潛伏在600個(gè)電詐群，他想把黑產(chǎn)的錢攔下來

文 | Sleepy.txt

在商業(yè)史上，凡是財(cái)富洶涌聚集之處，必有法律與秩序的拉鋸。

站在 2025 年的尾巴上回望，全球穩(wěn)定幣的發(fā)行規(guī)模已站穩(wěn) 3000 億美元關(guān)口，較去年翻了近三倍，每月的交易量更是達(dá)到了 4 到 5 萬億美元的驚人量級(jí)。穩(wěn)定幣這種加密資產(chǎn)，已經(jīng)撕掉了「極客玩具」的標(biāo)簽，轉(zhuǎn)而成為了傳統(tǒng)金融進(jìn)入數(shù)字世界的頭號(hào)入口。

然而，繁榮之下暗藏陰影。根據(jù)最新的行業(yè)報(bào)告，2025 年全球非法地址接收的資金規(guī)模預(yù)估將突破 513 億美元。當(dāng)成百上千億的資金在幾秒鐘內(nèi)就能完成跨境流轉(zhuǎn)，傳統(tǒng)的監(jiān)管手段往往跟不上這種流速，很難在第一時(shí)間分辨出哪些是合法的生意，哪些是犯罪的贓款。

在這片規(guī)則尚未完全定型的世界里，周亞金教授是一位特殊的創(chuàng)業(yè)者。

周亞金的職業(yè)路徑，是一位精英學(xué)者與產(chǎn)業(yè)深度碰撞的典型縮影。2010 年，他遠(yuǎn)赴美國攻讀博士學(xué)位，在移動(dòng)安全領(lǐng)域深耕五年，隨后與導(dǎo)師蔣旭憲教授共同加入奇虎 360，完成了從實(shí)驗(yàn)室到產(chǎn)業(yè)一線的第一步跨越。2018 年，他選擇回到浙江大學(xué)執(zhí)掌教鞭。

三年后，他再度投身產(chǎn)業(yè)浪潮，創(chuàng)辦了區(qū)塊鏈安全公司 BlockSec。

在過去的四年里，周亞金帶領(lǐng) BlockSec 完成了一次業(yè)務(wù)重心的遷移。從最初的智能合約代碼審計(jì)，逐步延伸到了安全監(jiān)控、資金溯源以及反洗錢合規(guī)等更深層的領(lǐng)域。

周亞金和他的團(tuán)隊(duì)長期深耕鏈上數(shù)據(jù)的專項(xiàng)研究，甚至通過技術(shù)手段「潛伏」進(jìn)東南亞電詐等黑產(chǎn)群組，掌握了大量鮮為人知的底層生存圖景，通過他的視角，我們或許能看清這個(gè)數(shù)字新世界里最真實(shí)的利益博弈。

以下為周亞金的自述，由動(dòng)察Beating編輯部在專訪后編輯整理。

本文由 Kite AI 贊助支持

Kite 是首個(gè)面向 AI 智能體支付的 Layer 1區(qū)塊鏈，這一底層基礎(chǔ)設(shè)施使自主 AI 智能體能夠在具備可驗(yàn)證身份、可編程治理以及原生穩(wěn)定幣結(jié)算的環(huán)境中運(yùn)行。

Kite 由來自 Databricks、Uber 和 UC Berkeley 的 AI 與數(shù)據(jù)基建資深專家創(chuàng)立，已完成 3500 萬美元融資，投資方包括 PayPal、General Catalyst、Coinbase Ventures、8VC 以及多家頂級(jí)投資基金會(huì)。

從代碼審計(jì)到反洗錢戰(zhàn)場

我是 2010 年到 2015 年在美國念的博士，導(dǎo)師是蔣旭憲教授。我們那時(shí)候做的是移動(dòng)安全，特別是安卓惡意軟件（Malware）檢測(cè)這一塊，在全世界都算做得比較早的。2015 年畢業(yè)后，我跟隨導(dǎo)師一起去了奇虎 360，想把研究成果做產(chǎn)業(yè)化。

