Скрываясь в 600 мошеннических группах, он стремится перехватить незаконные средства

Оригинальное название статьи: "Скрываясь в 600 группах кибермошенников, он стремится перехватить незаконные средства"

Автор оригинальной статьи: Sleepy.txt, Dongcha Beating

В истории бизнеса везде, где накапливается богатство, всегда идет перетягивание каната между законом и порядком.

Оглядываясь назад из конца 2025 года, можно увидеть, что глобальная эмиссия стейблкоинов стабилизировалась на отметке 300 миллиардов долларов, увеличившись почти в три раза по сравнению с прошлым годом, а ежемесячные объемы торгов достигли поразительных 4–5 триллионов долларов. Этот криптографический актив, стейблкоин, избавился от ярлыка "игрушки для гиков" и стал основным шлюзом для входа традиционных финансов в цифровой мир.

Однако за процветанием скрывается тень. Согласно последнему отраслевому отчету, предполагаемый объем средств, полученных глобальными незаконными адресами в 2025 году, превысит 51,3 миллиарда долларов. Поскольку сотни миллиардов средств могут пересекать границы за секунды, традиционные регуляторные меры часто не успевают за этой скоростью потока, что затрудняет разграничение законного бизнеса и преступных доходов в режиме реального времени.

В этом мире, где правила еще не полностью сформированы, профессор Чжоу Яцзинь — особенный предприниматель.

Карьерный путь Чжоу Яцзиня — типичное воплощение элитного ученого, глубоко погруженного в индустрию. В 2010 году он отправился в США для получения докторской степени, пять лет углубленно изучал сферу мобильной безопасности, а затем присоединился к Qihoo 360 вместе со своим наставником профессором Цзян Сюйсянем, совершив первый скачок из лаборатории на передовую индустрии. В 2018 году он решил вернуться в Чжэцзянский университет, чтобы заняться преподавательской деятельностью. Три года спустя он снова окунулся в индустриальную волну, основав компанию по блокчейн-безопасности BlockSec.

За последние четыре года Чжоу Яцзинь привел BlockSec к смене бизнес-фокуса. Начав с первоначальных аудитов кода смарт контрактов, компания постепенно расширилась в более глубокие области, такие как мониторинг безопасности, отслеживание средств и соблюдение требований по борьбе с отмыванием денег.

Чжоу Яцзинь и его команда давно занимаются специализированными исследованиями ончейн-данных и даже "скрывались" в южноазиатских группах кибермошенников и других подпольных сообществах, получая массу малоизвестных сведений о базовых сценах выживания. Через его призму мы, возможно, сможем увидеть самую подлинную игру интересов в этом новом цифровом мире.

Ниже приведено самоповествование Чжоу Яцзиня, отредактированное и систематизированное редакцией Dongcha Beating после эксклюзивного интервью.

Эта статья спонсируется Kite AI

Kite — это первый блокчейн Layer 1, созданный для ИИ-агентов, позволяющий автономным ИИ-агентам работать в среде с проверяемой идентичностью, программируемым управлением и нативными расчетами в стейблкоинах.

Kite была основана экспертами по ИИ и инфраструктуре данных из Databricks, Uber и Калифорнийского университета в Беркли, привлекла 35 миллионов долларов финансирования, а среди инвесторов — PayPal, General Catalyst, Coinbase Ventures, 8VC и несколько ведущих инвестиционных фондов.

От аудита кода до поля битвы по борьбе с отмыванием денег

Я учился в докторантуре в США с 2010 по 2015 год под руководством профессора Цзян Сюйсяня. В то время мы сосредоточились на мобильной безопасности, особенно в области обнаружения вредоносного ПО для Android, что считалось довольно ранним этапом в мире. После окончания учебы в 2015 году я присоединился к Qihoo 360 вместе со своим руководителем, чтобы коммерциализировать наши исследования.

В 2018 году я присоединился к Чжэцзянскому университету, перейдя из индустрии обратно в академические круги. В то время в Китае наблюдался небольшой пик увлечения ICO в 2017 и 2018 годах, что привлекло внимание небольшой группы людей к блокчейну. Именно тогда я начал изучать блокчейн-безопасность. Я заметил частые инциденты безопасности в сети, и хотя у академического сообщества было много хороших решений, индустрия, с другой стороны, плохо справлялась с этими проблемами; немногие даже обращали на них внимание.

