原文标题:《潜伏在 600 个电诈群,他想把黑产的钱拦下来》
原文作者:Sleepy.txt,动察 Beating
在商业史上,凡是财富汹涌聚集之处,必有法律与秩序的拉锯。
站在 2025 年的尾巴上回望,全球稳定币的发行规模已站稳 3000 亿美元关口,较去年翻了近三倍,每月的交易量更是达到了 4 到 5 万亿美元的惊人量级。稳定币这种加密资产,已经撕掉了「极客玩具」的标签,转而成为了传统金融进入数字世界的头号入口。
然而,繁荣之下暗藏阴影。根据最新的行业报告,2025 年全球非法地址接收的资金规模预估将突破 513 亿美元。当成百上千亿的资金在几秒钟内就能完成跨境流转,传统的监管手段往往跟不上这种流速,很难在第一时间分辨出哪些是合法的生意,哪些是犯罪的赃款。
在这片规则尚未完全定型的世界里,周亚金教授是一位特殊的创业者。
周亚金的职业路径,是一位精英学者与产业深度碰撞的典型缩影。2010 年,他远赴美国攻读博士学位,在移动安全领域深耕五年,随后与导师蒋旭宪教授共同加入奇虎 360,完成了从实验室到产业一线的第一步跨越。2018 年,他选择回到浙江大学执掌教鞭。三年后,他再度投身产业浪潮,创办了区块链安全公司 BlockSec。
在过去的四年里,周亚金带领 BlockSec 完成了一次业务重心的迁移。从最初的智能合约代码审计,逐步延伸到了安全监控、资金溯源以及反洗钱合规等更深层的领域。
周亚金和他的团队长期深耕链上数据的专项研究,甚至通过技术手段「潜伏」进东南亚电诈等黑产群组,掌握了大量鲜为人知的底层生存图景,通过他的视角,我们或许能看清这个数字新世界里最真实的利益博弈。
以下为周亚金的自述,由动察 Beating 编辑部在专访后编辑整理。
本文由 Kite AI 赞助支持
Kite 是首个面向 AI 智能体支付的 Layer 1 区块链,这一底层基础设施使自主 AI 智能体能够在具备可验证身份、可编程治理以及原生稳定币结算的环境中运行。
Kite 由来自 Databricks、Uber 和 UC Berkeley 的 AI 与数据基建资深专家创立,已完成 3500 万美元融资,投资方包括 PayPal、General Catalyst、Coinbase Ventures、8VC 以及多家顶级投资基金会。
从代码审计到反洗钱战场
我是 2010 年到 2015 年在美国念的博士,导师是蒋旭宪教授。我们那时候做的是移动安全,特别是安卓恶意软件(Malware)检测这一块,在全世界都算做得比较早的。2015 年毕业后,我跟随导师一起去了奇虎 360,想把研究成果做产业化。
2018 年我加入浙江大学,又从产业界回到了学术界。当时国内正好赶上 17、18 年那波 ICO 的小高潮,也让区块链进入了一小部分人的视野,我也就开始看区块链安全这个方向。我观察到那时候链上安全事故频发,学术界其实已经有了不少好的解决思路,但回过头看产业界,大家做得并不好,甚至可以说很少有人在关注这些问题。
于是 2021 年,我和吴磊老师就一起创办了 BlockSec。
刚开始大家对「区块链安全公司」的认知极其刻板:你们不就是做审计的吗?确实,我们是从智能合约审计开始切入的。因为我们有学术研究的积累,加上团队比较精英化,很快就在审计业务里站稳了脚跟。但我创办公司的角度是,不希望它仅仅是一家做安全服务的公司。因为审计解决的是上线前的安全,而对于上线之后的防护,当时业界并没有特别好的解决方案。
所以 2022 年,我们在做审计的同时,也开始做链上的攻击监控平台。我们当时对产品的构想是,我们持续对链上交易做监测,如果有攻击交易发生,能自动化的去阻断它。在这个过程中我们发现,虽然有审计和监控,但项目方还是可能被攻击,再加上当时有很多钓鱼、私钥丢失等 C 端安全事件,用户丢了钱,这就又衍生出了新的需求。
项目方被偷了、用户被钓鱼了,他们得去报案,得跟执法机构讲清楚钱到底流向了哪里。于是从 2022 年开始,我们做了一款资金流追踪产品,这款产品完全是 SaaS 化的,用户可以直接订阅使用,我们没有做那种 To B 销售的模式。
结果这款产品推出后,用户画像让我们大吃一惊。除了执法机构,媒体记者在用,金融机构在用,甚至还有很多接私活的私人侦探在用。这些不同背景的用户在使用过程中,帮助我们打磨了产品,吸引了更多的用户。再加上我们本身就有攻击检测引擎、钓鱼检测引擎等,这些标签和数据逐渐沉淀成了我们最深的护城河。
转折点发生在 2024 年底到 2025 年初。
当时稳定币的发行量开始疯涨,这个市场不再只是 Crypto Native(加密原生)的人在参与了。很多传统金融的人开始进场,他们接触到的第一个虚拟货币就是稳定币。这些人合规意识极强,他们一进来就会问:我要用稳定币,那 AML(反洗钱)和 CFT(反恐怖主义融资)的问题怎么解?
