核心摘要
- 印度古吉拉特邦警察网络犯罪卓越中心(CCoE)破获一起涉案金额超 2,700 万美元(₹226 亿卢比)的加密恐怖融资网络,累计逮捕 12 人,最新 2 人于 2026 年 6 月 6 日落网
- 犯罪网络通过冒用他人 KYC 信息在 Binance 创建钱包,经 Monero 隐私币跳转和分层交易切断审计追踪,最终通过受 OFAC 制裁的俄罗斯交易所 Garantex 及哈瓦拉(Hawala)系统完成法币结算
- 资金链与 哈马斯、也门胡塞武装(Ansar Allah)、伊朗伊斯兰革命卫队圣城旅(IRGC-QF)等被国际制裁实体存在直接区块链关联,暗网毒品市场 ARTEMISLAB.CC 为初始资金来源之一
- 现行指控依据为《婆罗多刑法典 2023》(BNS)第 111(2)(B)、153、61 条及《信息技术法 2000》第 66C、66D 条,UAPA 和 PMLA 尚未被援引,全国关联网络诈骗投诉达 935 起
- 印度政府 2026 年 2 月发布的 PRAHAAR 反恐战略已预警加密钱包被犯罪网络利用的趋势,本案为 VASP 持牌机构在 KYC 验证、隐私币监控、制裁筛查三大环节提供重要合规类型学参考
📑 文章目录
- 案件概述 — 三次执法行动与 12 人被捕时间线
- 洗钱手法三层架构拆解 — KYC 冒用 → 隐私币跳转 → 受制裁平台结算
- 法律框架与恐怖组织关联 — BNS/IT Act 指控条款及国际制裁实体
- 对 VASP 持牌机构的合规启示 — 五大可疑交易类型学与印度监管趋势
- 常见问题(FAQ)
本文由 Aiying 艾盈合规团队原创,转载需授权。
2026 年 6 月 6 日,印度古吉拉特邦警察网络犯罪卓越中心(Cyber Centre of Excellence, CCoE)宣布再捕 2 名嫌疑人,使一起横跨暗网毒品交易、加密洗钱与国际恐怖融资的重大案件累计逮捕人数上升至 12 人。该案涉及超过 2,700 万美元(₹226 亿卢比)的加密资产流动,是印度迄今为止规模最大的加密恐怖融资执法行动之一,其洗钱手法的复杂性和国际关联深度为亚太地区 VASP 持牌机构的 AML/CFT 合规建设提供了极具参考价值的反面样本。
一、案件概述:三次执法行动与 12 人被捕
第一波逮捕(2026 年 5 月):9 名核心成员落网
案件最初于 2026 年 5 月进入公众视野。古吉拉特邦 CCoE 在艾哈迈达巴德(Ahmedabad)、孟买(Mumbai)和哈里亚纳邦(Haryana)三地同步行动,逮捕首批 9 名核心嫌疑人。调查起点源于一名艾哈迈达巴德居民 Mohsin Sadiq Molani 的加密钱包被发现与暗网毒品交易平台 ARTEMISLAB.CC 存在直接区块链关联(FinCrime Central,2026-05-20)。
第二波逮捕(2026 年 5 月 24 日):第 10 名嫌疑人
5 月 24 日,调查人员逮捕 Ghulamali Qureshi(25 岁,艾哈迈达巴德 Mirzapur 人)。Qureshi 曾在迪拜学习 USDT 交易技术,通过以其父亲名义注册的 Binance 钱包处理了约 ₹10-15 亿卢比的交易,并在拉贾斯坦邦藏匿近两年(The Crypto Times,2026-06-06)。
第三波逮捕(2026 年 6 月 6 日):第 11、12 名嫌疑人
最新落网的两人分别为 Hadiraja Sarani(23 岁)和 Mohmand Zamin Abbasali Jigar(36 岁),均来自巴夫那加尔(Bhavnagar)。两人利用 Hadiraja 的父亲 Sabbir Ali Sarani 的 KYC 身份凭证,未经授权在 Binance 创建加密钱包,并通过分层交易(layering)接收了 5,000 枚 USDT——调查人员将其定性为「脏加密货币」(dirty crypto),这些资金来自与被制裁实体关联的钱包(The Times of India,2026-06-06)。
涉案金额结构
