潛伏在600個電詐群，他想把黑產(chǎn)的錢攔下來

文 | Sleepy.txt

在商業(yè)史上，凡是財富洶涌聚集之處，必有法律與秩序的拉鋸。

站在 2025 年的尾巴上回望，全球穩(wěn)定幣的發(fā)行規(guī)模已站穩(wěn) 3000 億美元關(guān)口，較去年翻了近三倍，每月的交易量更是達到了 4 到 5 萬億美元的驚人量級。穩(wěn)定幣這種加密資產(chǎn)，已經(jīng)撕掉了「極客玩具」的標(biāo)簽，轉(zhuǎn)而成為了傳統(tǒng)金融進入數(shù)字世界的頭號入口。

然而，繁榮之下暗藏陰影。根據(jù)最新的行業(yè)報告，2025 年全球非法地址接收的資金規(guī)模預(yù)估將突破 513 億美元。當(dāng)成百上千億的資金在幾秒鐘內(nèi)就能完成跨境流轉(zhuǎn)，傳統(tǒng)的監(jiān)管手段往往跟不上這種流速，很難在第一時間分辨出哪些是合法的生意，哪些是犯罪的贓款。

在這片規(guī)則尚未完全定型的世界里，周亞金教授是一位特殊的創(chuàng)業(yè)者。

周亞金的職業(yè)路徑，是一位精英學(xué)者與產(chǎn)業(yè)深度碰撞的典型縮影。2010 年，他遠赴美國攻讀博士學(xué)位，在移動安全領(lǐng)域深耕五年，隨后與導(dǎo)師蔣旭憲教授共同加入奇虎 360，完成了從實驗室到產(chǎn)業(yè)一線的第一步跨越。2018 年，他選擇回到浙江大學(xué)執(zhí)掌教鞭。

三年后，他再度投身產(chǎn)業(yè)浪潮，創(chuàng)辦了區(qū)塊鏈安全公司 BlockSec。

在過去的四年里，周亞金帶領(lǐng) BlockSec 完成了一次業(yè)務(wù)重心的遷移。從最初的智能合約代碼審計，逐步延伸到了安全監(jiān)控、資金溯源以及反洗錢合規(guī)等更深層的領(lǐng)域。

周亞金和他的團隊長期深耕鏈上數(shù)據(jù)的專項研究，甚至通過技術(shù)手段「潛伏」進東南亞電詐等黑產(chǎn)群組，掌握了大量鮮為人知的底層生存圖景，通過他的視角，我們或許能看清這個數(shù)字新世界里最真實的利益博弈。

以下為周亞金的自述，由動察Beating編輯部在專訪后編輯整理。

本文由 Kite AI 贊助支持

Kite 是首個面向 AI 智能體支付的 Layer 1區(qū)塊鏈，這一底層基礎(chǔ)設(shè)施使自主 AI 智能體能夠在具備可驗證身份、可編程治理以及原生穩(wěn)定幣結(jié)算的環(huán)境中運行。

Kite 由來自 Databricks、Uber 和 UC Berkeley 的 AI 與數(shù)據(jù)基建資深專家創(chuàng)立，已完成 3500 萬美元融資，投資方包括 PayPal、General Catalyst、Coinbase Ventures、8VC 以及多家頂級投資基金會。

從代碼審計到反洗錢戰(zhàn)場

我是 2010 年到 2015 年在美國念的博士，導(dǎo)師是蔣旭憲教授。我們那時候做的是移動安全，特別是安卓惡意軟件（Malware）檢測這一塊，在全世界都算做得比較早的。2015 年畢業(yè)后，我跟隨導(dǎo)師一起去了奇虎 360，想把研究成果做產(chǎn)業(yè)化。

2018 年我加入浙江大學(xué)，又從產(chǎn)業(yè)界回到了學(xué)術(shù)界。當(dāng)時國內(nèi)正好趕上 17、18 年那波ICO的小高潮，也讓區(qū)塊鏈進入了一小部分人的視野，我也就開始看區(qū)塊鏈安全這個方向。

我觀察到那時候鏈上安全事故頻發(fā)，學(xué)術(shù)界其實已經(jīng)有了不少好的解決思路，但回過頭看產(chǎn)業(yè)界，大家做得并不好，甚至可以說很少有人在關(guān)注這些問題。