市面上缺好的合规产品,而我们手里恰好有积累了三年的底层标签数据,所以我们很迅速地推出了反洗钱产品。整个过程其实挺自然的,我们根据市场需求的变化,从一个单纯的安全服务商,变成了一个「安全+合规」的综合性供应商。
潜伏
要做反洗钱,首先得深刻理解黑灰产到底是怎么用钱的。
在我们的研究视角里,加密货币犯罪通常被分为两类:一类是「加密原生」的,比如针对 DeFi 协议的代码漏洞攻击、私钥被盗或钓鱼。如果没有区块链,这些犯罪压根不会存在。
另一类则是「加密驱动」的,如电诈、勒索和人口贩卖。加密货币的出现,极大地提高了它们跨境转账的效率和匿名性。在这些场景中,最让我们感到震撼的,是东南亚电诈产业链里的人口贩卖。
很多人觉得电诈离自己很远,但你看他们的招聘广告,诱惑力极其精准:月薪 1.9 万人民币起步,包机票、包吃住,甚至还煞有介事地承诺「必须购买深圳社保」。这种专门针对 18 到 37 周岁年轻人的诈骗手段,诱骗了大量受害者跨越边境,进入那些分布在缅甸、柬埔寨或老挝的诈骗园区。
现在的电诈园区,组织架构严密得和正规公司没什么区别,财务、技术、话务组一应俱全。为了维持这种庞大的运作,它们需要不断补充「劳动力」,而园区(需方)和人贩子(供方)互不认识,在网上交流完全没有信任。
于是,一种专门为非法交易提供信用背书的中间环节诞生了,也就是「劳务担保平台」。
这套系统的运作逻辑其实很像淘宝。园区先在担保平台存入一笔 USDT 押金;人贩子负责诱骗受害者跨越边境,送到指定的「验货」地点。双方在 Telegram 私人群组里确认无误后,平台就会将押金释放给人贩子。这种交易信奉的就是「人到钱到」,如果哪方想赖账,平台就会根据规则冻结或没收押金来补偿另一方。
为了招揽生意,这些平台会在 Telegram 里开大量公开频道「秀肌肉」。比如在领航担保或好旺担保的频道里,系统机器人会实时发布成交截图和链上转账记录。他们甚至还会像正规电商一样搞促销,比如代收佣金、广告买 10 送 2。
这也是我们观察黑产最直接的切口。
从 2025 年 2 月到 8 月,我们开发了一套自动化系统,持续潜伏在这些群组里抓取情报。因为群里的聊天充斥着黑话,我们专门训练了一个大语言模型用来分析。
在黑产的话术里,受害者是「鱼」,诈骗套路和受害者信息被称为「料」。料性分得很细,有「三黑料」、「混料」、「机票料」等。根据洗钱环节,还分为直接从受害人手里接钱的「一道料」,以及经过分层处理的「二道料」。
还有一种叫「手机口」的工作,国内的帮凶利用音频线或特定 APP,将境外的诈骗电话中继到国内手机上拨出,以此绕过运营商的反诈拦截,每小时就能赚取约 200 USDT。他们找了很多小镇青年做这个事情。
在这些黑产群里,甚至公然流传着《防警察教程》,事无巨细地教大家如何冷静应对侦查,比如一口咬死手机丢了、提前删掉脚本和加密通讯软件。教程末尾还写着一句非常讽刺的话——「致敬每一位努力的人」。
通过半年的自动监测,对于其中的一个担保平台,我们总共识别出了 634 个与贩卖人口团伙关联的地址,累计追踪到的非法交易金额接近 1200 万美元。最活跃的时候,每天有 10 个人通过这一个担保平台被卖进园区。实际情况可能更严重,因为还有其他担保平台的存在。
在追踪资金去向时,我们发现这些钱绝大部分都在波场链上,且主要使用稳定币 USDT。因为波场操作门槛低、手续费便宜,非常适合这些技术水平有限的犯罪团伙。虽然现在波场手续费也变高了,但是他们已经养成了使用习惯,很难再改用其他方式。
我们分析了 120 多个团伙的资金流发现,这些非法所得最终有超过 34.9% 流向了 OKX 的热钱包,6.9% 流向了 Binance,还有 14.4% 流向了汇旺相关的热钱包。
当你能看清这些钱是怎么来的、怎么流的,反洗钱才不是一句空话。这种从底层群组抓回来的真实数据,才是目前安全合规最核心的壁垒。
12 秒:在内存池「截胡」黑客
在安全行业,大家一直有个心结:审计只能保证代码在上线那一刻是安全的。但项目一旦跑起来,面对的是全球黑客 24 小时无死角的盯梢。如果审计是「静态防守」,那我们能不能想办法做「动态拦截」?
