原文作者:angelilu,Foresight News
「您所在的地区暂不支持服务」。
不知道是第几次看到这行字了。这次我已经做好了所有准备——翻出护照,对着摄像头拍了正面,拍了反面,切换到自拍模式,拍了手持证件照,又跟着页面的提示点头、摇头、眨眼,整个过程大概十分钟,我做得比上次更仔细。然后页面跳转,显示「提交成功,等待审核」。
我等了三天。第四天刷新,状态还是「审核中」。提款功能被冻结,理由是「等待身份核实完成」。我想参与的那个项目认购窗口还有四十八小时就关闭了。
或者,根本没有等待——页面在动手之前就已经识别到的 IP 地址,直接弹出那行字:「您所在的地区暂不支持服务。」什么理由都没有,没有申诉渠道,也没有告诉我还可以怎么做。我不是不想配合,是配合的资格都没有。
这或许是你我都常常碰到的情况,是加密行业里最常见的一堵墙,KYC,Know Your Customer,了解你的客户。KYC 是「合规」这个词最有重量的那一部分:你得证明你是你,才能进来。
过去五年,部分主流交易所逐步将 KYC 外包给 Sumsub、Jumio 等商业身份核验系统,合规成本被「产品化」,并成为持续支出。对于头部平台而言,这部分开销已达到百万至千万美元级别。
多位加密支付行业从业者向 Foresight News 表示,当前行业在 KYC 环节仍高度依赖 Sumsub、Jumio 等第三方服务商,这些方案在全球数据覆盖与合规能力上具有明显优势。
不过,随着交易规模扩大与风控需求提升,部分头部机构已开始探索「自建风控 + 第三方 KYC」的混合模式,以在成本、通过率与风险控制之间取得更优平衡。
然而,无论这堵墙造得多高,地下市场已经给出了自己的定价。而这堵墙的另一边,存在一条完整的地下产业链,专门以低成本击穿这套体系。穿透它的价格是 20 USDT——覆盖交易所要求的全套验证流程:护照或驾照上传、人脸识别、居住地证明,一次打包交付。
50 万人,一个没人统计的市场
本着上有政策,下有对策的原则,我开始在网上搜索「Web3 KYC」,跳出来的不是教程,更多是警示。
CertiK 在 2023 年的一份报告 扫描 了 20 余个地下 KYC 市场,发现当时的参与成员总数超过 50 万人,专门买卖各类平台的已验证账号,集中在东南亚,群组规模从 4,000 到 30 万人不等。
网络安全公司 ZeroFox 曾统计过,一年时间里,在公开论坛和 Telegram 上发现超过 100 万条 KYC 账号销售帖,涉及 Coinbase Pro、Kraken 等主流合规交易所,售价从 150 至 500 美元不等。
CoinDesk 曾做过 的一个调查更直接,直接花钱买了几个账号回来验证。每个账号随附的是真实用户的姓名、家庭住址、出生日期——美国居民的账号甚至包含社会安全号码。然后他们在公开数据库里搜索,找到了四位与账号信息完全匹配的真实人物,向他们发出了书面告知。这些人的反应确是毫不知情,未意识到自己的名字正挂在某个陌生人的交易所账户下,而那个账户的密码,他们从来没有设置过。
技术层面也在同步恶化。根据 Sumsub 发布 的 2025 年身份欺诈报告,深度伪造攻击在过去三年增长超过 2000%,现在约占所有身份欺诈尝试的 1/15。
攻击路径形成了三层结构:
- 最低层是用高分辨率屏幕配合偏振镜消除反光,让「播放视频」的画面在光学特征上接近真实拍摄;
- 第二层是 HOOK 注入攻击,直接劫持手机摄像头的系统调用接口,把提前录制好的 4K 视频「喂」进应用的采集窗口——应用「看见」的是摄像头实时输出,实际流入的是一段提前准备好的视频;
- 第三层是一键式 AI 换脸工具,上传照片即可生成,攻击门槛被拉至零。突破一套真人活体认证系统的平均成本:10 美元,投入产出比高达 1400%。