CCoE 通过区块链分析追踪到该网络的加密交易总额超过 2,700 万美元(₹226.54 亿卢比),其中 30% 至 40% 被认定为与恐怖融资、网络诈骗和有组织犯罪直接相关的「脏加密资产」,其余部分涉及常规交易、哈瓦拉汇款、黄金交易和期货活动。调查人员还追回了两个 Monero 钱包,内含约 ₹2 千万卢比的隐私币资产。与嫌疑人相关的银行账户在全国范围内关联了 935 起网络犯罪投诉,仅 2025 年全年,印度国家网络犯罪举报门户(NCRP)就收到超过 240 万起投诉,报告损失总额达 ₹22,495 亿卢比。
二、洗钱手法三层架构拆解
第一层:身份冒用与 KYC 绕过
本案最核心的操作手法是利用第三人真实 KYC 信息在 Binance 平台创建钱包,从而绕过交易所的身份验证机制。Hadiraja Sarani 使用其父亲 Sabbir Ali Sarani 的身份凭证开设账户,Ghulamali Qureshi 同样以父亲名义注册 Binance 钱包进行大额交易。这种「真实身份 + 非本人操作」的 KYC 绕过模式,暴露了当前 CEX 平台在人证合一验证环节的盲区——静态 KYC 文件审核无法有效识别「身份出借/冒用」场景,需要配合活体检测、设备指纹、行为分析等动态验证手段。
第二层:隐私币跳转与分层交易
资金进入主流交易所钱包后,犯罪网络通过多层钱包轮转(layering)将 USDT 等稳定币在高流量非托管钱包中拆分、混币,随后即时兑换为 Monero(门罗币)。Monero 的环签名(Ring Signatures)和隐身地址(Stealth Addresses)技术使得链上审计追踪在技术层面被完全切断。FinCrime Central 的报道引述调查人员描述称:「将稳定币通过隐私导向账本路由,有效切断了透明的审计追踪。」(FinCrime Central,2026-05-20)。这一环节的技术复杂度远超普通的混币器(mixer/tumbler)操作,利用了协议层面的原生隐私特性。
第三层:受制裁平台与哈瓦拉结算
经过 Monero 匿名化处理的资产最终流向受 OFAC 制裁的俄罗斯加密交易所 Garantex,在该平台上兑换为法币。随后通过 哈瓦拉(Hawala)和安格迪亚(Angadia)——南亚地区广泛存在的非正规跨境汇款系统——完成现金的物理分配,不留任何电子记录。哈瓦拉系统的核心特征是「账本对冲」:A 国交付现金,B 国等值提取,全程无跨境资金流动。这种加密资产→隐私币→受制裁平台→传统地下汇款的四阶段路径,实现了数字与物理世界的双重匿名闭环。
三、法律框架与恐怖组织关联
现行指控条款
本案目前的指控依据集中在刑事共谋和网络犯罪层面,具体援引条款包括:
- 《婆罗多刑法典 2023》(Bharatiya Nyaya Sanhita, BNS):第 111(2)(B) 条(刑事共谋)、第 153 条(有组织犯罪)、第 61 条(协助非法金融渠道)
- 《信息技术法 2000》(Information Technology Act):第 66C 条(身份相关网络犯罪/身份盗窃)、第 66D 条(以冒充手段利用计算机资源进行欺骗)
值得关注的是,尽管案件明确涉及恐怖融资指控,《非法活动预防法》(UAPA)和《防止洗钱法》(PMLA)——印度反恐和反洗钱的两部核心法律——截至发稿时尚未被援引。这可能反映案件目前仍处于邦级警察调查阶段,尚未移交国家级调查机构(如国家调查局 NIA 或执法局 ED),后续法律适用可能随着调查深入而升级。
国际制裁实体关联
区块链取证揭示了该网络与多个被国际制裁的恐怖组织和实体的直接资金关联:
| 关联实体/组织 | 制裁认定方 | 关联方式 |
|---|---|---|
| 哈马斯(Hamas) | OFAC / 以色列 NBCTF | 通过迪拜金融前台「Dubai Company for Exchange」对接资金 |
| 胡塞武装(Ansar Allah) | OFAC | 关联钱包向网络核心账户注入大额资金 |
| 伊朗革命卫队圣城旅(IRGC-QF) | OFAC | 关联钱包提供资金注入 |
| Garantex | OFAC(2022 年 4 月) | 作为加密资产→法币兑换出口 |
| 伊兰·肖尔网络(Ilan Shor) | OFAC | 关联钱包存在交易往来 |
以色列国家反恐融资局(NBCTF)已于 2025 年冻结嫌疑人 Mohammad Zubair Mohammad Hussain Popatia 的一个钱包,该钱包与据称与哈马斯有关联的迪拜实体存在交易往来——这意味着本案的部分线索在国际反恐融资体系中早有预警。
