潜伏在600个电诈群，他想把黑产的钱拦下来

原文标题：《潜伏在 600 个电诈群，他想把黑产的钱拦下来》

原文作者：Sleepy.txt，动察 Beating

在商业史上，凡是财富汹涌聚集之处，必有法律与秩序的拉锯。

站在 2025 年的尾巴上回望，全球稳定币的发行规模已站稳 3000 亿美元关口，较去年翻了近三倍，每月的交易量更是达到了 4 到 5 万亿美元的惊人量级。稳定币这种加密资产，已经撕掉了「极客玩具」的标签，转而成为了传统金融进入数字世界的头号入口。

然而，繁荣之下暗藏阴影。根据最新的行业报告，2025 年全球非法地址接收的资金规模预估将突破 513 亿美元。当成百上千亿的资金在几秒钟内就能完成跨境流转，传统的监管手段往往跟不上这种流速，很难在第一时间分辨出哪些是合法的生意，哪些是犯罪的赃款。

在这片规则尚未完全定型的世界里，周亚金教授是一位特殊的创业者。

周亚金的职业路径，是一位精英学者与产业深度碰撞的典型缩影。2010 年，他远赴美国攻读博士学位，在移动安全领域深耕五年，随后与导师蒋旭宪教授共同加入奇虎 360，完成了从实验室到产业一线的第一步跨越。2018 年，他选择回到浙江大学执掌教鞭。三年后，他再度投身产业浪潮，创办了区块链安全公司 BlockSec。

在过去的四年里，周亚金带领 BlockSec 完成了一次业务重心的迁移。从最初的智能合约代码审计，逐步延伸到了安全监控、资金溯源以及反洗钱合规等更深层的领域。

周亚金和他的团队长期深耕链上数据的专项研究，甚至通过技术手段「潜伏」进东南亚电诈等黑产群组，掌握了大量鲜为人知的底层生存图景，通过他的视角，我们或许能看清这个数字新世界里最真实的利益博弈。

以下为周亚金的自述，由动察 Beating 编辑部在专访后编辑整理。

本文由 Kite AI 赞助支持

Kite 是首个面向 AI 智能体支付的 Layer 1 区块链，这一底层基础设施使自主 AI 智能体能够在具备可验证身份、可编程治理以及原生稳定币结算的环境中运行。

Kite 由来自 Databricks、Uber 和 UC Berkeley 的 AI 与数据基建资深专家创立，已完成 3500 万美元融资，投资方包括 PayPal、General Catalyst、Coinbase Ventures、8VC 以及多家顶级投资基金会。

从代码审计到反洗钱战场

我是 2010 年到 2015 年在美国念的博士，导师是蒋旭宪教授。我们那时候做的是移动安全，特别是安卓恶意软件（Malware）检测这一块，在全世界都算做得比较早的。2015 年毕业后，我跟随导师一起去了奇虎 360，想把研究成果做产业化。

2018 年我加入浙江大学，又从产业界回到了学术界。当时国内正好赶上 17、18 年那波 ICO 的小高潮，也让区块链进入了一小部分人的视野，我也就开始看区块链安全这个方向。我观察到那时候链上安全事故频发，学术界其实已经有了不少好的解决思路，但回过头看产业界，大家做得并不好，甚至可以说很少有人在关注这些问题。

于是 2021 年，我和吴磊老师就一起创办了 BlockSec。

刚开始大家对「区块链安全公司」的认知极其刻板：你们不就是做审计的吗？确实，我们是从智能合约审计开始切入的。因为我们有学术研究的积累，加上团队比较精英化，很快就在审计业务里站稳了脚跟。但我创办公司的角度是，不希望它仅仅是一家做安全服务的公司。因为审计解决的是上线前的安全，而对于上线之后的防护，当时业界并没有特别好的解决方案。

所以 2022 年，我们在做审计的同时，也开始做链上的攻击监控平台。我们当时对产品的构想是，我们持续对链上交易做监测，如果有攻击交易发生，能自动化的去阻断它。在这个过程中我们发现，虽然有审计和监控，但项目方还是可能被攻击，再加上当时有很多钓鱼、私钥丢失等 C 端安全事件，用户丢了钱，这就又衍生出了新的需求。

项目方被偷了、用户被钓鱼了，他们得去报案，得跟执法机构讲清楚钱到底流向了哪里。于是从 2022 年开始，我们做了一款资金流追踪产品，这款产品完全是 SaaS 化的，用户可以直接订阅使用，我们没有做那种 To B 销售的模式。