于是 2021 年，我和吳磊老師就一起創(chuàng)辦了 BlockSec。

剛開始大家對「區(qū)塊鏈安全公司」的認(rèn)知極其刻板：你們不就是做審計的嗎？確實，我們是從智能合約審計開始切入的。

因為我們有學(xué)術(shù)研究的積累，加上團隊比較精英化，很快就在審計業(yè)務(wù)里站穩(wěn)了腳跟。但我創(chuàng)辦公司的角度是，不希望它僅僅是一家做安全服務(wù)的公司。因為審計解決的是上線前的安全，而對于上線之后的防護，當(dāng)時業(yè)界并沒有特別好的解決方案。

所以 2022 年，我們在做審計的同時，也開始做鏈上的攻擊監(jiān)控平臺。我們當(dāng)時對產(chǎn)品的構(gòu)想是，我們持續(xù)對鏈上交易做監(jiān)測，如果有攻擊交易發(fā)生，能自動化的去阻斷它。

在這個過程中我們發(fā)現(xiàn)，雖然有審計和監(jiān)控，但項目方還是可能被攻擊，再加上當(dāng)時有很多釣魚、私鑰丟失等 C 端安全事件，用戶丟了錢，這就又衍生出了新的需求。

項目方被偷了、用戶被釣魚了，他們得去報案，得跟執(zhí)法機構(gòu)講清楚錢到底流向了哪里。于是從 2022 年開始，我們做了一款資金流追蹤產(chǎn)品，這款產(chǎn)品完全是 SaaS 化的，用戶可以直接訂閱使用，我們沒有做那種 To B 銷售的模式。

結(jié)果這款產(chǎn)品推出后，用戶畫像讓我們大吃一驚。除了執(zhí)法機構(gòu)，媒體記者在用，金融機構(gòu)在用，甚至還有很多接私活的私人偵探在用。

這些不同背景的用戶在使用過程中，幫助我們打磨了產(chǎn)品，吸引了更多的用戶。再加上我們本身就有攻擊檢測引擎、釣魚檢測引擎等，這些標(biāo)簽和數(shù)據(jù)逐漸沉淀成了我們最深的護城河。

轉(zhuǎn)折點發(fā)生在 2024 年底到 2025 年初。

當(dāng)時穩(wěn)定幣的發(fā)行量開始瘋漲，這個市場不再只是Crypto Native（加密原生）的人在參與了。很多傳統(tǒng)金融的人開始進場，他們接觸到的第一個虛擬貨幣就是穩(wěn)定幣。這些人合規(guī)意識極強，他們一進來就會問：我要用穩(wěn)定幣，那 AML（反洗錢）和 CFT（反恐怖主義融資）的問題怎么解？

市面上缺好的合規(guī)產(chǎn)品，而我們手里恰好有積累了三年的底層標(biāo)簽數(shù)據(jù)，所以我們很迅速地推出了反洗錢產(chǎn)品。整個過程其實挺自然的，我們根據(jù)市場需求的變化，從一個單純的安全服務(wù)商，變成了一個「安全+合規(guī)」的綜合性供應(yīng)商。

潛伏

要做反洗錢，首先得深刻理解黑灰產(chǎn)到底是怎么用錢的。

在我們的研究視角里，加密貨幣犯罪通常被分為兩類：一類是「加密原生」的，比如針對 DeFi 協(xié)議的代碼漏洞攻擊、私鑰被盜或釣魚。如果沒有區(qū)塊鏈，這些犯罪壓根不會存在。

另一類則是「加密驅(qū)動」的，如電詐、勒索和人口販賣。加密貨幣的出現(xiàn)，極大地提高了它們跨境轉(zhuǎn)賬的效率和匿名性。在這些場景中，最讓我們感到震撼的，是東南亞電詐產(chǎn)業(yè)鏈里的人口販賣。

很多人覺得電詐離自己很遠，但你看他們的招聘廣告，誘惑力極其精準(zhǔn)：月薪 1.9 萬人民幣起步，包機票、包吃住，甚至還煞有介事地承諾「必須購買深圳社保」。這種專門針對 18 到 37 周歲年輕人的詐騙手段，誘騙了大量受害者跨越邊境，進入那些分布在緬甸、柬埔寨或老撾的詐騙園區(qū)。

