勒索软件团伙使用Polygon智能合约躲避打击

安全研究人员表示，一个低调的勒索软件团伙正在利用Polygon智能合约隐藏和轮换其指挥控制基础设施。
摘要

• DeadLock勒索软件，首次在2025年7月被观察到，将轮换的代理地址存储在Polygon智能合约中，以规避取缔。
• 该技术仅依赖链上数据的读取，并未利用Polygon或其他智能合约的漏洞。
• 研究人员警告，尽管该行动目前受害者有限，但这种方法成本低、去中心化且难以阻断。

网络安全研究人员警告称，最近发现的一种勒索软件变种正在以一种不同寻常的方式使用Polygon智能合约，这可能使其基础设施更难被破坏。

在2025年1月15日发布的一份报告中，网络安全公司Group-IB的研究人员表示，这种被称为DeadLock的勒索软件正在滥用Polygon (POL)网络上的公开可读智能合约，用于存储和轮换用于与感染受害者通信的代理服务器地址。

DeadLock首次在2025年7月被观察到，此后一直保持相对低调。Group-IB表示，该行动的确认受害者数量有限，并且与任何已知的勒索软件联盟计划或公开数据泄露网站无关。

尽管其曝光度较低，但该公司警告称，所使用的技术非常具有创新性，如果被更成熟的团伙复制，可能会带来严重风险。

技术工作原理

DeadLock不依赖传统的指挥控制服务器，这些服务器常常被封锁或下线，而是在系统感染和加密后，嵌入查询特定Polygon智能合约的代码。该合约存储用于在攻击者与受害者之间传递通信的当前代理地址。

由于数据存储在链上，攻击者可以随时更新代理地址，从而快速轮换基础设施，而无需重新部署恶意软件。受害者无需发送交易或支付Gas费，因为勒索软件只在区块链上执行读取操作。

一旦建立联系，受害者会收到勒索要求以及威胁，称如果不付款，盗取的数据将被出售。Group-IB指出，这种方法使勒索软件的基础设施更加坚韧。

没有中央服务器可以关闭，合约数据在全球分布的节点上保持可用，这使得取缔变得更加困难。

不涉及Polygon漏洞

研究人员强调，DeadLock并未利用Polygon本身或第三方智能合约中的漏洞，例如去中心化金融协议、钱包或桥接。该勒索软件仅仅滥用区块链数据的公开和不可变特性来隐藏配置信息，这与早期的“EtherHiding”技术类似。

根据Group-IB的分析，2025年8月至11月期间，多个与该行动相关的智能合约被部署或更新。虽然目前活动有限，但该公司警告称，这一概念可能被其他威胁行为者以无数变体重复使用。

虽然Polygon的用户和开发者目前不面临直接风险，但研究人员表示，此案例突显了公共区块链如何被滥用以支持链下犯罪活动，这些活动难以被检测和拆除。