撰文：angelilu，Foresight News

「您所在的地區暫不支援服務」。

不知道是第幾次看到這行字了。這次我已經做好了所有準備——翻出護照，對著攝像頭拍了正面，拍了反面，切換到自拍模式，拍了手持證件照，又跟著頁面的提示點頭、搖頭、眨眼，整個過程大概十分鐘，我做得比上次更仔細。然後頁面跳轉，顯示「提交成功，等待審核」。

我等了三天。第四天刷新，狀態還是「審核中」。提款功能被凍結，理由是「等待身分核實完成」。我想參與的那個專案認購窗口還有四十八小時就關閉了。

或者，根本沒有等待——頁面在動手之前就已經識別到的IP 位址，直接彈出那行字：「您所在的地區暫不支援服務。」什麼理由都沒有，沒有申訴管道，也沒有告訴我還可以怎麼做。我不是不想配合，是配合的資格都沒有。

這或許是你我都常常碰到的情況，是加密產業裡最常見的一面牆，KYC，Know Your Customer，了解你的客戶。 KYC 是「合規」這個字最有重量的那一部分：你得證明你是你，才能進來。

過去五年，部分主流交易所逐步將KYC 外包給Sumsub、Jumio 等商業身分核驗系統，合規成本被「產品化」，並成為持續支出。對於頭部平台而言，這部分開銷已達到百萬至千萬美元等級。

多位加密支付產業從業人員向Foresight News 表示，目前產業在KYC 環節仍高度依賴Sumsub、Jumio 等第三方服務商，這些方案在全球資料覆蓋與合規能力上具有明顯優勢。

不過，隨著交易規模擴大與風控需求提升，部分頭部機構已開始探討「自建風控+ 第三方KYC」的混合模式，以在成本、通過率與風險控制之間取得更優平衡。

然而，無論這堵牆造得多高，地下市場已經給出了自己的定價。而這堵牆的另一邊，存在一條完整的地下產業鏈，專門以低成本擊穿這套體系。穿透它的價格是20 USDT——覆蓋交易所要求的全套驗證流程：護照或駕照上傳、人臉辨識、居住地證明，一次打包交付。

50 萬人，一個沒人統計的市場

本著上有政策，下有對策的原則，我開始在網路上搜尋「Web3 KYC」，跳出來的不是教程，更多是警示。

CertiK 在2023 年的一份報告掃描了20 餘個地下KYC 市場，發現當時的參與成員總數超過50 萬人，專門買賣各類平台的已驗證帳號，集中在東南亞，群組規模從4,000 到30 萬人不等。

網路安全公司ZeroFox 曾統計過，一年時間裡，在公開論壇和Telegram 上發現超過100 萬條KYC 帳號銷售帖，涉及Coinbase Pro、Kraken 等主流合規交易所，售價從150 至500 美元不等。

CoinDesk 曾經做過的一個調查比較直接，直接花錢買了幾個帳號回來驗證。每個帳號隨附的是真實用戶的姓名、家庭住址、出生日期——美國居民的帳號甚至包含社會安全號碼。然後他們在公開資料庫裡搜索，找到了四位與帳號資訊完全匹配的真實人物，向他們發出了書面告知。這些人的反應確是毫不知情，未意識到自己的名字正掛在某個陌生人的交易所帳戶下，而那個帳戶的密碼，他們從來沒有設定過。

技術層面也在同步惡化。根據Sumsub發布的2025 年身分詐欺報告，深度偽造攻擊在過去三年增長超過2000%，現在約佔所有身分詐欺嘗試的1/15。

攻擊路徑形成了三層結構：

• 最低層是用高解析度螢幕配合偏振鏡消除反光，讓「播放影片」的畫面在光學特徵上接近真實拍攝；
• 第二層是HOOK 注入攻擊，直接劫持手機攝像頭的系統調用接口，把提前錄製好的4K 視頻“餵”進應用的採集窗口——應用“看見”的是攝像頭實時輸出，實際流入的是一段提前準備好的視頻；
• 第三層是一鍵式AI 換臉工具，上傳照片即可生成，攻擊門檻被拉至零。突破一套真人活體認證系統的平均成本：10 美元，投入產出比高達1400%。

