DeadLock 勒索软件利用代码通过 Polygon 区块链规避传统的取缔方法

安全研究人员发现了一种创新且令人担忧的技术手段，即勒索软件操作利用Polygon智能合约来维持持续的指挥控制基础设施，有效规避传统的取缔措施。这种基于代码的方法标志着网络犯罪分子利用区块链技术进行犯罪的方式发生了重大转变。

领先的网络安全研究公司Group-IB于1月15日发布了相关发现，详细介绍了自2025年中期首次观察到的DeadLock勒索软件变种如何采用这种新颖的方法。与依赖中心化服务器、易受中断的传统勒索软件操作不同，这一威胁利用公开可访问的智能合约存储和管理轮换的代理地址，形成一种分布式架构，极难被关闭。

勒索软件代码如何通过区块链规避检测

技术手段表面上简单，但效果极佳。一旦DeadLock入侵受害者系统并执行加密载荷，恶意软件内嵌的代码会定期查询特定的Polygon智能合约。该合约作为动态配置存储，持有当前的代理服务器地址，便于攻击者与被攻陷系统之间的通信。

这种架构的优雅之处在于其去中心化特性。攻击者可以随时在智能合约中更新代理地址，使其不断轮换基础设施，而无需在受害者机器上重新部署恶意软件。关键是，勒索软件只在区块链上执行读取操作——受害者不会生成交易，也不需支付Gas费。这种只读特性确保操作保持隐秘且经济高效。

代理轮换机制实际上创建了一个具有弹性、自我更新的通信骨架，传统执法取缔程序难以轻易切断。每次代理变更都在链上不可篡改地记录，但立即生效，使得执法机构不断追逐不断变化的目标。

为什么这种代码策略能规避传统防御

这种威胁模型与传统的勒索软件基础设施根本不同。传统的指挥控制服务器虽然容易被破坏和查封，但其位置是可识别的。执法机构可以追踪、识别并关闭这些中心化资源。而Polygon的分布式区块链架构则完全消除了这一漏洞点。

由于智能合约数据在全球数千个节点上复制，没有单点故障。即使关闭一个代理地址，恶意软件也会自动从不可篡改的智能合约中获取更新的地址，继续运作。通过去中心化，这一基础设施实现了前所未有的弹性——使得传统的取缔措施几乎无效。

Group-IB的分析发现，与该行动相关的多个智能合约在2025年底至2026年初被部署或更新，确认其仍在持续操作。该公司估计目前受害者规模有限，尚未发现与已知勒索软件联盟或公开数据泄露平台的关联。

关键区别：代码滥用与协议漏洞

研究人员强调一个关键澄清：DeadLock并未利用Polygon本身的漏洞，也未破坏由DeFi协议、加密钱包或桥接服务运营的第三方智能合约。该操作既未发现也未利用任何零日漏洞或协议缺陷。

相反，攻击者利用了公共区块链的一个基本特性——链上数据的透明、不可篡改和公开可读。这一技术手段与早期的“EtherHiding”攻击类似，后者也是利用区块链固有特性，而非技术缺陷。

这一区别对整个生态系统意义重大。Polygon用户不会因协议被攻破而面临直接技术风险。区块链按设计正常运行。然而，此案例展示了公共账本如何被重新利用，以支持犯罪基础设施，从而规避传统安全防护措施。

对威胁格局演变的影响

虽然目前DeadLock的操作相对有限，但网络安全专家警告称，这一方法具有很强的复制潜力。该技术成本低，无需特殊基础设施，且难以系统性封堵或反制。如果更多成熟的勒索软件团伙或犯罪企业采用类似手段，安全形势可能会急剧恶化。

这种基于代码的策略实际上让弹性指挥控制基础设施变得更加普及，即使资源有限的威胁行为者也能利用强大的规避技术。随着区块链技术在多个网络和Layer 2解决方案中的扩展，类似滥用的机会也将增加。

Group-IB的披露作为早期预警，提醒我们勒索软件的复杂性与区块链的实用性结合，创造出新的攻击路径，要求安全防御采取新思路、加强主动监控。此案强调，虽然公共区块链的透明性有助于合法应用，但同时也为有心的威胁行为者提供了利用代码和基础设施规避安全措施的可能。