潛伏在600個電詐群，他想把黑產的錢攔下來

原文標題：《潛伏在 600 個電詐群，他想把黑產的錢攔下來》

原文作者：Sleepy.txt，動察 Beating

在商業史上，凡是財富湧集之處，必有法律與秩序的拉鋸。

站在 2025 年的尾巴上回望，全球穩定幣的發行規模已站穩 3000 億美元關口，較去年翻了近三倍，每月的交易量更是達到了 4 到 5 萬億美元的驚人量級。穩定幣這種加密資產，已經撕掉了「極客玩具」的標籤，轉而成為了傳統金融進入數位世界的頭號入口。

然而，繁榮之下暗藏陰影。根據最新的行業報告，2025 年全球非法地址接收的資金規模預估將突破 513 億美元。當成百上千億的資金在幾秒鐘內就能完成跨境流轉，傳統的監管手段往往跟不上這種流速，很難在第一時間分辨出哪些是合法的生意，哪些是犯罪的贓款。

在這片規則尚未完全定型的世界裡，周亞金教授是一位特殊的創業者。

周亞金的職業路徑，是一位精英學者與產業深度碰撞的典型縮影。2010 年，他遠赴美國攻讀博士學位，在移動安全領域深耕五年，隨後與導師蔣旭憲教授共同加入奇虎 360，完成了從實驗室到產業一線的第一步跨越。2018 年，他選擇回到浙江大學執掌教鞭。三年後，他再度投身產業浪潮，創辦了區塊鏈安全公司 BlockSec。

在過去的四年裡，周亞金帶領 BlockSec 完成了一次業務重心的遷移。從最初的智能合約碼審計，逐步延伸到了安全監控、資金追溯以及反洗錢合規等更深層的領域。

周亞金和他的團隊長期深耕鏈上數據的專項研究，甚至通過技術手段「潛伏」進東南亞電詐等黑產群組，掌握了大量鮮为人知的底層生存圖景，通過他的視角，我們或許能看清這個數位新世界裡最真實的利益博弈。

以下為周亞金的自述，由動察 Beating 編輯部在專訪後編輯整理。

本文由 Kite AI 贊助支持

Kite 是首個面向 AI 智能體支付的 Layer 1 區塊鏈，這一底層基礎設施使自主 AI 智能體能夠在具備可驗證身份、可程式治理以及原生穩定幣結算的環境中運行。

Kite 由來自 Databricks、Uber 和 UC Berkeley 的 AI 與數據基建資深專家創立，已完成 3500 萬美元融資，投資方包括 PayPal、General Catalyst、Coinbase Ventures、8VC 以及多家頂級投資基金會。

從程式碼審計到反洗錢戰場

我是 2010 年到 2015 年在美國念的博士，導師是蔣旭憲教授。我們那時候做的是移動安全，特別是安卓惡意軟件（Malware）檢測這一塊，在全世界都算做得比較早的。2015 年畢業後，我跟隨導師一起去了奇虎 360，想把研究成果做產業化。

2018 年我加入浙江大學，又從產業界回到了學術界。當時國內正好趕上 17、18 年那波 ICO 的小高潮，也讓區塊鏈進入了一小部分人的視野，我也就開始看區塊鏈安全這個方向。我觀察到那時候鏈上安全事故頻發，學術界其實已經有了不少好的解決思路，但回過頭看產業界，大家做得並不好，甚至可以說很少有人在關注這些問題。

於是 2021 年，我和吳磊老師就一起創辦了 BlockSec。

剛開始大家對「區塊鏈安全公司」的認知極其刻板：你們不就是做審計的嗎？確實，我們是從智能合約審計開始切入的。因為我們有學術研究的積累，加上團隊比較精英化，很快就在審計業務裡站穩了腳跟。但我創辦公司的角度是，不希望它僅僅是一家做安全服務的公司。因為審計解決的是上線前的安全，而對於上線之後的防護，當時業界並沒有特別好的解決方案。

所以 2022 年，我們在做審計的同時，也開始做鏈上的攻擊監控平台。我們當時對產品的構想是，我們持續對鏈上交易做監測，如果有攻擊交易發生，能自動化的去阻斷它。在這個過程中我們發現，雖然有審計和監控，但項目方還是可能被攻擊，再加上當時有很多釣魚、私鑰丟失等 C 端安全事件，用戶丟了錢，這就又衍生出了新的需求。

項目方被偷了、用戶被釣魚了，他們得去報案，得跟執法機構講清楚錢到底流向了哪裡。於是從 2022 年開始，我們做了一款資金流追蹤產品，這款產品完全是 SaaS 化的，用戶可以直接訂閱使用，我們沒有做那種 To B 銷售的模式。