現(xiàn)在的電詐園區(qū)，組織架構(gòu)嚴(yán)密得和正規(guī)公司沒什么區(qū)別，財務(wù)、技術(shù)、話務(wù)組一應(yīng)俱全。為了維持這種龐大的運作，它們需要不斷補充「勞動力」，而園區(qū)（需方）和人販子（供方）互不認(rèn)識，在網(wǎng)上交流完全沒有信任。

于是，一種專門為非法交易提供信用背書的中間環(huán)節(jié)誕生了，也就是「勞務(wù)擔(dān)保平臺」。

這套系統(tǒng)的運作邏輯其實很像淘寶。園區(qū)先在擔(dān)保平臺存入一筆 USDT 押金；人販子負(fù)責(zé)誘騙受害者跨越邊境，送到指定的「驗貨」地點。

雙方在 Telegram 私人群組里確認(rèn)無誤后，平臺就會將押金釋放給人販子。這種交易信奉的就是「人到錢到」，如果哪方想賴賬，平臺就會根據(jù)規(guī)則凍結(jié)或沒收押金來補償另一方。

為了招攬生意，這些平臺會在 Telegram 里開大量公開頻道「秀肌肉」。比如在領(lǐng)航擔(dān)保或好旺擔(dān)保的頻道里，系統(tǒng)機器人會實時發(fā)布成交截圖和鏈上轉(zhuǎn)賬記錄。他們甚至還會像正規(guī)電商一樣搞促銷，比如代收傭金、廣告買 10 送 2。

這也是我們觀察黑產(chǎn)最直接的切口。

從 2025 年 2 月到 8 月，我們開發(fā)了一套自動化系統(tǒng)，持續(xù)潛伏在這些群組里抓取情報。因為群里的聊天充斥著黑話，我們專門訓(xùn)練了一個大語言模型用來分析。

在黑產(chǎn)的話術(shù)里，受害者是「魚」，詐騙套路和受害者信息被稱為「料」。料性分得很細(xì)，有「三黑料」、「混料」、「機票料」等。根據(jù)洗錢環(huán)節(jié)，還分為直接從受害人手里接錢的「一道料」，以及經(jīng)過分層處理的「二道料」。

還有一種叫「手機口」的工作，國內(nèi)的幫兇利用音頻線或特定 APP，將境外的詐騙電話中繼到國內(nèi)手機上撥出，以此繞過運營商的反詐攔截，每小時就能賺取約 200 USDT。他們找了很多小鎮(zhèn)青年做這個事情。

在這些黑產(chǎn)群里，甚至公然流傳著《防警察教程》，事無巨細(xì)地教大家如何冷靜應(yīng)對偵查，比如一口咬死手機丟了、提前刪掉腳本和加密通訊軟件。教程末尾還寫著一句非常諷刺的話——「致敬每一位努力的人」。

通過半年的自動監(jiān)測，對于其中的一個擔(dān)保平臺，我們總共識別出了 634 個與販賣人口團伙關(guān)聯(lián)的地址，累計追蹤到的非法交易金額接近 1200 萬美元。最活躍的時候，每天有 10 個人通過這一個擔(dān)保平臺被賣進園區(qū)。實際情況可能更嚴(yán)重，因為還有其他擔(dān)保平臺的存在。

在追蹤資金去向時，我們發(fā)現(xiàn)這些錢絕大部分都在波場鏈上，且主要使用穩(wěn)定幣 USDT。因為波場操作門檻低、手續(xù)費便宜，非常適合這些技術(shù)水平有限的犯罪團伙。雖然現(xiàn)在波場手續(xù)費也變高了，但是他們已經(jīng)養(yǎng)成了使用習(xí)慣，很難再改用其他方式。

我們分析了 120 多個團伙的資金流發(fā)現(xiàn)，這些非法所得最終有超過 34.9% 流向了 OKX 的熱錢包，6.9% 流向了幣安，還有 14.4% 流向了匯旺相關(guān)的熱錢包。

當(dāng)你能看清這些錢是怎么來的、怎么流的，反洗錢才不是一句空話。這種從底層群組抓回來的真實數(shù)據(jù)，才是目前安全合規(guī)最核心的壁壘。

12秒：在內(nèi)存池「截胡」黑客

在安全行業(yè)，大家一直有個心結(jié)：審計只能保證代碼在上線那一刻是安全的。但項目一旦跑起來，面對的是全球黑客 24 小時無死角的盯梢。如果審計是「靜態(tài)防守」，那我們能不能想辦法做「動態(tài)攔截」？

