。那種協調才是需要數週調查工作的部分;鏈上的執行,一旦你有了乾淨的清單和同步好的簽署人,就是幾十秒的事。