結果這款產品推出後，使用者畫像讓我們大吃一驚。除了執法機構，媒體記者在用，金融機構在用，甚至還有很多接私活的私人偵探在用。這些不同背景的使用者在使用過程中，幫助我們打磨了產品，吸引了更多的使用者。再加上我們本身就有攻擊檢測引擎、釣魚檢測引擎等，這些標籤和資料逐漸沉澱成了我們最深的護城河。

轉折點發生在 2024 年底到 2025 年初。

當時穩定幣的發行量開始瘋狂上漲，這個市場不再只是 Crypto Native（加密原生）的人在參與了。很多傳統金融的人開始進場，他們接觸到的第一個虛擬貨幣就是穩定幣。這些人合規意識極強，他們一進來就會問：我要用穩定幣，那 AML（反洗錢）和 CFT（反恐怖主義融資）的問題怎麼解？

市面上缺好的合規產品，而我們手裡恰好有積累了三年的底層標籤資料，所以我們很迅速地推出了反洗錢產品。整個過程其實挺自然的，我們根據市場需求的變化，從一個單純的安全服務商，變成了一個「安全+合規」的綜合性供應商。

潛伏

要做反洗錢，首先得深刻理解黑灰產到底是怎麼用錢的。

在我們的研究視角裡，加密貨幣犯罪通常被分為兩類：一類是「加密原生」的，比如針對 DeFi 協議的程式碼漏洞攻擊、私鑰被盜或釣魚。如果沒有區塊鏈，這些犯罪壓根不會存在。

另一類則是「加密驅動」的，如電詐、勒索和人口販賣。加密貨幣的出現，極大地提高了它們跨境轉帳的效率和匿名性。在這些場景中，最讓我們感到震撼的，是東南亞電詐產業鏈裡的人口販賣。

很多人覺得電詐離自己很遠，但你看他們的招聘廣告，誘惑力極其精準：月薪 1.9 萬人民幣起步，包機票、包吃住，甚至還煞有介事地承諾「必須購買深圳社保」。這種專門針對 18 到 37 歲年輕人的詐騙手段，誘騙了大量受害者跨越邊境，進入那些分佈在緬甸、柬埔寨或老撾的詐騙園區。

現在的電詐園區，組織架構嚴密得和正規公司沒什麼區別，財務、技術、話務組一應俱全。為了維持這種龐大的運作，它們需要不斷補充「勞動力」，而園區（需方）和人販子（供方）互不認識，在網上交流完全沒有信任。

於是，一種專門為非法交易提供信用背書的中間環節誕生了，也就是「勞務擔保平台」。

這套系統的運作邏輯其實很像淘寶。園區先在擔保平台存入一筆 USDT 押金；人販子負責誘騙受害者跨越邊境，送到指定的「驗貨」地點。雙方在 Telegram 私人群組裡確認無誤後，平台就會將押金釋放給人販子。這種交易信奉的就是「人到錢到」，如果哪方想賴賬，平台就會根據規則凍結或沒收押金來補償另一方。

為了招攬生意，這些平台會在 Telegram 裡開大量公開頻道「秀肌肉」。比如在領航擔保或好旺擔保的頻道裡，系統機器人會實時發布成交截圖和鏈上轉賬記錄。他們甚至還會像正規電商一樣搞促銷，比如代收佣金、廣告買 10 送 2。

這也是我們觀察黑產最直接的切口。

從 2025 年 2 月到 8 月，我們開發了一套自動化系統，持續潛伏在這些群組裡抓取情報。因為群裡的聊天充斥著黑話，我們專門訓練了一個大語言模型用來分析。

在黑產的話術裡，受害者是「魚」，詐騙套路和受害者信息被稱為「料」。料性分得很細，有「三黑料」、「混料」、「機票料」等。根據洗錢環節，還分為直接從受害人手裡接錢的「一道料」，以及經過分層處理的「二道料」。

還有一種叫「手機口」的工作，國內的幫兇利用音頻線或特定 APP，將境外的詐騙電話中繼到國內手機上撥出，以此繞過運營商的反詐攔截，每小時就能賺取約 200 USDT。他們找了很多小鎮青年做這個事情。

在這些黑產群裡，甚至公然流傳著《防警察教程》，事無巨細地教大家如何冷靜應對偵查，比如一口咬死手機丟了、提前刪掉腳本和加密通訊軟件。教程末尾還寫著一句非常諷刺的話——「致敬每一位努力的人」。

通過半年的自動監測，對於其中的一個擔保平台，我們總共識別出了 634 個與販賣人口團伙關聯的地址，累計追蹤到的非法交易金額接近 1200 萬美元。最活躍的時候，每天有 10 個人通過這一個擔保平台被賣進園區。實際情況可能更嚴重，因為還有其他擔保平台的存在。