Поэтому в 2021 году профессор У Лэй и я стали соучредителями BlockSec.

Изначально у людей было очень стереотипное представление о "компании по блокчейн-безопасности": разве вы не занимаетесь просто аудитом? Действительно, мы начали с аудита смарт контрактов. Благодаря нашему академическому исследовательскому опыту и высококвалифицированной команде мы быстро утвердились в аудиторском бизнесе. Однако с точки зрения основания компании я не хотел, чтобы она была просто поставщиком услуг кибербезопасности. Аудит решает проблемы безопасности до запуска, но в то время в индустрии не было особенно хороших решений для защиты после запуска.

Поэтому в 2022 году, продолжая нашу аудиторскую работу, мы также начали разрабатывать платформу мониторинга ончейн-атак. Наша первоначальная концепция продукта включала непрерывный мониторинг ончейн-транзакций и автоматическую блокировку любых атакующих транзакций. В процессе мы обнаружили, что, несмотря на аудиты и мониторинг, команды проектов все еще могут подвергаться атакам. Кроме того, с появлением множества фишинговых афер и инцидентов безопасности конечных пользователей, таких как потеря приватных ключей, приведшая к потере денег, возникли новые требования.

Когда у команд проектов крали средства, а пользователи становились жертвами фишинга, им приходилось сообщать об инцидентах и объяснять правоохранительным органам, куда ушли деньги. Поэтому, начиная с 2022 года, мы разработали продукт для отслеживания средств, который является полностью SaaS-продуктом, на который пользователи могут подписаться напрямую; мы не использовали традиционную модель продаж B2B.

После запуска этого продукта мы были удивлены профилем пользователя. Помимо правоохранительных органов, журналистов и финансовых учреждений, его использовали даже многие частные детективы-фрилансеры. Эти пользователи из разных слоев общества помогли нам усовершенствовать продукт во время использования, привлекая больше пользователей. В сочетании с нашим собственным движком обнаружения атак, движком обнаружения фишинга и многим другим, эти теги и данные постепенно превратились в наш самый глубокий ров.

Поворотный момент произошел в конце 2024 — начале 2025 года.

В то время эмиссия стейблкоинов начала стремительно расти, и этот рынок больше не был уделом только Crypto Native лиц. Многие люди из традиционных финансов начали входить в это пространство, и их первое знакомство было со стейблкоинами. Эти люди обладали сильным осознанием комплаенса, и как только они входили, они спрашивали: если я хочу использовать стейблкоины, как нам решать вопросы AML (борьба с отмыванием денег) и CFT (противодействие финансированию терроризма)?

На рынке не хватало хороших продуктов для комплаенса, а у нас накопилось три года данных базовых тегов, поэтому мы быстро запустили продукт по борьбе с отмыванием денег. Весь процесс был на самом деле довольно естественным; в ответ на изменения рыночного спроса мы перешли от простого поставщика услуг безопасности к комплексному поставщику "безопасность + комплаенс".

Под прикрытием

Чтобы заниматься борьбой с отмыванием денег, нужно сначала глубоко понимать, как используются незаконные средства.

С нашей исследовательской точки зрения, преступления с криптовалютой обычно делятся на две категории: одна — "крипто-нативная", такая как уязвимости кода, нацеленные на протоколы DeFi, кража приватного ключа или фишинг. Без блокчейна этих преступлений вообще бы не существовало.

Вторая категория — "крипто-ориентированная", такая как онлайн-мошенничество, программы-вымогатели и торговля людьми. Появление криптовалюты значительно повысило эффективность и анонимность их трансграничных переводов. В этих сценариях нас больше всего шокировала торговля людьми в цепочке онлайн-мошенничества в Юго-Восточной Азии.

Многие люди чувствуют, что онлайн-мошенничество далеко от них, но если вы посмотрите на их объявления о работе, призыв чрезвычайно точен: начальная зарплата 19 000 юаней в месяц, включая авиабилеты, проживание и питание, и даже торжественное обещание "обязательно купить социальное страхование Шэньчжэня". Этот тип мошенничества, специально нацеленный на молодых людей в возрасте от 18 до 37 лет, обманул большое количество жертв, заставив их пересечь границы и войти в зоны мошенничества, распределенные в Мьянме, Камбодже или Лаосе.

