加密货币和数字资产以其提供廉价，快捷，安全的价值转移手段，极大地改善了金融系统。然而，这也为网络犯罪提供了新的支付渠道。利用加密货币实施犯罪已成为监管讨论的核心，尤其是在涉及勒索软件攻击时。最近的一份报告显示，73%的公司在过去两年中经历了勒索软件攻击，近60%的公司支付了赎金以恢复数据，而在支付赎金的公司中，有80%再次遭遇勒索软件攻击。这些攻击的损失不仅每年涉及上百亿美元（2023年超过300亿美元），还影响生命安全。有文献表明，在遭受网络攻击的医院中，死亡率上升了0.77%，这相当于死亡人数增加了21%。

尽管网络犯罪呈上升趋势，被攻击的公司很少披露安全漏洞，这阻碍了研究人员理解其背后的经济学原理。公司甚至可能隐瞒不报、低报安全漏洞，因为投资者往往对数据泄露的消息做出负面反应。此外，公司在安全漏洞后还需进行昂贵的声誉修复工作。

为填补研究上的空白，Lin William Cong, Campbell R. Harvey, Daniel Rabetti, Zong-Yu Wu撰写了题为An Anatomy of Crypto-Enabled Cybercrimes的文章，从经济角度最早对加密货币所支持的网络犯罪的机制，分类，影响等提供描述性的研究。此文近期被Management Science收录并即将刊出。

COVID-19大流行使组织机构等的工作模式转移到远程工作，这加剧了勒索软件的问题。为了实施成功的攻击，勒索软件团伙通常会遵循几个步骤。首先，他们通过各种手段获取目标系统的访问权限，例如钓鱼邮件、受感染的网站、被盗的凭证以及利用软件漏洞。一旦进入系统，勒索软件会将受害者的文件替换为加密版本，并通常尝试删除备份和影子副本。最后，勒索软件通过修改显示背景、文本文件或定制暗网网站提出赎金要求。

在涉及大公司或巨额赎金时，谈判时有发生。为了协助遭受安全漏洞的受害者，网络安全公司应运而生，提供包括直接与勒索软件团伙谈判和代替受害者获取加密货币并支付赎金等服务。这些顾问可能会与攻击者谈判，试图减少赎金金额，或者只是拖延时间，以便受害者有时间从备份中恢复文件并加强安全措施。

图1: 网络攻击的分布（数据来自于2019-2021年暗网论坛）

首先，与这些犯罪分子谈判存在显著挑战，因为他们掌握了关于受害者财务状况以及其他关键信息的详细资料，包括是否拥有网络安全保险。他们通常利用这些信息来确定所要求的赎金金额。其次，尽管攻击者试图最大化利润，但在此文所研究的大规模的谈判样本中，受害者平均成功谈判到了“折扣”。值得注意的是，在三分之二的案例中，这些折扣超过了50%。最后，时间对受害者和攻击者都至关重要。攻击者的目标是迅速获取所要求的赎金，而受害者则需要时间来评估漏洞的范围及被泄露数据的敏感性。尤其是受害者需要时间将法定货币转换为加密货币，攻击者对此心知肚明，这可能为谈判提供了额外的机会。然而，攻击者通常通过威胁泄露文件或增加赎金来施压，迫使受害者加快支付进程。

勒索软件服务（ransomware-as-a-service, or RaaS）平台使用一种间接的收入模式，其中主要服务提供商将勒索软件包出租给附属合作伙伴。这些平台以收入分成的方式运作，自动将赎金在主要服务提供商和附属合作伙伴之间进行分配。

表1: Dark Side收入分成（数据来自于2019-2022年暗网论坛）

表1显示了基于赎金支付范围的分配方案。RaaS模式的高盈利性让其被广泛采用，一些平台（如DarkSide勒索软件）实施了分层的收入分配方式，基于赎金金额进行分成。该团伙向附属合作伙伴提供恶意软件和支持服务，并根据收入规模收取费用，或者提前确定固定费用。图3中的区块链取证分析显示了资金流向DarkSide团伙，该团伙获得了赎金的大部分份额，而剩余的90%则在附属合作伙伴和其他中介之间分配。

 图3: 利用区块链取证技术分析DarkSode团伙的运营（数据收集自2021年暗网论坛）

除RaaS模式之外，还有另一种偏好内部操作，自己雇佣人员的直接收入模式。以一个未具名的勒索软件团伙（unidentified ransomware gang, or URG）及其子公司为例，其子公司在URG的保护伞下运作，并生成了大约4500万美元的赎金收入，文章分析显示大约17%的受害者选择支付赎金，该子公司在2019年6月和7月的活动频繁。而URG保护伞组织的收入超过了子公司，从2018年至2020年达到1.618亿美元。与子公司类似，URG在扩大运营之前也经历了一个积累期。这一分析的洞察表明，网络犯罪活动没有显著的进入壁垒，这使得勒索团伙在建立初始收入来源和运营后能够迅速扩张。