威胁猎人发布的《 2025 年全球 KYC 攻击风险研究报告 》显示从行业分布看,虚拟货币交易所与钱包支付平台是全部 KYC 攻击的核心靶区,合计占比超过 78%。攻击物料里卖得最多的是「地址证明」类文件,原因简单:它需要频繁更新,而 AI 可以批量生成。
这些数字描绘的画面很清晰:欺诈、身份盗用、有组织的犯罪产业链。把这些数字叠在一起:50 万名参与者,100 万条公开流通的销售帖,Coinbase、Binance US、Kraken 等头部合规交易所的账号均在其中。这不是某个平台的特例,而是整个加密合规体系共同面对的系统性漏洞——只要 KYC 存在,绕过它的市场就存在,而且规模相当。
每一份报告的措辞都很确定,使用的词是「威胁行为者」「地下市场」「非法操作」。但它们有一个共同的视角盲点。全是从外部看的,是监管机构和安全公司的视角,像是在描述一场发生在玻璃后面的火灾。
但没有一篇报告解释,那些每天在 Telegram 上挂着「在线」状态的人,他们究竟是谁,他们怎么看自己在做的事,以及这门生意到底在服务谁。
我决定去找圈子里的人聊聊。
一个地下 KYC 小商贩:两年 600 笔交易
Telegram 上搜索 KYC,几秒钟就能弹出一批账号。
3 月初我随机挑选了一个看上去信得过的 KYC 中间商,不巧,我碰到了一个冷酷 guy,他的回复不超过 5 个字,对我提的各种问题大多以「是的」来直接回复,得到的最多信息就是报价,例如「CoinList 的 KYC 40 U」、「Coinbase 的 KYC 20 U」。
久久没有回音之后,对方发来一条稍长的消息:「所以我们可以一起工作吗?」句子像是从别的语言硬翻过来的,读着像在谈合作,其实大概只是在催单。对话很难进行下去。
于是我转而在链上查他给我的 TRON 链收款地址,这个地址从 2024 年 1 月开始运作,至今累计流入超过 59,243 USDT,共 600 笔收入交易,横跨 26 个月。但净留存是零。
每一笔收入,都在一段时间内被迅速清空,转向同一个上游地址。顺着这条链追下去,他最后转入了 OKX 在 TRON 链上的热钱包。这位帮人绕过 KYC 的中间商,把赚来的每一分钱,都存进了交易所。
一个体量不大的匿名卖家,两年流水接近 6 万美元,600 笔,没有休假,没有淡季,只有打新节奏带来的潮汐式涨落。这还只是其中一个地址,一个卖家,一条链。
这条链在我这没有连起来,线索到这里也就断了。匿名的人不会开口,我需要找一个更愿意说话的人。
一个 KYC 「生意人」:五年,数十个平台
终于在 X 上找到了一位专门做 KYC 服务的「生意人」,经朋友介绍,加上了联系方式,并且他愿意接受采访。
他叫 猫鲤 ,经营着品类丰富的「区块链服务平台」。
谈起 Web3 KYC 服务的方式,猫鲤说「我是根据自己粉丝的需求,去找各种渠道,并且投入时间研究,慢慢将这个业务做起来的」。
猫鲤至今已经做了五年。如今他和一个助理两人运营,大部分商品自动发货。他的产品目录覆盖数十个平台,并且以人民币标价,价格越高,代表这个平台的近期参与人数越多热度越高,或者身份核验的门槛越难绕过。
「设置好后基本是自动化的,更别说现在还有 AI 可以辅助了,」他说,「基本上不会需要太多人来运营。」行情好的时候例外——打新项目扎堆,每天能工作到 12 小时。行情惨淡的时候,他就将时间投入的 X 的运营上。
「人民的小卖部,服务区块链行业的所有粉丝。」他这样描述自己的生意。
他的客户遍布中文区:中国大陆、香港、台湾、马来西亚、韩国、美国。大陆用户的需求最直接——大量打新平台屏蔽中国 IP,护照或身份证传上去,系统自动拒绝,没有申诉渠道,也没有解释。