威脅獵人發布的《 2025 年全球KYC 攻擊風險研究報告》顯示從產業分佈來看，虛擬貨幣交易所與錢包支付平台是全部KYC 攻擊的核心靶區，合計佔超過78%。攻擊物料裡賣得最多的是「地址證明」類文件，原因簡單：它需要頻繁更新，而AI 可以大量產生。

這些數字描繪的畫面很清晰：詐欺、身分盜用、有組織的犯罪產業鏈。把這些數字疊在一起：50 萬名參與者，100 萬條公開流通的銷售帖，Coinbase、Binance US、Kraken 等頭部合規交易所的帳號均在其中。這不是某個平台的特例，而是整個加密合規體系共同面對的系統性漏洞——只要KYC 存在，繞過它的市場就存在，而且規模相當。

每份報告的措詞都很確定，使用的字是「威脅行為者」「地下市場」「非法操作」。但它們有一個共同的視角盲點。全是從外部看的，是監管機構和安全公司的視角，像是在描述一場發生在玻璃後面的火災。

但沒有一篇報告解釋，那些每天在Telegram 上掛著「線上」狀態的人，他們究竟是誰，他們怎麼看自己在做的事，以及這門生意到底在服務誰。

我決定去找圈子裡的人聊聊。

一個地下KYC 小販：兩年600 筆交易

Telegram 上搜尋KYC，幾秒鐘就能彈出一批帳號。

3 月初我隨機挑選了一個看上去信得過的KYC 中間商，不巧，我碰到了一個冷酷guy，他的回復不超過5 個字，對我提的各種問題大多以“是的”來直接回复，得到的最多信息就是報價，例如“CoinList 的KYC 40 U”、“Coinbase 的KYC 20 U”。

久久沒有回音之後，對方傳來一則稍長的訊息：「所以我們可以一起工作嗎？」句子像是從別的語言硬翻過來的，讀著像在談合作，其實大概只是在催單。對話很難進行下去。

於是我轉而在鏈上查他給我的TRON 鏈收款地址，這個地址從2024 年1 月開始運作，至今累計流入超過59,243 USDT，共600 筆收入交易，橫跨26 個月。但淨留存是零。

每一筆收入，都在一段時間內被迅速清空，轉向同一個上游地址。順著這條鏈追下去，他最後轉入了OKX 在TRON 鏈上的熱錢包。這位幫人繞過KYC 的中間商，把賺來的每一分錢，都存進了交易所。

一個體量不大的匿名賣家，兩年流水接近6 萬美元，600 筆，沒有休假，沒有淡季，只有打新節奏帶來的潮汐式漲落。這還只是其中一個地址，一個賣家，一條鏈。

這條鏈在我這裡沒有連起來，線索到這裡也就斷了。匿名的人不會開口，我需要找一個比較願意說話的人。

一個KYC 「生意人」：五年，數十個平台

終於在X 上找到了一位專門做KYC 服務的「生意人」，經朋友介紹，加上了聯繫方式，並且他願意接受採訪。

他叫貓鯉，經營品類豐富的「區塊鏈服務平台」。

談起Web3 KYC 服務的方式，貓鯉說「我是根據自己粉絲的需求，去找各種管道，並且投入時間研究，慢慢將這個業務做起來的」。

貓鯉至今已經做了五年。如今他和一個助理兩人經營，大部分商品自動出貨。他的產品目錄涵蓋數十個平台，並且以人民幣標價，價格越高，代表這個平台的近期參與人數越多熱度越高，或者身份核驗的門檻越難繞過。

「設定好後基本上是自動化的，更別說現在還有AI 可以輔助了，」他說，「基本上不會需要太多人來運作。」行情好的時候例外——打新項目扎堆，每天能工作到12 小時。行情慘淡的時候，他就將時間投入的X 的營運上。

「人民的小賣部，服務區塊鏈產業的所有粉絲。」他這樣描述自己的生意。

他的客戶遍佈中文區：中國大陸、香港、台灣、馬來西亞、韓國、美國。大陸用戶的需求最直接──大量打新平台屏蔽中國IP，護照或身分證傳上去，系統自動拒絕，沒有申訴管道，也沒有解釋。

「他們買帳號是為了參與活動，」貓鯉說，每次交付，他都會附上一條固定的風險提示：「由於這是使用他人資訊註冊的帳號，請不要在平台內放置大額資金，小額參與，隨進隨出。」他提示的「風險」，是帳號隨時可能被原主找回；使用他人身分資訊註冊金融帳號本身，在金融帳號本身，在金融帳號本身，在金融帳區也構成。

