DeadLock 勒索软件新闻：利用 Polygon 绕过取缔

安全研究人员已发现一种新兴威胁，突显了区块链技术的复杂滥用。一种新发现的勒索软件变种利用Polygon智能合约的不可变特性，维持指挥控制基础设施，这使得通过传统的取缔方法难以破坏。这一发展标志着威胁行为者在数字时代对基础设施韧性的新演变。

据网络安全公司Group-IB在一月中旬发布的调查结果显示，名为DeadLock的勒索软件变种首次出现于去年七月，此后基本处于隐秘状态。虽然目前仅确认了少数受害者，但安全专家警告称，这一底层技术代表了一项令人担忧的创新，可能被更成熟的威胁行为者在犯罪生态系统中复制。

攻击的技术机制

DeadLock并不依赖于传统的集中式指挥服务器——安全团队通常能识别并关闭这些服务器——而是采用了一种利用区块链核心特性的创新方法。一旦系统感染并加密，恶意软件会查询部署在Polygon网络上的特定智能合约。该合约维护着一份当前活跃的代理服务器地址列表，便于攻击者与受害者之间的通信。

这种技术的巧妙之处在于其固有的灵活性。当安全研究人员识别并封锁某个代理地址时，攻击者可以简单地更新合约，添加新的地址，而无需重新部署恶意软件。关键是，受害者无需发起区块链交易或支付Gas费——勒索软件仅执行读取操作以获取最新的基础设施配置。在成功建立通信后，受害者会收到勒索通知，并被威胁除非付款，否则其被盗数据将被拍卖。

这一方法为何带来持续的防御挑战

这种策略的影响突显了网络安全中攻防之间的根本不对称。传统的勒索软件基础设施通常具有单点故障——指挥服务器可能被查获，IP地址可能被列入黑名单，域名可能被暂停。而基于区块链的配置存储没有这样的集中目标。代理数据在全球数千个分布式节点中持续存在，使得传统的取缔操作几乎无效。

从防御角度来看，关闭单一的智能合约地址几乎没有作用，因为新的地址可以瞬间部署。执法和安全团队无法“拔掉”存在于去中心化网络中的基础设施。这一架构优势解释了为何Group-IB将该方法描述为特别具有创新性，尽管该行动目前范围有限。

澄清Polygon的安全状况

一个重要的区别在于：研究人员强调Polygon本身没有被利用的漏洞被用于此次行动。DeadLock并未利用区块链协议、Layer 2解决方案或任何第三方智能合约（如DeFi协议、钱包或桥接）中的缺陷。相反，威胁行为者只是利用区块链数据的公开、不可变特性——类似于之前安全研究中记录的“EtherHiding”技术。

对与DeadLock相关的智能合约的分析显示，其部署活动集中在去年八月至十一月之间。Polygon用户和开发者无需承担直接的技术风险，但此案例提醒人们，公共区块链可能成为链下犯罪活动的基础设施，其方式超出传统检测和破坏手段的范围。

展望未来：更广泛的影响

虽然DeadLock目前影响较小，受害者有限，也未与主要的勒索软件即服务（Ransomware-as-a-Service）项目有关联，但安全研究人员强调，其可移植性才是真正的担忧。相同的方法可能被成熟的威胁团体采用，以构建更具韧性的基础设施架构。这一勒索软件的消息揭示了一个令人不安的现实：随着区块链技术的成熟，恶意行为者也在不断创新，寻找利用其核心特性的犯罪手段。