2018 年我加入浙江大學(xué)，又從產(chǎn)業(yè)界回到了學(xué)術(shù)界。當(dāng)時(shí)國內(nèi)正好趕上 17、18 年那波ICO的小高潮，也讓區(qū)塊鏈進(jìn)入了一小部分人的視野，我也就開始看區(qū)塊鏈安全這個(gè)方向。

我觀察到那時(shí)候鏈上安全事故頻發(fā)，學(xué)術(shù)界其實(shí)已經(jīng)有了不少好的解決思路，但回過頭看產(chǎn)業(yè)界，大家做得并不好，甚至可以說很少有人在關(guān)注這些問題。

于是 2021 年，我和吳磊老師就一起創(chuàng)辦了 BlockSec。

剛開始大家對(duì)「區(qū)塊鏈安全公司」的認(rèn)知極其刻板：你們不就是做審計(jì)的嗎？確實(shí)，我們是從智能合約審計(jì)開始切入的。

因?yàn)槲覀冇袑W(xué)術(shù)研究的積累，加上團(tuán)隊(duì)比較精英化，很快就在審計(jì)業(yè)務(wù)里站穩(wěn)了腳跟。但我創(chuàng)辦公司的角度是，不希望它僅僅是一家做安全服務(wù)的公司。因?yàn)閷徲?jì)解決的是上線前的安全，而對(duì)于上線之后的防護(hù)，當(dāng)時(shí)業(yè)界并沒有特別好的解決方案。

所以 2022 年，我們?cè)谧鰧徲?jì)的同時(shí)，也開始做鏈上的攻擊監(jiān)控平臺(tái)。我們當(dāng)時(shí)對(duì)產(chǎn)品的構(gòu)想是，我們持續(xù)對(duì)鏈上交易做監(jiān)測(cè)，如果有攻擊交易發(fā)生，能自動(dòng)化的去阻斷它。

在這個(gè)過程中我們發(fā)現(xiàn)，雖然有審計(jì)和監(jiān)控，但項(xiàng)目方還是可能被攻擊，再加上當(dāng)時(shí)有很多釣魚、私鑰丟失等 C 端安全事件，用戶丟了錢，這就又衍生出了新的需求。

項(xiàng)目方被偷了、用戶被釣魚了，他們得去報(bào)案，得跟執(zhí)法機(jī)構(gòu)講清楚錢到底流向了哪里。于是從 2022 年開始，我們做了一款資金流追蹤產(chǎn)品，這款產(chǎn)品完全是 SaaS 化的，用戶可以直接訂閱使用，我們沒有做那種 To B 銷售的模式。

結(jié)果這款產(chǎn)品推出后，用戶畫像讓我們大吃一驚。除了執(zhí)法機(jī)構(gòu)，媒體記者在用，金融機(jī)構(gòu)在用，甚至還有很多接私活的私人偵探在用。

這些不同背景的用戶在使用過程中，幫助我們打磨了產(chǎn)品，吸引了更多的用戶。再加上我們本身就有攻擊檢測(cè)引擎、釣魚檢測(cè)引擎等，這些標(biāo)簽和數(shù)據(jù)逐漸沉淀成了我們最深的護(hù)城河。

轉(zhuǎn)折點(diǎn)發(fā)生在 2024 年底到 2025 年初。

當(dāng)時(shí)穩(wěn)定幣的發(fā)行量開始瘋漲，這個(gè)市場不再只是Crypto Native（加密原生）的人在參與了。很多傳統(tǒng)金融的人開始進(jìn)場，他們接觸到的第一個(gè)虛擬貨幣就是穩(wěn)定幣。這些人合規(guī)意識(shí)極強(qiáng)，他們一進(jìn)來就會(huì)問：我要用穩(wěn)定幣，那 AML（反洗錢）和 CFT（反恐怖主義融資）的問題怎么解？