Сегодняшние зоны онлайн-мошенничества имеют организационные структуры, столь же сплоченные, как и законные компании, с финансовыми, технологическими и колл-центрами. Чтобы поддерживать эту масштабную операцию, им нужно постоянно пополнять свою "рабочую силу", а зоны мошенничества (сторона спроса) и торговцы людьми (сторона предложения) не знают друг друга, не доверяя онлайн-общению вообще.

Поэтому появился посредник, который специально одобрял незаконные транзакции, известный как "Платформа гаранта труда".

Логика работы этой системы на самом деле очень похожа на Taobao. Парк сначала вносит определенную сумму USDT в качестве гарантии на платформу; торговец людьми отвечает за заманивание жертвы через границу и доставку их в указанное место "проверки". После того, как обе стороны подтвердят в частной группе Telegram, что все правильно, платформа выпустит депозит торговцу людьми. Соблюдаемый принцип транзакции — "Товар получен, оплата произведена". Если любая из сторон пытается уклониться, платформа заморозит или конфискует депозит в соответствии с правилами, чтобы компенсировать другой стороне.

Чтобы привлечь бизнес, эти платформы будут демонстрировать свою силу в публичных каналах Telegram. Например, в каналах навигации гарантий или Haowang, системные боты будут мгновенно публиковать скриншоты транзакций и записи ончейн-переводов. Они даже будут проводить акции, как обычная платформа электронной коммерции, например, сбор комиссии от имени или купи 10, получи 2 бесплатно.

Это также самая прямая точка наблюдения для нас, чтобы проанализировать теневую индустрию.

С февраля по август 2025 года мы разработали автоматизированную систему, которая постоянно скрывалась в этих группах для сбора разведданных. Поскольку чаты в группах были заполнены жаргоном, мы специально обучили большую языковую модель для анализа.

На жаргоне теневой индустрии жертву называют "Рыбой", а мошенническую рутину и информацию о жертве называют "Материалом". Гранулярность Материала детализирована, включая "Тройной черный материал", "Смешанный материал", "Материал авиабилета" и т. д. Основываясь на процессе отмывания денег, он далее делится на "Материал первого порядка", где деньги напрямую получены от жертвы, и "Материал второго порядка", который проходит многоуровневую обработку.

Существует также работа под названием "Мобильный доступ", где внутренние сообщники используют аудиокабели или специфические приложения для перенаправления зарубежных мошеннических звонков на внутренние мобильные телефоны, чтобы обойти антифрод-перехват телекоммуникационных компаний. Они могут зарабатывать около 200 USDT в час, выполняя это. Они наняли много молодых людей из маленьких городов для этой работы.

В этих группах теневой индустрии даже широко распространяется "Учебник по борьбе с полицией", тщательно направляющий всех, как спокойно справляться с расследованиями, например, настаивать на сообщении о потере телефона, заранее удалять скрипты и приложения для зашифрованной связи. Учебник заканчивается очень ироничным предложением — "Салют каждому трудолюбивому человеку".

Благодаря шестимесячному автоматическому мониторингу, для одной из платформ-гарантов мы идентифицировали в общей сложности 634 адреса, связанных с группой торговли людьми, отследив почти 12 миллионов долларов незаконных транзакций. На пике своей активности десять человек ежедневно переправлялись в парк через эту одну платформу-гарант. Фактическая ситуация может быть более серьезной из-за существования других платформ-гарантов.

При отслеживании потока средств мы обнаружили, что большинство этих средств находятся в сети Tron, в основном используя стейблкоин USDT. Из-за низкого барьера входа в Tron и дешевых комиссий за транзакции, он очень подходит для этих низкотехнологичных преступных групп. Хотя комиссии за транзакции Tron сейчас выросли, у них уже развилась привычка использования, что затрудняет переключение на другие методы.

Мы проанализировали потоки средств более 120 преступных групп и обнаружили, что более 34,9% этих незаконных доходов в конечном итоге поступали на горячий кошелек OKX, 6,9% — на Binance, и 14,4% — на горячие кошельки, связанные с Huobi.

Когда вы можете видеть, как пришли эти деньги и куда они потекли, борьба с отмыванием денег перестает быть пустой фразой. Эти реальные данные, принесенные с низовых групп, являются самым критическим барьером для безопасности и комплаенса.

12 секунд: "Снайпер"-хакер в мемпуле

В индустрии безопасности всегда был узел: аудит может гарантировать только то, что код безопасен в момент развертывания. Но как только проект запущен, он сталкивается с круглосуточными глобальными хакерами. Если аудит — это "статическая защита", можем ли мы найти способ сделать "динамический перехват"?

