加密货币盗取工具已经演变为一种标准化、低门槛的“软件即服务”（SaaS）黑产体系，这使得即使缺乏专业技术能力的犯罪者也能够轻松实施加密资产盗窃。

随着生态系统的演变为软件即服务 (SaaS) 商业模式，恶意软件（旨在窃取加密货币）变得更加可获得。

4月22日，加密货币取证与合规公司AMLBot在一份报告中披露，众多盗取工具的运营已转变为“盗取即服务”（DaaS）的SaaS模式。报告显示，恶意软件传播者仅需支付100至300泰达币（USDT）即可租用这些盗取工具。

加密货币消耗者报告图像 来源：AMLBot

AMLBot首席执行官Slava Demchuk向Cointelegraph表示：“以往进行加密货币诈骗需要相当专业的技术知识，而在DaaS模式下，门槛已与其他网络犯罪相仿。”

他进一步解释，潜在的犯罪者通过加入网络社群，向提供教程的资深诈骗者学习，这是传统钓鱼攻击者转型为加密货币盗取的主要途径。

俄罗斯网络犯罪——几乎合法化

Demchuk指出，提供加密货币盗取服务的犯罪团伙日益猖獗，其运营模式越来越像正规企业：

“令人震惊的是，某些盗取工具组织竟敢在行业展会设立展位，CryptoGrab便是典型代表。”

当被问及为何这些犯罪组织能够公开参与IT行业活动而不被逮捕时，他将其归因于俄罗斯的网络犯罪执法现状：“在俄罗斯等司法管辖区，只要不涉及前苏联国家，黑客行为通常被默许。”

这一现象已成为网络安全行业多年来的公开秘密。据KrebsOnSecurity 2021年的报道，几乎所有勒索软件在检测到俄语输入法时会自动进入休眠状态。

同样，信息窃取程序Typhon Reborn v2会检查用户的IP地址是否位于前苏联国家，如果匹配则停止运行。思科公司证实这是因为俄罗斯当局明确表示：若本土黑客侵害前苏联国家公民，将采取行动。

盗取工具产业持续扩张

Demchuk进一步解释称，DaaS组织通常通过已有的钓鱼社区拓展客户，包括明网（常规互联网）和暗网（深网）的灰黑产论坛，以及Telegram群组和灰色市场平台。

根据2024年的Scam Sniffer报告，尽管受害者数量仅增长了3.7%，但盗取工具造成的损失高达4.94亿美元，同比增长67%。卡巴斯基的数据表明，暗网上相关资源的数量从2022年的55个激增至2024年的129个，显示出明显的扩张趋势。

AMLBot的开源情报调查员（因安全考虑保密）向Cointelegraph透露，团队在调查过程中“确实发现多则招募针对Web3生态开发盗取工具的广告。”

他提供了一则招聘要求，针对开发清空Hedera（HBAR）钱包脚本的广告，主要面向俄语开发者：

“该需求最初用俄文撰写，发布于Telegram开发者交流群。这清楚地表明，技术人才正在通过半公开的小众社区被定向招募。”

调查员补充道，此类广告常见于智能合约开发群组，尽管这些群组没有访问限制，但规模通常在100-200人之间。

尽管管理员会快速删除相关公告，但“需要的人已经注意到了并迅速作出响应。”

传统上，此类交易主要在Tor网络的专业明网/暗网论坛中进行。但调查员指出，由于Telegram曾拒绝配合执法部门的数据请求，大量犯罪活动曾转移至该平台。然而在Telegram首席执行官Pavel Durov被捕后，这一趋势发生了逆转：

“当Telegram宣布愿意配合数据请求后，犯罪活动立刻开始向Tor回流，因为后者更便于隐匿身份。”

尽管如此，对于网络犯罪分子而言，这可能不再是一个重要问题。本周早些时候，Durov对法国和其他欧盟国家的私人通讯面临越来越多的威胁表示担忧，他警告称，面对欧盟对于加密后门的要求，Telegram宁愿退出相关市场也不会妥协——这可能为犯罪者提供新的庇护所。

相关文章：巨鲸、黑客攻击及对HEX的心理冲击