Vijf opvallende dingen in de door OFAC gesanctioneerde wallets wijzen erop dat de bevriezing van $344 miljoen USDT misschien niet aan Iran gelinkt is. Dit blijkt uit onderzoek van blockchain intelligence-bedrijf Nominis.
Nominis-CEO Snir Levi publiceerde zondag de analyse en beschreef het gedrag van de geblokkeerde adressen. Uit de gegevens blijkt dat er meer overlap is met Chinese staatsinfrastructuur dan met de Islamitische Revolutionaire Garde (IRGC).
1. De wallets verzamelden fondsen en werden daarna inactief
De aangewezen adressen begonnen in het midden van 2021 met het versturen van Tether (USDT) en deden veel grote transacties tot begin 2023. Maar na februari 2023, gaf Nominis aan, werden de wallets grotendeels inactief.
Dit patroon van eerst opbouwen en dan stilvallen, is anders dan eerdere IRGC-stromen, waar geld continu werd verplaatst om inbeslagname te voorkomen.
2. Geconcentreerde saldi zijn afwijkend van eerdere IRGC-werkwijze
Eerdere IRGC-clusters verspreidden geld over veel verschillende wallets en hielden de individuele saldi per wallet laag, vaak maar enkele miljoenen dollars. Ook werden tegoeden snel verplaatst om bevriezing te voorkomen.
De wallets die vorige week bevroren werden bevatten juist langdurig grote bedragen, vaak voor meerdere jaren vastgehouden.
3. Directe connecties met Huobi en Huione-infrastructuur
Een hoofdadres in deze groep liet overdrachten zien naar Huobi, nu bekend als HTX, en verder naar infrastructuur van Huione Group.
Volgens Levi lijkt deze activiteit op handelsgedrag dat vooral op Chinese exchanges voorkwam rond 2021, met patronen die Nominis vaker waarneemt bij HTX en soortgelijke platforms.
4. Werktijden die passen bij Aziatische tijdzones
Een apart HTX-stortadres ontving ongeveer $600.000 van wallets met links naar de Centrale Bank van Iran.
Tijdsanalyses van het adres tonen volgens Nominis handelscycli die passen bij Aziatische werktijden, niet bij werktijden in Teheran.
5. Bitfinex-transacties en overlap met een scam in 2025
Een van de gesanctioneerde wallets stuurde kleine bedragen naar Bitfinex-adressen. Er kwam ook een transactie van $5 binnen, waarvan Levi vermoedt dat het om een test ging.
Dezelfde wallet dook in 2025 op in een stroom van scam-gerelateerde transacties. Hierdoor is het mogelijk dat gewone gebruikers indirect in contact kwamen met gesanctioneerde infrastructuur.
Waar de bevindingen passen binnen operatie Epic Fury
Treasury Secretary Scott Bessent vertelde vorige week dat de Verenigde Staten bijna $500 miljoen aan Iraanse crypto heeft ingevorderd onder Operatie Epic Fury.
De $344 miljoen aan Tether die op verzoek van OFAC is bevroren is tot nu toe de grootste on-chain actie van deze campagne.
Ook is er veel aandacht voor de sankties tegen de exchanges Zedcex en Zedxion in januari, die gelinkt worden aan IRGC-transacties ter waarde van bijna $1 miljard.
Volgens Levi geven vaste zwarte lijsten van adressen niet langer goed weer hoe groepen met staatslinks sancties ontwijken via on-chain transacties.
De zaak valt op omdat het bevriezen van stablecoins tegenwoordig gebruikelijk is als sanctiemaatregel.