浮出水面的產業鏈

一單是怎麼完成的？貓鯉描述了完整流程：售前諮詢，付費，他聯繫“符合條件的老外”，老外按照事先培訓好的流程操作，完成KYC，帳戶轉交給買家，買家核查後修改安全設置，結單。

他印象最深刻的客戶是一個韓國人，一個專業孵化團隊的負責人，每次下單量都很大。 「他總會和專案方一起合作，購買很大量的帳號，」貓鯉說，「他跟我聊過，透過我賺了很多的錢。不過我倒是沒賺太多，他是賺的資源的錢，KYC 這塊我是賺的辛苦錢。」

也就是說，這條產業鏈也有多個層級，作為需求端的韓國孵化團隊，靠著帳號批量參與專案認購，有利可圖。因此才會有貓鯉這樣的中間商，再底層的就是提供資訊認證的「老外」，依要求完成KYC，或許就拿走幾美元。

「老外」的來源遍及全球──那些在東南亞、東非、拉丁美洲以「網路兼職」名義接單的人，依要求完成點頭、搖頭、眨眼的動作，拿走等值幾美元到幾十美元的報酬。

具體分給「老外」的錢有多少，貓鯉沒有直說，但一份在俄語論壇上流傳的招募帖是這樣寫的：「只需要你的臉。透過WhatsApp 完成視頻驗證。每次1,500 到2,000 盧布（約合17 至23 美元），一天可以做多次。」

之前Worldcoin 在柬埔寨和肯亞部署球形虹膜掃描設備時，曾短暫讓這個現象浮出水面——低於30 美元的World ID 黑市隨即出現，2024 年泰國當局下令刪除已收集的120 萬份虹膜數據，印尼叫停了Worldcoin 的全部活動。但Worldcoin 不過是冰山一角，而且還是有品牌、有記者可以追問的那一面。

定價還有另一套邏輯。 「越發達的地區，KYC 的費用越貴，」貓鯉說，「你給的費用都沒法買個早餐，人家根本不會配合你去操作。」美國的單子最難，有時候需要客戶帶著「老外」去紐約線下辦證。

他服務的每筆交易都附帶售後條款：他只保障「首次登入」成功。 「因為我們無法控制每家交易所或平台的風控規則，他們隨時都有可能更改，」買家拿到帳號，第一件事是換綁郵箱、設定二次驗證、踢出未知設備。窗口期可能只有幾個小時。

他也坦言有做不了的情況，「必須每次登入都需要掃臉的帳戶，就沒法製作，老外不可能一直飛到中國來給你掃臉登入。」他補充了一句：「按這個邏輯，就是非常非常嚴格風控的平台，那通常是不缺用戶、不缺數據的平台，也不會有福利特別高的活動，所以很少有人會購買。」所以很少有人會購買。」

Web3 KYC，一扇門了門框的空門

貓鯉對自己在做的事有清楚的定位。

當被問及加密產業的KYC，有沒有在發揮它應該有的作用時，他說，「KYC 是大家都心知肚明的門檻，平台、用戶，都知道自己在幹什麼。對於真心想參與產業的人來說這不是阻礙，更像是一種篩選方式罷了。」

在他的描述裡，這是一筆三方共贏的交易：用戶獲得了進入平台的機會，交易所獲得了新增用戶和數據，他從中收取服務費。 「三贏的」他說。

這套邏輯有一個細節，藏在他自己的售後提示裡：「由於這是使用他人資訊註冊的帳號，請不要在平台內放置大額資金，小額參與，隨進隨出。」他的「老外」是知情的、有報酬的參與者。但「他人」這個詞意味著帳號背後坐著一個真實的人，一個隨時可以主張權利的人。

但CoinDesk 的調查顯示，在更大的市場裡，還有些帳號隨附的是本人毫不知情的真實居民的姓名、住址和社會安全號碼。這些人，不在「三贏」之內。

貓鯉是這個市場裡願意接受訪問的人。在他的身後，預計有50 萬名參與者，約100 萬條銷售帖，和一個還在運作的影子系統。

註：文中涉及的Telegram 對話記錄、鏈上數據均為作者調查所得。