在追蹤資金去向時，我們發現這些錢絕大部分都在波場鏈上，且主要使用穩定幣 USDT。因為波場操作門檻低、手續費便宜，非常適合這些技術水平有限的犯罪團夥。雖然現在波場手續費也變高了，但是他們已經養成了使用習慣，很難再改用其他方式。

我們分析了 120 多個團夥的資金流發現，這些非法所得最終有超過 34.9% 流向了 OKX 的熱錢包，6.9% 流向了 Binance，還有 14.4% 流向了匯旺相關的熱錢包。

當你能看清這些錢是怎麼來的、怎麼流的，反洗錢才不是一句空話。這種從底層群組抓回來的真實數據，才是目前安全合規最核心的壁壘。

12 秒：在內存池「截胡」黑客

在安全行業，大家一直有個心結：審計只能保證程式在上線那一刻是安全的。但專案一旦跑起來，面對的是全球黑客 24 小時無死角的盯梢。如果審計是「靜態防守」，那我們能不能想辦法做「動態攔截」？

2022 年，我們在做審計的同時，上線了鏈上攻擊監控平台。這個產品的底層邏輯，是盯著以太坊的 Mempool（內存池）。你可以把內存池想象成一個候車廳，所有的交易在被正式打包進區塊、存入帳本之前，都要先在這裡排隊。

在這個候車廳裡，我們不僅盯著普通用戶的交易，更盯著那些帶有攻擊特徵的腳本。一旦監測到疑似攻擊的交易，我們的系統會立刻在私有鏈環境裡啟動自動分析：它到底想幹什麼？邏輯是否成立？會偷走多少錢？

最驚心動魄的博弈，通常發生在短短的 12 秒之內。

以太坊合併之後，出塊時間固定在了 12 秒。這意味著，從黑客發出攻擊指令，到這筆交易真正被打包確認，中間有一個極其短暫的窗口期。這幾秒鐘，就是留給白帽的黃金救援時間。

我們的系統在確認攻擊後，會自動生成一筆「搶跑（Front-running）」交易。這筆交易的內容和黑客的幾乎一模一樣，但關鍵的區別在於，我們將資金的接收地址，從黑客的錢包修改成了我們預設的安全地址。

為了跑贏黑客，我們必須在礦工那裡獲得打包優先權。

黑客為了追求利潤最大化，通常會設定一個標準的 Gas Fee。而我們會通過算法，把 Gas Fee 調得非常高，甚至直接把這筆錢的一部分分給礦工。在利益驅動下，礦工會優先打包我們的交易。當我們的交易成功執行，黑客的那筆交易就會自動失效。

這種能力在實戰中救過很多項目的命。

最典型的一次，是我們在內存池中成功截胡了針對某協議的攻擊，一次性幫項目方搶救回了 2909 枚以太坊。當時黑客已經觸發了漏洞，眼看幾千萬美元就要被卷走，我們的監控系統瞬間報警，並在幾秒鐘內完成了攻擊模擬、交易生成和 Gas 競價。最終，那筆巨款先於黑客一步，轉移到了我們的安全地址。

以前，項目方被偷了只能去發推特求助，或者跟黑客商量能不能給點贖金把錢退回來。但現在，我們通過技術手段，在黑客得手的前一秒，強行把錢截獲了。

只有你能比黑客更懂代碼、比黑客跑得更快，你才能在這個「Code is law」的黑暗森林裡守住最後一道防線。

尾聲

如果說過去十年的加密世界，是一場「淘金熱」，那麼站在 2025 年這個節點上，我們看到的則是一場關於「確定性」的回歸。當穩定幣規模衝向 3000 億美元的波瀾壯闊，當一個數字新金融體系從「荒野」走向「城邦」，技術不再僅僅是致富的槓桿，它必須首先成為抵禦幽暗人性的盾牌。

周亞金和他的團隊所經歷的轉型，本質上也是這一商業邏輯的折射。從代碼審計到動態攔截，再到對黑產鏈路的深潛與拆解，這並非某個人的孤勇，而是技術演進到一定體量後必然產生的防禦機制。在這個代碼即法律的世界裡，如果不去解決非法資金流竄與安全防禦失效的頑疾，那麼所謂的「金融革命」就永遠只能停留在少數人的遊戲裡。

商業史上，任何一個能走向主流的行業，都曾經歷過從混亂到法治的劇痛。這或許是一個漫長且枯燥的過程，但正如周亞金所言，安全最終的形態是「無感」。

只有當安全變得像空氣一樣無處不在卻又被所有人忽視時，這個曾經充滿變數的數字荒原，才算真正完成了它的文明拓荒。

原文連結