结果这款产品推出后，用户画像让我们大吃一惊。除了执法机构，媒体记者在用，金融机构在用，甚至还有很多接私活的私人侦探在用。这些不同背景的用户在使用过程中，帮助我们打磨了产品，吸引了更多的用户。再加上我们本身就有攻击检测引擎、钓鱼检测引擎等，这些标签和数据逐渐沉淀成了我们最深的护城河。

转折点发生在 2024 年底到 2025 年初。

当时稳定币的发行量开始疯涨，这个市场不再只是 Crypto Native（加密原生）的人在参与了。很多传统金融的人开始进场，他们接触到的第一个虚拟货币就是稳定币。这些人合规意识极强，他们一进来就会问：我要用稳定币，那 AML（反洗钱）和 CFT（反恐怖主义融资）的问题怎么解？

市面上缺好的合规产品，而我们手里恰好有积累了三年的底层标签数据，所以我们很迅速地推出了反洗钱产品。整个过程其实挺自然的，我们根据市场需求的变化，从一个单纯的安全服务商，变成了一个「安全+合规」的综合性供应商。

潜伏

要做反洗钱，首先得深刻理解黑灰产到底是怎么用钱的。

在我们的研究视角里，加密货币犯罪通常被分为两类：一类是「加密原生」的，比如针对 DeFi 协议的代码漏洞攻击、私钥被盗或钓鱼。如果没有区块链，这些犯罪压根不会存在。

另一类则是「加密驱动」的，如电诈、勒索和人口贩卖。加密货币的出现，极大地提高了它们跨境转账的效率和匿名性。在这些场景中，最让我们感到震撼的，是东南亚电诈产业链里的人口贩卖。

很多人觉得电诈离自己很远，但你看他们的招聘广告，诱惑力极其精准：月薪 1.9 万人民币起步，包机票、包吃住，甚至还煞有介事地承诺「必须购买深圳社保」。这种专门针对 18 到 37 周岁年轻人的诈骗手段，诱骗了大量受害者跨越边境，进入那些分布在缅甸、柬埔寨或老挝的诈骗园区。

现在的电诈园区，组织架构严密得和正规公司没什么区别，财务、技术、话务组一应俱全。为了维持这种庞大的运作，它们需要不断补充「劳动力」，而园区（需方）和人贩子（供方）互不认识，在网上交流完全没有信任。

于是，一种专门为非法交易提供信用背书的中间环节诞生了，也就是「劳务担保平台」。

这套系统的运作逻辑其实很像淘宝。园区先在担保平台存入一笔 USDT 押金；人贩子负责诱骗受害者跨越边境，送到指定的「验货」地点。双方在 Telegram 私人群组里确认无误后，平台就会将押金释放给人贩子。这种交易信奉的就是「人到钱到」，如果哪方想赖账，平台就会根据规则冻结或没收押金来补偿另一方。

为了招揽生意，这些平台会在 Telegram 里开大量公开频道「秀肌肉」。比如在领航担保或好旺担保的频道里，系统机器人会实时发布成交截图和链上转账记录。他们甚至还会像正规电商一样搞促销，比如代收佣金、广告买 10 送 2。

这也是我们观察黑产最直接的切口。

从 2025 年 2 月到 8 月，我们开发了一套自动化系统，持续潜伏在这些群组里抓取情报。因为群里的聊天充斥着黑话，我们专门训练了一个大语言模型用来分析。

在黑产的话术里，受害者是「鱼」，诈骗套路和受害者信息被称为「料」。料性分得很细，有「三黑料」、「混料」、「机票料」等。根据洗钱环节，还分为直接从受害人手里接钱的「一道料」，以及经过分层处理的「二道料」。

还有一种叫「手机口」的工作，国内的帮凶利用音频线或特定 APP，将境外的诈骗电话中继到国内手机上拨出，以此绕过运营商的反诈拦截，每小时就能赚取约 200 USDT。他们找了很多小镇青年做这个事情。

在这些黑产群里，甚至公然流传着《防警察教程》，事无巨细地教大家如何冷静应对侦查，比如一口咬死手机丢了、提前删掉脚本和加密通讯软件。教程末尾还写着一句非常讽刺的话——「致敬每一位努力的人」。

通过半年的自动监测，对于其中的一个担保平台，我们总共识别出了 634 个与贩卖人口团伙关联的地址，累计追踪到的非法交易金额接近 1200 万美元。最活跃的时候，每天有 10 个人通过这一个担保平台被卖进园区。实际情况可能更严重，因为还有其他担保平台的存在。