市面上缺好的合規(guī)產(chǎn)品，而我們手里恰好有積累了三年的底層標(biāo)簽數(shù)據(jù)，所以我們很迅速地推出了反洗錢產(chǎn)品。整個(gè)過程其實(shí)挺自然的，我們根據(jù)市場需求的變化，從一個(gè)單純的安全服務(wù)商，變成了一個(gè)「安全+合規(guī)」的綜合性供應(yīng)商。

潛伏

要做反洗錢，首先得深刻理解黑灰產(chǎn)到底是怎么用錢的。

在我們的研究視角里，加密貨幣犯罪通常被分為兩類：一類是「加密原生」的，比如針對(duì) DeFi 協(xié)議的代碼漏洞攻擊、私鑰被盜或釣魚。如果沒有區(qū)塊鏈，這些犯罪壓根不會(huì)存在。

另一類則是「加密驅(qū)動(dòng)」的，如電詐、勒索和人口販賣。加密貨幣的出現(xiàn)，極大地提高了它們跨境轉(zhuǎn)賬的效率和匿名性。在這些場景中，最讓我們感到震撼的，是東南亞電詐產(chǎn)業(yè)鏈里的人口販賣。

很多人覺得電詐離自己很遠(yuǎn)，但你看他們的招聘廣告，誘惑力極其精準(zhǔn)：月薪 1.9 萬人民幣起步，包機(jī)票、包吃住，甚至還煞有介事地承諾「必須購買深圳社保」。這種專門針對(duì) 18 到 37 周歲年輕人的詐騙手段，誘騙了大量受害者跨越邊境，進(jìn)入那些分布在緬甸、柬埔寨或老撾的詐騙園區(qū)。

現(xiàn)在的電詐園區(qū)，組織架構(gòu)嚴(yán)密得和正規(guī)公司沒什么區(qū)別，財(cái)務(wù)、技術(shù)、話務(wù)組一應(yīng)俱全。為了維持這種龐大的運(yùn)作，它們需要不斷補(bǔ)充「勞動(dòng)力」，而園區(qū)（需方）和人販子（供方）互不認(rèn)識(shí)，在網(wǎng)上交流完全沒有信任。

于是，一種專門為非法交易提供信用背書的中間環(huán)節(jié)誕生了，也就是「勞務(wù)擔(dān)保平臺(tái)」。

這套系統(tǒng)的運(yùn)作邏輯其實(shí)很像淘寶。園區(qū)先在擔(dān)保平臺(tái)存入一筆 USDT 押金；人販子負(fù)責(zé)誘騙受害者跨越邊境，送到指定的「驗(yàn)貨」地點(diǎn)。

雙方在 Telegram 私人群組里確認(rèn)無誤后，平臺(tái)就會(huì)將押金釋放給人販子。這種交易信奉的就是「人到錢到」，如果哪方想賴賬，平臺(tái)就會(huì)根據(jù)規(guī)則凍結(jié)或沒收押金來補(bǔ)償另一方。

為了招攬生意，這些平臺(tái)會(huì)在 Telegram 里開大量公開頻道「秀肌肉」。比如在領(lǐng)航擔(dān)保或好旺擔(dān)保的頻道里，系統(tǒng)機(jī)器人會(huì)實(shí)時(shí)發(fā)布成交截圖和鏈上轉(zhuǎn)賬記錄。他們甚至還會(huì)像正規(guī)電商一樣搞促銷，比如代收傭金、廣告買 10 送 2。

這也是我們觀察黑產(chǎn)最直接的切口。

從 2025 年 2 月到 8 月，我們開發(fā)了一套自動(dòng)化系統(tǒng)，持續(xù)潛伏在這些群組里抓取情報(bào)。因?yàn)槿豪锏牧奶斐涑庵谠挘覀儗ｉT訓(xùn)練了一個(gè)大語言模型用來分析。

在黑產(chǎn)的話術(shù)里，受害者是「魚」，詐騙套路和受害者信息被稱為「料」。料性分得很細(xì)，有「三黑料」、「混料」、「機(jī)票料」等。根據(jù)洗錢環(huán)節(jié)，還分為直接從受害人手里接錢的「一道料」，以及經(jīng)過分層處理的「二道料」。