四、对 VASP 持牌机构的合规启示
五大可疑交易类型学
FinCrime Central 基于本案调查总结了对虚拟资产服务商(VASP)合规官的 5 项可疑交易识别指标:
- 系统性隐私币跳转:大额稳定币在高流量非托管钱包中被即时兑换为 Monero、Zcash 等隐私币,缺乏合理的经济理由
- 受制裁平台交互:账户与 OFAC/UN/EU 黑名单交易所或高风险结算集群存在直接频繁交互
- 替代汇款系统同步:企业账户的大额现金存取与虚拟资产国际变现时间点精准匹配,暗示哈瓦拉/安格迪亚网络的介入
- 多源分层模式:成千上万个无关联 P2P 地址向单一企业交易所账户小额归集,缺乏商业合理性解释——这是典型的「smurfing」(结构化拆分)手法
- 暗网电商结算:商业物流钱包与已知非法去中心化市场存在直接区块链关联
印度 VASP 注册与监管趋势
印度政府于 2026 年 2 月发布的 PRAHAAR 反恐战略已明确预警犯罪和恐怖网络日益利用加密钱包的趋势,本案的爆发恰为该战略提供了现实注脚。目前印度金融情报机构(FIU-IND)已要求所有在印度运营的 VASP 完成注册并遵守《防止洗钱法》(PMLA)下的报告义务,但本案涉及的 Binance 等离岸交易所在印度 FIU-IND 体系下的注册状态和合规执行力度仍存不确定性。本案中 KYC 信息被冒用创建钱包的事实,将对离岸交易所在印度市场的合规运营提出更严格的持续客户尽职调查(on-going CDD)和强化尽职调查(EDD)要求。
常见问题(FAQ)
Q1:本案为何未援引 UAPA 和 PMLA?对后续调查有何影响?
UAPA(《非法活动预防法》)和 PMLA(《防止洗钱法》)是印度反恐和反洗钱领域的两部核心联邦法律,分别赋予执法机构广泛的调查权(包括无令状逮捕、长期审前拘留)和资产冻结/没收权。目前未援引这两部法律,最可能的原因是案件仍处于邦级警察调查阶段,尚未移交国家调查局(NIA)或执法局(ED)。一旦 NIA 或 ED 正式接管,UAPA 和 PMLA 条款极有可能被追加适用,届时案件的司法层级和执法力度将显著升级。但对 VASP 而言,即便在现行 BNS 和 IT Act 框架下,为恐怖融资提供金融便利的行为已构成严重犯罪,交易所面临的合规和声誉风险不会因法律条款的选择而减弱。
Q2:Monero 等隐私币在 AML 合规中的监控难点是什么?持牌 VASP 应如何应对?
Monero 的核心隐私技术——环签名、隐身地址和 RingCT(环形保密交易)——使得交易金额、发送方和接收方地址在链上均不可见,传统区块链分析工具(如 Chainalysis、TRM Labs)对 Monero 交易的追踪能力极为有限。持牌 VASP 应对隐私币风险的可行措施包括:① 在入金/出金环节实施增强型交易监控,重点标记涉及已知隐私币兑换服务(如 ChangeNOW、FixedFloat)的大额转账;② 对频繁进行 USDT→XMR→USDT 转换的用户触发强化尽职调查(EDD);③ 关注 FATF 旅行规则(Travel Rule)对隐私币交易的适用性讨论——当前多数司法管辖区尚未就此发布明确指引,但监管趋势明确指向更严格的信息披露要求。
来源列表
- The Times of India — Ahmedabad: Two more held in Rs 226cr crypto terror funding case(2026-06-06)
- The Crypto Times — India Arrests 2 More Suspects in ₹226 Cr Crypto Terror Financing Case(2026-06-06)
- FinCrime Central — Indian Police Smashes $23M Crypto Terror Financing Ring(2026-05-20)
- 吴说区块链 — 印度警方逮捕 2 名涉加密恐怖融资案嫌疑人,相关交易超 2700 万美元(2026-06-07)
- TronWeekly — Crypto Scam: India Busts ₹226 Cr USDT Terror Network(2026-05-21)