勒索软件团伙试图将勒索攻击定位为常规的商业交易，而非犯罪行为，并优先考虑维护其公众形象。这些团伙还会在攻击前对受害者的盈利能力进行分析，以确定最优赎金金额，考虑的因素包括受害者的内部财务报表和网络安全保险覆盖范围。每个勒索软件团伙似乎都有其独特的定价公式和目标偏好。例如，某个基于中国的团伙通过计算受害者拥有的电脑数量来估算赎金金额。

此外，勒索软件团伙也会面临声誉损害的风险，尤其是当他们的行动引起媒体广泛关注时。例如，负责攻击Colonial Pipeline（美国最大的燃油管道系统之一）的团伙受到了美国政府机构的严密审查，这迫使该团伙改头换面，更改名称和品牌形象，重新包装自己。这是勒索软件团伙常用的策略，其目的是在执法机构的雷达下消失，然后以不同身份重新开始运营。

作为最大的区块链，比特币在报告的网络犯罪中最为突出。据chainabuse.com的数据，比特币占报告诈骗的89%，其次是以太坊，占10%。所有其他区块链加起来的报告网络犯罪不到1%。网络犯罪分子持续使用比特币的现象需要进一步调查。研究者们对这一现象提出如此假设：虽然比特币相对可追踪，但网络犯罪分子认为，比特币的便利性以及更高的收到资金的可能性大于他们被执法机构抓获的担忧。

与加密货币相关的网络犯罪大致可分为三大类。最主要的一类是敲诈勒索，占报告总数的约四分之三。在勒索骗局中，犯罪者向目标索要款项，以防止披露据称有害的信息或解除对重要服务的封锁。这类骗局的具体性质根据攻击者用来操纵受害者的信息类型而有所不同。勒索骗局可以进一步分为色情勒索、勒索软件和其他变体。

图6: 节点大小基于该类别中报告总数的百分比。

节点颜色反映了群体及强度（该类别中报告数量最多的节点）。

来源：根据2024年1月chainabuse.com的数据整理

第二大类别是欺诈，占报告犯罪总数的11.5%。欺诈者使用多种策略，但通常利用几种欺骗手段来追求两个主要目标：首先，他们诱使受害者提供个人信息，如登录详情，然后利用这些信息代表受害者进行交易并转移资金。其次，攻击者可能说服受害者直接转移加密货币资金，通常通过假冒身份、承诺不现实的高回报或与虚假项目挂钩来实现。加密货币领域的欺诈策略可分为以下几类：

最后一个大类是黑客攻击，占诈骗报告总数不到1%。黑客攻击包括各种非法活动，黑客通过利用智能合约、协议、基础设施或软件中的漏洞，获得未经授权的访问权限并操纵资金或信息。黑客攻击可分为以下几类:

根据主要区块链上的数千份加密网络犯罪报告，勒索骗局被认为是最普遍的网络犯罪形式。由于大多数此类事件发生在比特币网络中，文章分析了Bitcoin Abuse平台上的数千份报告中的链上支付信息。Bitcoin Abuse平台最初托管在bitcoinabuse.com上，最近并入了chainabuse.com。文章的的分析特别关注与几种主要类型的勒索骗局相关的链上交易，以了解最具影响力的网络犯罪趋势。

表3: 报告的与网络犯罪相关的比特币地址（根据2022年Bitcoin Abuse数据计算）

Bitcoin Abuse每月登记约5,000份网络犯罪报告。如表3所示，报告的网络犯罪分为六类：Tumbler（混币器）、勒索骗局、暗网市场、勒索软件、色情勒索和其他。与chainabuse.com的骗局报告概述一致，色情勒索的报告数量最高，占33.8%，其次是勒索骗局（32.3%）和勒索软件（23.9%）。这三类犯罪占比特币区块链上所有报告条目的94.4%，涉及金额约为1.57亿美元。

从交易数量来看，勒索软件是比特币区块链上最活跃的网络犯罪，占42.5%的活动量。虽然不被视为网络犯罪，但比特币混币器占链上活动的32%，其余22.4%属于“其他”类别，包括钓鱼和冒充骗局以及其他类型的欺诈行为。

勒索软件在比特币总接收量方面也处于领先地位，占47.1%（1.56亿美元）的支付额。然而，并非所有接收的比特币都与直接支付相关，部分资金可能涉及网络犯罪分子的资金重新分配活动，这使得区分两者变得困难。文章的估算表明勒索软件是最重要的有组织的加密货币支持的网络犯罪之一。