В 2022 году, проводя аудиты, мы запустили платформу мониторинга ончейн-атак. Базовая логика этого продукта — мониторинг мемпула Эфириума. Вы можете думать о мемпуле как о зале ожидания, где все транзакции должны выстроиться в очередь, прежде чем будут официально упакованы в блок и записаны в реестр.

В этом зале ожидания мы отслеживаем не только обычные транзакции пользователей, но и транзакции с характеристиками атаки. Как только обнаруживается подозрительная транзакция, которая выглядит как атака, наша система немедленно инициирует автоматический анализ в среде частной цепи: что она хочет сделать? Сохраняется ли логика? Сколько денег она украдет?

Самая захватывающая игра обычно происходит всего за 12 секунд.

После слияния Эфириума время блока было зафиксировано на 12 секундах. Это означает, что с момента, когда хакер отдает команду атаки, до момента, когда эта транзакция фактически упакована и подтверждена, существует чрезвычайно короткое окно времени. Эти несколько секунд — золотое время спасения, данное белым хакерам.

После подтверждения атаки наша система автоматически генерирует транзакцию "фронтраннинга". Содержание этой транзакции почти идентично хакерскому, но решающее отличие заключается в том, что мы меняем адрес получения средств с кошелька хакера на наш предопределенный безопасный адрес.

Чтобы опередить хакера, мы должны получить приоритет во включении транзакции в блок майнером.

Хакеры, чтобы максимизировать прибыль, обычно устанавливают стандартную комиссию за газ (Gas Fee). Мы, с другой стороны, используем алгоритм, чтобы значительно увеличить комиссию за газ, даже напрямую давая часть этих денег майнерам. Движимые собственным интересом, майнеры отдают приоритет включению нашей транзакции в блок. Как только наша транзакция успешно проходит, транзакция хакера автоматически аннулируется.

Эта возможность спасла жизни многих проектов в реальных сценариях.

Одним из наиболее примечательных случаев было, когда мы успешно опередили атаку на протокол в мемпуле, в одиночку спасая 2909 ETH для команды проекта. В то время хакер уже использовал уязвимость, находясь на грани того, чтобы скрыться с десятками миллионов долларов. Наша система мониторинга мгновенно вызвала предупреждение, и в течение нескольких секунд мы завершили симуляцию атаки, генерацию транзакции и торги за газ. В конце концов, эта значительная сумма была переведена на наш безопасный адрес раньше хакера.

В прошлом команды проектов, ставшие жертвами кражи, могли только прибегать к размещению просьб в Twitter или переговорам с хакером, чтобы увидеть, вернут ли они средства за вознаграждение. Однако теперь, с помощью технологических средств, мы принудительно перехватываем средства за секунду до того, как хакер преуспеет.

Только понимая код лучше хакера и работая быстрее хакера, можно удержать последнюю линию обороны в этом темном лесу "Код — это закон".

Послесловие

Если прошедшее десятилетие в криптомире было "Золотой лихорадкой", то, стоя на этом рубеже 2025 года, мы видим возвращение к "определенности". Поскольку рыночная капитализация стейблкоинов взлетает до 300 миллиардов долларов, а цифровая новая финансовая система переходит из "дикой местности" в "город-государство", технология больше не является просто рычагом для накопления богатства; она должна прежде всего стать щитом против тьмы человеческой природы.

Трансформация, которую пережили Чжоу Яцзинь и его команда, по сути является отражением этой бизнес-логики. От аудита кода до динамического перехвата, а затем до глубокого погружения и демонтажа незаконных цепочек — это не одиночная доблесть индивида, а механизм защиты, который неизбежно возникает по мере развития технологий до определенного масштаба. В этом мире, где код равен закону, если хронические проблемы потока незаконных средств и уязвимости безопасности не будут решены, то так называемая "финансовая революция" может навсегда остаться игрой для немногих.

В летописях бизнеса любая индустрия, ставшая мейнстримом, прошла через муки от хаоса к верховенству закона. Возможно, это долгий и утомительный процесс, но, как сказал Чжоу Яцзинь, окончательная форма безопасности — это "незаметность".

Только когда безопасность станет такой же вездесущей, как воздух, но при этом игнорируемой всеми, этот некогда волатильный цифровой рубеж сможет по-настоящему завершить свою пионерскую цивилизацию.

Ссылка на оригинальную статью