還有一種叫「手機(jī)口」的工作，國內(nèi)的幫兇利用音頻線或特定 APP，將境外的詐騙電話中繼到國內(nèi)手機(jī)上撥出，以此繞過運(yùn)營商的反詐攔截，每小時(shí)就能賺取約 200 USDT。他們找了很多小鎮(zhèn)青年做這個(gè)事情。

在這些黑產(chǎn)群里，甚至公然流傳著《防警察教程》，事無巨細(xì)地教大家如何冷靜應(yīng)對(duì)偵查，比如一口咬死手機(jī)丟了、提前刪掉腳本和加密通訊軟件。教程末尾還寫著一句非常諷刺的話——「致敬每一位努力的人」。

通過半年的自動(dòng)監(jiān)測(cè)，對(duì)于其中的一個(gè)擔(dān)保平臺(tái)，我們總共識(shí)別出了 634 個(gè)與販賣人口團(tuán)伙關(guān)聯(lián)的地址，累計(jì)追蹤到的非法交易金額接近 1200 萬美元。最活躍的時(shí)候，每天有 10 個(gè)人通過這一個(gè)擔(dān)保平臺(tái)被賣進(jìn)園區(qū)。實(shí)際情況可能更嚴(yán)重，因?yàn)檫€有其他擔(dān)保平臺(tái)的存在。

在追蹤資金去向時(shí)，我們發(fā)現(xiàn)這些錢絕大部分都在波場鏈上，且主要使用穩(wěn)定幣 USDT。因?yàn)椴▓霾僮鏖T檻低、手續(xù)費(fèi)便宜，非常適合這些技術(shù)水平有限的犯罪團(tuán)伙。雖然現(xiàn)在波場手續(xù)費(fèi)也變高了，但是他們已經(jīng)養(yǎng)成了使用習(xí)慣，很難再改用其他方式。

我們分析了 120 多個(gè)團(tuán)伙的資金流發(fā)現(xiàn)，這些非法所得最終有超過 34.9% 流向了 OKX 的熱錢包，6.9% 流向了幣安，還有 14.4% 流向了匯旺相關(guān)的熱錢包。

當(dāng)你能看清這些錢是怎么來的、怎么流的，反洗錢才不是一句空話。這種從底層群組抓回來的真實(shí)數(shù)據(jù)，才是目前安全合規(guī)最核心的壁壘。

12秒：在內(nèi)存池「截胡」黑客

在安全行業(yè)，大家一直有個(gè)心結(jié)：審計(jì)只能保證代碼在上線那一刻是安全的。但項(xiàng)目一旦跑起來，面對(duì)的是全球黑客 24 小時(shí)無死角的盯梢。如果審計(jì)是「靜態(tài)防守」，那我們能不能想辦法做「動(dòng)態(tài)攔截」？

2022 年，我們?cè)谧鰧徲?jì)的同時(shí)，上線了鏈上攻擊監(jiān)控平臺(tái)。這個(gè)產(chǎn)品的底層邏輯，是盯著以太坊的 Mempool（內(nèi)存池）。你可以把內(nèi)存池想象成一個(gè)候車廳，所有的交易在被正式打包進(jìn)區(qū)塊、存入賬本之前，都要先在這里排隊(duì)。

在這個(gè)候車廳里，我們不僅盯著普通用戶的交易，更盯著那些帶有攻擊特征的腳本。一旦監(jiān)測(cè)到疑似攻擊的交易，我們的系統(tǒng)會(huì)立刻在私有鏈環(huán)境里啟動(dòng)自動(dòng)分析：它到底想干什么？邏輯是否成立？會(huì)偷走多少錢？