加密货币和去中心化金融是具有潜力的新兴技术，但它们也带来了新的风险，容易被滥用，特别是其匿名性为网络犯罪提供了便利。文章首次详细分析了加密货币支持的网络犯罪，探讨了其规模、模式、经济方面以及策略，例如收入模式、声誉管理和谈判策略。因此，这项研究为未来有关加密货币相关网络犯罪的研究奠定了基础，并为政策制定提供了有价值的见解。

随着加密货币相关网络犯罪的增加，全球各地的监管机构倾向于采取极端措施，例如全面禁止加密货币使用。然而，这种路径存在多个问题。首先，区块链通常是全球运作的，一地的法规在其他司法管辖区可能效果不大。此外，禁令可能只是将活动转移回使用真正匿名的实体现金（尽管这也可能使受害者面临物理威胁）。此外，禁令可能会抑制技术创新并削弱国际竞争力。文章的分析表明，区块链交易的透明性和不可篡改性可以用于追踪、监控并降低非法活动的可能性。通过金融取证研究，研究人员可以研究非法交易的范围、性质和地理分布。

1. 不同区块链的网络犯罪模式：本文主要关注比特币区块链，其他区块链可能具备不同的特性，导致不同类型的网络犯罪和诈骗。例如，来自chainabuse.com的数据表明，以太坊上的钓鱼攻击（96.8%）明显高于比特币（2.1%）。此外，像Monero和Z-Cash这样的不透明加密货币在网络犯罪中也使用得越来越多。因此，未来的研究应探索非比特币区块链中网络犯罪的普遍性。

2. 网络犯罪类型的多样性：虽然本文的研究聚焦于最突出的加密货币相关网络犯罪——勒索软件攻击，但网络犯罪的形式正在快速演变。例如， Griffin & Mei, 2024的一项研究探讨了“杀猪盘”骗局的经济学，其中攻击者通常通过浪漫骗局针对抑郁的个人，骗取经济付款。研究更多具体类型的网络犯罪不仅可以揭示新的犯罪网络，还可以为减轻这些暗黑活动提供洞见。

3. 区块链取证揭示逃税机制：区块链取证还可以揭示逃税的运作方式。例如，Cong, Landsman, et al. (2023) 发现，投资者在面对更严格的税收审查时，通过税损收割（Tax-Loss Harvesting）来规避税收，而不是选择不合规。De Simone et al. (2024) 的研究则表明，交易者通过在去中心化金融（DeFi）借贷平台上抵押资产来避免纳税。对税收领域的研究还可以为政策制定者提供信息，例如即将出台的法规。

4. 网络犯罪的低报现象：研究表明，美国公司低报网络犯罪事件的现象普遍存在，未来的研究应探讨这种做法背后的动机及其后果。同样，研究人员也可以研究美国证券交易委员会（SEC）网络安全披露规则的不利影响。例如，ALPHV/BlackCat勒索软件团伙通过向SEC提交投诉，将敲诈提升到新水平，指责Meridian Link未遵守四天内披露网络攻击的规定。

Blockchain Forensics and Crypto-Related Cybercrimes by Cong, L. W., Grauer, K., Rabetti, D., & Updegrave, H. (2023a)

此手册概述了与加密货币相关的各种犯罪活动，包括投资骗局、庞氏骗局、跑路（Rug Pull）骗局、勒索软件攻击、洗钱和暗网市场。此书讨论了如何使用区块链取证技术来调查和遏制其中的一些网络犯罪，并超越区块链，评估加密货币相关数据作为工具在分析虚假交易和逃税方面的作用。此外，作者们强调了用户保护和教育的必要性，以及中心化实体和监管机构对骗局预防的作用。尽管当局在打击网络犯罪活动方面取得了一些成功，但加密货币及相关技术的使用使得识别和起诉参与非法活动的人员变得困难。加强执法机构与技术行业之间的合作至关重要。此手册是作者们持续努力的一部分，旨在提供加密领域网络犯罪的整体分析及潜在解决方案。

参考文献

Cong, L.W., Harvey, C.R., Rabetti, D. and Wu, Z.Y., 2023. An anatomy of crypto-enabled cybercrimes (No. w30834). National Bureau of Economic Research.

Griffin, J. M., & Mei, K. (2024). How do crypto flows finance slavery? The economics of pig butchering. (https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4742235).

Cong, L. W., Landsman, W. R., Maydew, E. L., & Rabetti, D. (2023). Tax-loss harvesting with cryptocurrencies. Journal of Accounting and Economics, 76(2-3), 101607.

De Simone, L., Jin, P., & Rabetti, D. (2024). Tax avoidance with DeFi lending. (https:// dx.doi.org/10.2139/ssrn.4764605).

Cong, L. W., Grauer, K., Rabetti, D., & Updegrave, H. (2023a). Blockchain forensics and crypto-related cybercrimes. Book chapters. https://doi.org/10.2139/ssrn.4358561