DeadLock 勒索軟件利用代碼通過 Polygon 區塊鏈規避傳統的取締方法

安全研究人員揭露了一種創新且令人擔憂的技術：勒索軟體運營利用Polygon智能合約來維持持久的指揮控制基礎設施，有效避開傳統的取締措施。這種基於程式碼的方法代表了網路犯罪分子將區塊鏈技術用於犯罪目的的一大轉變。

領先的網路安全研究公司Group-IB於1月15日發布了相關調查結果，詳細說明了自2025年中首次出現的DeadLock勒索軟體如何採用這種新穎的方法。與依賴集中式伺服器、易受干擾的傳統勒索軟體不同，這個威脅利用公開可存取的智能合約來存儲和管理輪換的代理伺服器地址，建立了一個分散式架構，極難被關閉。

勒索軟體程式碼如何藉由區塊鏈躲避偵測

這種技術手法表面看來簡單，但效果卻非常高效。一旦DeadLock滲透到受害者系統並執行加密載荷，惡意軟體內嵌的程式碼會定期查詢特定的Polygon智能合約。該合約作為一個動態配置存儲，持有當前的代理伺服器地址，促使攻擊者與受感染系統之間的通訊渠道得以維持。

這個架構的巧妙之處在於其去中心化特性。攻擊者可以隨時更新智能合約中的代理地址，讓他們能持續輪換基礎設施，而無需在受害機器上重新部署惡意軟體。更重要的是，勒索軟體只在區塊鏈上進行讀取操作——受害者不會產生交易，也不會產生燃料費用。這種只讀的特性確保了操作的隱秘性與經濟效率。

代理輪換機制本質上建立了一個具有彈性、自我更新的通訊骨幹，傳統的執法取締程序難以輕易切斷。每次代理變更都在鏈上不可篡改地記錄，卻立即生效，使得防禦方永遠在追逐變動的目標。

為何此程式碼策略能躲避傳統防禦

這種威脅模型與傳統的勒索軟體基礎設施有根本差異。傳統的指揮控制伺服器，雖然容易被干擾或查封，但都來自可識別的地點。執法機關可以追蹤、辨識並關閉這些集中式資源。而Polygon的分散式區塊鏈架構則完全消除了這個弱點。

由於智能合約資料在全球數千個節點上複製，沒有單一故障點。即使封鎖一個代理地址，惡意軟體也會自動從不可篡改的智能合約中獲取更新的地址，繼續運作。這種去中心化的架構帶來前所未有的韌性，使傳統的取締措施幾乎無法奏效。

Group-IB的分析發現，與此攻擊活動相關的多個智能合約在2025年底至2026年初被部署或更新，證明其持續運作。該公司估計目前受害者數量有限，尚未與已知的勒索軟體聯盟或公開資料外洩平台建立明確聯繫。

重要區分：程式碼濫用與協議漏洞

研究人員強調一個關鍵的澄清：DeadLock並未利用Polygon本身的漏洞，也未破壞由DeFi協議、加密錢包或橋接服務運行的第三方智能合約。該操作既未發現也未利用任何零日漏洞或協議缺陷。

相反，攻擊者利用的是公共區塊鏈的基本特性——資料的透明性、不可篡改性以及公開可讀性。這種技術與早期的“EtherHiding”攻擊類似，都是利用區塊鏈固有的特性，而非技術缺陷。

這一區別對整個生態系統具有重要意義。Polygon用戶不會因協議被攻破而面臨直接技術風險。區塊鏈的運作完全符合設計。然而，此案例展示了公共帳本如何被重新用於支援犯罪基礎設施，並以迴避傳統安全措施的方式進行。

對威脅格局演變的啟示

儘管目前DeadLock的運作較為有限，資安專家警告這種方法具有高度的複製潛力。這種技術成本低、無需特殊基礎設施，且難以系統性封鎖或反制。如果更多成熟的勒索軟體團伙或犯罪企業採用類似手法，安全風險可能會大幅升高。

這種基於程式碼的策略，實質上讓具有有限資源的威脅行為者也能建立具有韌性的指揮控制架構，並掌握高效的逃避技術。隨著區塊鏈技術在多個網路和Layer 2方案中的普及，類似濫用的機會也將增加。

Group-IB的披露作為早期警示，提醒我們在勒索軟體日益精進與區塊鏈應用日益普及的背景下，出現了新的攻擊向量，亟需更新防禦思維與積極監控。此案例凸顯了公共區塊鏈的透明性，雖然對合法應用有益，但同時也為有心的威脅行為者提供了創新的逃避策略，挑戰傳統的程式碼與基礎設施防禦措施。