最驚心動(dòng)魄的博弈，通常發(fā)生在短短的 12 秒之內(nèi)。

以太坊合并之后，出塊時(shí)間固定在了 12 秒。這意味著，從黑客發(fā)出攻擊指令，到這筆交易真正被打包確認(rèn)，中間有一個(gè)極其短暫的窗口期。這幾秒鐘，就是留給白帽的黃金救援時(shí)間。

我們的系統(tǒng)在確認(rèn)攻擊后，會(huì)自動(dòng)生成一筆「搶跑（Front-running）」交易。這筆交易的內(nèi)容和黑客的幾乎一模一樣，但關(guān)鍵的區(qū)別在于，我們將資金的接收地址，從黑客的錢包修改成了我們預(yù)設(shè)的安全地址。

為了跑贏黑客，我們必須在礦工那里獲得打包優(yōu)先權(quán)。

黑客為了追求利潤最大化，通常會(huì)設(shè)置一個(gè)標(biāo)準(zhǔn)的 Gas Fee。而我們會(huì)通過算法，把 Gas Fee 調(diào)得非常高，甚至直接把這筆錢的一部分分給礦工。在利益驅(qū)動(dòng)下，礦工會(huì)優(yōu)先打包我們的交易。當(dāng)我們的交易成功執(zhí)行，黑客的那筆交易就會(huì)自動(dòng)失效。

這種能力在實(shí)戰(zhàn)中救過很多項(xiàng)目的命。

最典型的一次，是我們?cè)趦?nèi)存池中成功截胡了針對(duì)某協(xié)議的攻擊，一次性幫項(xiàng)目方搶救回了 2909 枚以太坊。當(dāng)時(shí)黑客已經(jīng)觸發(fā)了漏洞，眼看幾千萬美元就要被卷走，我們的監(jiān)控系統(tǒng)瞬間報(bào)警，并在幾秒鐘內(nèi)完成了攻擊模擬、交易生成和 Gas 競價(jià)。最終，那筆巨款先于黑客一步，轉(zhuǎn)移到了我們的安全地址。

以前，項(xiàng)目方被偷了只能去發(fā)推特求助，或者跟黑客商量能不能給點(diǎn)賞金把錢退回來。但現(xiàn)在，我們通過技術(shù)手段，在黑客得手的前一秒，強(qiáng)行把錢截獲了。

只有你能比黑客更懂代碼、比黑客跑得更快，你才能在這個(gè)「Code is law」的黑暗森林里守住最后一道防線。

尾聲

如果說過去十年的加密世界，是一場「淘金熱」，那么站在 2025 年這個(gè)節(jié)點(diǎn)上，我們看到的則是一場關(guān)于「確定性」的回歸。當(dāng)穩(wěn)定幣規(guī)模沖向 3000 億美元的波瀾壯闊，當(dāng)一個(gè)數(shù)字新金融體系從「荒野」走向「城邦」，技術(shù)不再僅僅是致富的杠桿，它必須首先成為抵御幽暗人性的盾牌。

周亞金和他的團(tuán)隊(duì)所經(jīng)歷的轉(zhuǎn)型，本質(zhì)上也是這一商業(yè)邏輯的折射。從代碼審計(jì)到動(dòng)態(tài)攔截，再到對(duì)黑產(chǎn)鏈路的深潛與拆解，這并非某個(gè)人的孤勇，而是技術(shù)演進(jìn)到一定體量后必然產(chǎn)生的防御機(jī)制。

在這個(gè)代碼即法律的世界里，如果不去解決非法資金流竄與安全防御失效的頑疾，那么所謂的「金融革命」就永遠(yuǎn)只能停留在少數(shù)人的游戲里。

商業(yè)史上，任何一個(gè)能走向主流的行業(yè)，都曾經(jīng)歷過從混亂到法治的劇痛。這或許是一個(gè)漫長且枯燥的過程，但正如周亞金所言，安全最終的形態(tài)是「無感」。

只有當(dāng)安全變得像空氣一樣無處不在卻又被所有人忽視時(shí)，這個(gè)曾經(jīng)充滿變數(shù)的數(shù)字荒原，才算真正完成了它的文明拓荒。