在追踪资金去向时，我们发现这些钱绝大部分都在波场链上，且主要使用稳定币 USDT。因为波场操作门槛低、手续费便宜，非常适合这些技术水平有限的犯罪团伙。虽然现在波场手续费也变高了，但是他们已经养成了使用习惯，很难再改用其他方式。

我们分析了 120 多个团伙的资金流发现，这些非法所得最终有超过 34.9% 流向了 OKX 的热钱包，6.9% 流向了 Binance，还有 14.4% 流向了汇旺相关的热钱包。

当你能看清这些钱是怎么来的、怎么流的，反洗钱才不是一句空话。这种从底层群组抓回来的真实数据，才是目前安全合规最核心的壁垒。

12 秒：在内存池「截胡」黑客

在安全行业，大家一直有个心结：审计只能保证代码在上线那一刻是安全的。但项目一旦跑起来，面对的是全球黑客 24 小时无死角的盯梢。如果审计是「静态防守」，那我们能不能想办法做「动态拦截」？

2022 年，我们在做审计的同时，上线了链上攻击监控平台。这个产品的底层逻辑，是盯着以太坊的 Mempool（内存池）。你可以把内存池想象成一个候车厅，所有的交易在被正式打包进区块、存入账本之前，都要先在这里排队。

在这个候车厅里，我们不仅盯着普通用户的交易，更盯着那些带有攻击特征的脚本。一旦监测到疑似攻击的交易，我们的系统会立刻在私有链环境里启动自动分析：它到底想干什么？逻辑是否成立？会偷走多少钱？

最惊心动魄的博弈，通常发生在短短的 12 秒之内。

以太坊合并之后，出块时间固定在了 12 秒。这意味着，从黑客发出攻击指令，到这笔交易真正被打包确认，中间有一个极其短暂的窗口期。这几秒钟，就是留给白帽的黄金救援时间。

我们的系统在确认攻击后，会自动生成一笔「抢跑（Front-running）」交易。这笔交易的内容和黑客的几乎一模一样，但关键的区别在于，我们将资金的接收地址，从黑客的钱包修改成了我们预设的安全地址。

为了跑赢黑客，我们必须在矿工那里获得打包优先权。

黑客为了追求利润最大化，通常会设置一个标准的 Gas Fee。而我们会通过算法，把 Gas Fee 调得非常高，甚至直接把这笔钱的一部分分给矿工。在利益驱动下，矿工会优先打包我们的交易。当我们的交易成功执行，黑客的那笔交易就会自动失效。

这种能力在实战中救过很多项目的命。

最典型的一次，是我们在内存池中成功截胡了针对某协议的攻击，一次性帮项目方抢救回了 2909 枚以太坊。当时黑客已经触发了漏洞，眼看几千万美元就要被卷走，我们的监控系统瞬间报警，并在几秒钟内完成了攻击模拟、交易生成和 Gas 竞价。最终，那笔巨款先于黑客一步，转移到了我们的安全地址。

以前，项目方被偷了只能去发推特求助，或者跟黑客商量能不能给点赏金把钱退回来。但现在，我们通过技术手段，在黑客得手的前一秒，强行把钱截获了。

只有你能比黑客更懂代码、比黑客跑得更快，你才能在这个「Code is law」的黑暗森林里守住最后一道防线。

尾声

如果说过去十年的加密世界，是一场「淘金热」，那么站在 2025 年这个节点上，我们看到的则是一场关于「确定性」的回归。当稳定币规模冲向 3000 亿美元的波澜壮阔，当一个数字新金融体系从「荒野」走向「城邦」，技术不再仅仅是致富的杠杆，它必须首先成为抵御幽暗人性的盾牌。

周亚金和他的团队所经历的转型，本质上也是这一商业逻辑的折射。从代码审计到动态拦截，再到对黑产链路的深潜与拆解，这并非某个人的孤勇，而是技术演进到一定体量后必然产生的防御机制。在这个代码即法律的世界里，如果不去解决非法资金流窜与安全防御失效的顽疾，那么所谓的「金融革命」就永远只能停留在少数人的游戏里。

商业史上，任何一个能走向主流的行业，都曾经历过从混乱到法治的剧痛。这或许是一个漫长且枯燥的过程，但正如周亚金所言，安全最终的形态是「无感」。

只有当安全变得像空气一样无处不在却又被所有人忽视时，这个曾经充满变数的数字荒原，才算真正完成了它的文明拓荒。

原文链接