「他们买账号是为了参与活动,」猫鲤说,每次交付,他都会附上一条固定的风险提示:「由于这是使用他人信息注册的账号,请不要在平台内放置大额资金,小额参与,随进随出。」他提示的「风险」,是账号随时可能被原主找回;使用他人身份信息注册金融账号本身,在大多数司法管辖区也构成身份欺诈。
浮出水面的产业链
一单是怎么完成的?猫鲤描述了完整流程:售前咨询,付费,他联系「符合条件的老外」,老外按照事先培训好的流程操作,完成 KYC,账户转交给买家,买家核查后修改安全设置,结单。
他印象最深的客户是一个韩国人,一个专业孵化团队的负责人,每次下单量都很大。「他总会和项目方一起合作,购买很大量的账号,」猫鲤说,「他跟我聊过,通过我挣了很多的钱。不过我倒是没挣太多,他是挣的资源的钱,KYC 这块我是挣的辛苦钱。」
也就是说,这条产业链也有多个层级,作为需求端的韩国孵化团队,靠账号批量参与项目认购,有利可图。因此才会有猫鲤这样的中间商,再底层的就是提供信息认证的「老外」,按要求完成 KYC,或许就拿走几美元。
「老外」的来源遍及全球——那些在东南亚、东非、拉丁美洲以「网络兼职」名义接单的人,按要求完成点头、摇头、眨眼的动作,拿走等值几美元到几十美元的报酬。
具体分给「老外」的钱有多少,猫鲤没有直说,但一份在俄语论坛上流传的招募帖是这样写的:「只需要你的脸。通过 WhatsApp 完成视频验证。每次 1,500 到 2,000 卢布(约合 17 至 23 美元),一天可以做多次。」
之前 Worldcoin 在柬埔寨和肯尼亚部署球形虹膜扫描设备时,曾短暂让这个现象浮出水面——低于 30 美元的 World ID 黑市随即出现,2024 年泰国当局下令删除已收集的 120 万份虹膜数据,印度尼西亚叫停了 Worldcoin 的全部活动。但 Worldcoin 不过是冰山一角,而且还是有品牌、有记者可以追问的那一面。
定价还有另一套逻辑。「越发达的地区,KYC 的费用越贵,」猫鲤说,「你给的费用都没法买个早饭,人家根本不会配合你去操作。」美国的单子最难,有时候需要客户带着「老外」去纽约线下办证。
他服务的每笔交易都附带售后条款:他只保障「首次登录」成功。「因为我们没法控制每家交易所或者平台的风控规则,他们随时都有可能更改,」买家拿到账号,第一件事是换绑邮箱、设置二次验证、踢出未知设备。窗口期可能只有几个小时。
他也坦言有做不了的情况,「必须每次登录都需要扫脸的账户,就没法制作,老外不可能一直飞到中国来给你扫脸登录。」他补充了一句:「按这个逻辑,就是非常非常严格风控的平台,那通常是不缺用户、不缺数据的平台,也不会有福利特别高的活动,所以很少有人会购买。」
Web3 KYC,一扇装了门框的空门
猫鲤对自己在做的事有清晰的定位。
当被问及加密行业的 KYC,有没有在发挥它应该有的作用时,他说,「KYC 是大家都心知肚明的门槛,平台、用户,都知道自己在干什么。对于真心想参与行业的人来说这不是阻碍,更像是一种筛选方式罢了。」
在他的描述里,这是一笔三方共赢的交易:用户获得了进入平台的机会,交易所获得了新增用户和数据,他从中收取服务费。「三赢的」他说。
这套逻辑有一个细节,藏在他自己的售后提示里:「由于这是使用他人信息注册的账号,请不要在平台内放置大额资金,小额参与,随进随出。」他的「老外」是知情的、有报酬的参与者。但「他人」这个词意味着账号背后坐着一个真实的人,一个随时可以主张权利的人。
但 CoinDesk 的调查显示,在更大的市场里,还有些账号随附的是本人毫不知情的真实居民的姓名、住址和社会安全号码。这些人,不在「三赢」之内。
猫鲤是这个市场里愿意接受采访的一个人。在他的身后,预计有 50 万名参与者,约 100 万条销售帖,和一个还在运转的影子系统。
注:文中涉及的 Telegram 对话记录、链上数据均为作者调查所得。