2022 年,我们在做审计的同时,上线了链上攻击监控平台。这个产品的底层逻辑,是盯着以太坊的 Mempool(内存池)。你可以把内存池想象成一个候车厅,所有的交易在被正式打包进区块、存入账本之前,都要先在这里排队。
在这个候车厅里,我们不仅盯着普通用户的交易,更盯着那些带有攻击特征的脚本。一旦监测到疑似攻击的交易,我们的系统会立刻在私有链环境里启动自动分析:它到底想干什么?逻辑是否成立?会偷走多少钱?
最惊心动魄的博弈,通常发生在短短的 12 秒之内。
以太坊合并之后,出块时间固定在了 12 秒。这意味着,从黑客发出攻击指令,到这笔交易真正被打包确认,中间有一个极其短暂的窗口期。这几秒钟,就是留给白帽的黄金救援时间。
我们的系统在确认攻击后,会自动生成一笔「抢跑(Front-running)」交易。这笔交易的内容和黑客的几乎一模一样,但关键的区别在于,我们将资金的接收地址,从黑客的钱包修改成了我们预设的安全地址。
为了跑赢黑客,我们必须在矿工那里获得打包优先权。
黑客为了追求利润最大化,通常会设置一个标准的 Gas Fee。而我们会通过算法,把 Gas Fee 调得非常高,甚至直接把这笔钱的一部分分给矿工。在利益驱动下,矿工会优先打包我们的交易。当我们的交易成功执行,黑客的那笔交易就会自动失效。
这种能力在实战中救过很多项目的命。
最典型的一次,是我们在内存池中成功截胡了针对某协议的攻击,一次性帮项目方抢救回了 2909 枚以太坊。当时黑客已经触发了漏洞,眼看几千万美元就要被卷走,我们的监控系统瞬间报警,并在几秒钟内完成了攻击模拟、交易生成和 Gas 竞价。最终,那笔巨款先于黑客一步,转移到了我们的安全地址。
以前,项目方被偷了只能去发推特求助,或者跟黑客商量能不能给点赏金把钱退回来。但现在,我们通过技术手段,在黑客得手的前一秒,强行把钱截获了。
只有你能比黑客更懂代码、比黑客跑得更快,你才能在这个「Code is law」的黑暗森林里守住最后一道防线。
尾声
如果说过去十年的加密世界,是一场「淘金热」,那么站在 2025 年这个节点上,我们看到的则是一场关于「确定性」的回归。当稳定币规模冲向 3000 亿美元的波澜壮阔,当一个数字新金融体系从「荒野」走向「城邦」,技术不再仅仅是致富的杠杆,它必须首先成为抵御幽暗人性的盾牌。
周亚金和他的团队所经历的转型,本质上也是这一商业逻辑的折射。从代码审计到动态拦截,再到对黑产链路的深潜与拆解,这并非某个人的孤勇,而是技术演进到一定体量后必然产生的防御机制。在这个代码即法律的世界里,如果不去解决非法资金流窜与安全防御失效的顽疾,那么所谓的「金融革命」就永远只能停留在少数人的游戏里。
商业史上,任何一个能走向主流的行业,都曾经历过从混乱到法治的剧痛。这或许是一个漫长且枯燥的过程,但正如周亚金所言,安全最终的形态是「无感」。
只有当安全变得像空气一样无处不在却又被所有人忽视时,这个曾经充满变数的数字荒原,才算真正完成了它的文明拓荒。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
