歐盟警察組織 Europol 近期成功瓦解了一個名為 AudiA6 的大規模加密貨幣洗錢服務。這個平台在 2021 年啟動以來,已幫忙洗白超過 3.36 億歐元(約 3.89 億美元)的非法資金。對於工程師或資安從業人員來說,這個案例揭露了現代網路犯罪組織如何將洗錢「工業化」,以及他們如何繞過交易所的監控機制。
什麼是加密貨幣洗錢與混幣服務
在區塊鏈上,所有的交易紀錄都是公開且可追溯的。如果勒索軟體組織將搶來的比特幣直接轉到自己的銀行帳戶,執法機關可以輕易地透過交易鏈條追蹤到資金去向。為了打破這種追蹤,犯罪分子會使用 Mixer(混幣器)或洗錢服務。
AudiA6 扮演的角色就是一個 Mixer-as-a-Service(混幣即服務)平台。它的運作邏輯是:客戶將「髒錢」(來源不明的非法資金)轉入 AudiA6 控制的錢包,平台在內部經過複雜的交易鏈條將資金打散並重新組合,最後在一個小時內,將「乾淨」的資金轉回給客戶。作為交換,平台會收取 3% 到 10% 的高額佣金。
工業級洗錢的實作手段
AudiA6 之所以被稱為工業級,是因為它不是單純依賴軟體演算法,而是結合了大規模的社會工程與帳號操作。
首先是利用 Money Mule(錢騾)帳戶。錢騾是指被招募來幫忙轉移非法資金的人。AudiA6 建立了超過 6,000 筆 KYC(Know Your Customer,身分驗證)紀錄,這些紀錄大多來自被盜用或購買的假身分。他們大量招募俄語區的中間人,利用這些假身分在各大加密貨幣交易所開設帳戶。
其次是建立複雜的基礎設施。為了規避交易所的風控系統,AudiA6 註冊了大量專門用於開戶的虛擬域名(例如提供郵件服務的域名),讓每個錢騾帳戶看起來像是獨立的個體,而非來自同一個犯罪組織。
最後是採取 Chain-hopping(跨鏈跳轉)策略。犯罪分子會迅速將資金在不同的區塊鏈之間轉換,或利用去中心化交易所(DEX)進行兌換,讓資金在短時間內跨越多個鏈路,極大增加追蹤難度。
執法行動與技術突破
這次行動的突破口來自於 2025 年波蘭警方逮捕的一名烏克蘭籍嫌犯。執法機關對其電子設備進行了數位鑑識(Forensic Examination),從中挖掘出 AudiA6 的運作細節與成員名單。
隨後,Europol 與美國司法部(DoJ)協同行動,在喬治亞共和國逮捕了兩名核心管理員,並沒收了 30 多台伺服器、25 個域名以及大量房產與車輛。此外,警方還封鎖了他們用於溝通的 Telegram 帳號,並將其在表網(Clear Web)與暗網(Dark Web)的網站替換為執法機關的沒收公告頁面。
這起案件給我們的啟示
這類服務的存在,讓勒索軟體攻擊(Ransomware)具有高度的獲利可行性。當犯罪分子知道資金可以被快速且隱秘地洗白時,他們會更有動力發動攻擊。
對於開發者或金融技術人員來說,這再次證明了單純的 KYC 驗證不足以完全阻止專業的洗錢組織。對抗這類威脅需要更強大的鏈上分析工具(如 TRM Labs 等分析公司),透過監控資金流向的模式(Pattern Recognition)而非單一帳號,來識別潛在的洗錢行為。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。