2022 年，我們在做審計的同時，上線了鏈上攻擊監(jiān)控平臺。這個產(chǎn)品的底層邏輯，是盯著以太坊的 Mempool（內(nèi)存池）。你可以把內(nèi)存池想象成一個候車廳，所有的交易在被正式打包進區(qū)塊、存入賬本之前，都要先在這里排隊。

在這個候車廳里，我們不僅盯著普通用戶的交易，更盯著那些帶有攻擊特征的腳本。一旦監(jiān)測到疑似攻擊的交易，我們的系統(tǒng)會立刻在私有鏈環(huán)境里啟動自動分析：它到底想干什么？邏輯是否成立？會偷走多少錢？

最驚心動魄的博弈，通常發(fā)生在短短的 12 秒之內(nèi)。

以太坊合并之后，出塊時間固定在了 12 秒。這意味著，從黑客發(fā)出攻擊指令，到這筆交易真正被打包確認(rèn)，中間有一個極其短暫的窗口期。這幾秒鐘，就是留給白帽的黃金救援時間。

我們的系統(tǒng)在確認(rèn)攻擊后，會自動生成一筆「搶跑（Front-running）」交易。這筆交易的內(nèi)容和黑客的幾乎一模一樣，但關(guān)鍵的區(qū)別在于，我們將資金的接收地址，從黑客的錢包修改成了我們預(yù)設(shè)的安全地址。

為了跑贏黑客，我們必須在礦工那里獲得打包優(yōu)先權(quán)。

黑客為了追求利潤最大化，通常會設(shè)置一個標(biāo)準(zhǔn)的 Gas Fee。而我們會通過算法，把 Gas Fee 調(diào)得非常高，甚至直接把這筆錢的一部分分給礦工。在利益驅(qū)動下，礦工會優(yōu)先打包我們的交易。當(dāng)我們的交易成功執(zhí)行，黑客的那筆交易就會自動失效。

這種能力在實戰(zhàn)中救過很多項目的命。

最典型的一次，是我們在內(nèi)存池中成功截胡了針對某協(xié)議的攻擊，一次性幫項目方搶救回了 2909 枚以太坊。當(dāng)時黑客已經(jīng)觸發(fā)了漏洞，眼看幾千萬美元就要被卷走，我們的監(jiān)控系統(tǒng)瞬間報警，并在幾秒鐘內(nèi)完成了攻擊模擬、交易生成和 Gas 競價。最終，那筆巨款先于黑客一步，轉(zhuǎn)移到了我們的安全地址。

以前，項目方被偷了只能去發(fā)推特求助，或者跟黑客商量能不能給點賞金把錢退回來。但現(xiàn)在，我們通過技術(shù)手段，在黑客得手的前一秒，強行把錢截獲了。

只有你能比黑客更懂代碼、比黑客跑得更快，你才能在這個「Code is law」的黑暗森林里守住最后一道防線。

尾聲

如果說過去十年的加密世界，是一場「淘金熱」，那么站在 2025 年這個節(jié)點上，我們看到的則是一場關(guān)于「確定性」的回歸。當(dāng)穩(wěn)定幣規(guī)模沖向 3000 億美元的波瀾壯闊，當(dāng)一個數(shù)字新金融體系從「荒野」走向「城邦」，技術(shù)不再僅僅是致富的杠桿，它必須首先成為抵御幽暗人性的盾牌。

周亞金和他的團隊所經(jīng)歷的轉(zhuǎn)型，本質(zhì)上也是這一商業(yè)邏輯的折射。從代碼審計到動態(tài)攔截，再到對黑產(chǎn)鏈路的深潛與拆解，這并非某個人的孤勇，而是技術(shù)演進到一定體量后必然產(chǎn)生的防御機制。

在這個代碼即法律的世界里，如果不去解決非法資金流竄與安全防御失效的頑疾，那么所謂的「金融革命」就永遠只能停留在少數(shù)人的游戲里。

商業(yè)史上，任何一個能走向主流的行業(yè)，都曾經(jīng)歷過從混亂到法治的劇痛。這或許是一個漫長且枯燥的過程，但正如周亞金所言，安全最終的形態(tài)是「無感」。

只有當(dāng)安全變得像空氣一樣無處不在卻又被所有人忽視時，這個曾經(jīng)充滿變數(shù)的數(shù)字荒原，才算真正完成了它的文明拓荒。