二十美元一張臉：加密KYC地下生意

原文作者：angelilu，Foresight News

「您所在的地區暫不支援服務」。

這行字，我們已不知第幾次見到。這次我做足準備——翻出護照，對著鏡頭拍正面、反面；切換自拍模式，手持證件拍照；再依頁面提示點頭、搖頭、眨眼。全程約十分鐘，比上回更謹慎。畫面跳轉後顯示：「提交成功，等待審核」。

我等了三天。第四天刷新，狀態仍是「審核中」。提款功能被凍結，理由是「等待身分核實完成」。而我想參與的專案認購窗口，僅剩四十八小時。

或者，根本沒有等待——頁面甚至還未啟動驗證流程，就已透過 IP 位址識別所在地，直接彈出那行字：「您所在的地區暫不支援服務。」無說明、無申訴管道、無替代方案。我不是不願配合，而是連配合的資格都沒有。

這或許是你我都常遇的困境，也是加密產業中最普遍的一堵牆：KYC（Know Your Customer，了解你的客戶）。它是「合規」最沉重的部分——你必須證明「你是你」，才能入場。

過去五年，多數主流交易所逐步將 KYC 外包給 Sumsub、Jumio 等商業身分核驗系統，合規成本被「產品化」，並成為持續性支出。對龍頭平台而言，此項開銷已達百萬至千萬美元級別。

多位加密支付業內人士向 Foresight News 表示，當前行業在 KYC 環節仍高度仰賴 Sumsub、Jumio 等第三方服務商，其優勢在於全球資料覆蓋廣度與跨司法管轄區合規能力。

然而，隨交易規模擴大與風險控管需求提升，部分頂尖機構已開始採用「自建風控 + 第三方 KYC」混合模式，在成本、通過率與風險控制之間尋求更佳平衡點。

但無論這堵牆築得多高，地下市場早已為它標定價格：20 USDT——即可完整交付交易所要求的全套驗證：護照或駕照上傳、人臉辨識、居住地證明。

五十萬人，一個從未被正式統計的市場

秉持「上有政策、下有對策」原則，我搜尋「Web3 KYC」，跳出的卻非教學指南，而是層層警示。

CertiK 於 2023 年一份報告掃描逾二十個地下 KYC 市場，發現當時參與成員總數逾 50 萬人，集中於東南亞，群組規模介於 4,000 至 30 萬人不等。

網路安全公司 ZeroFox 曾統計：一年內，於公開論壇及 Telegram 上發現超過 100 萬則 KYC 帳號銷售貼文，涵蓋 Coinbase Pro、Kraken 等主流合規交易所，售價介於 150 至 500 美元。

CoinDesk 更曾親自購買數個帳號驗證。每帳號皆附帶真實用戶姓名、家庭住址、出生日期；美國居民帳號甚至含社會安全號碼（SSN）。研究團隊於公開資料庫比對，成功鎖定四位資訊完全吻合之真實人物，並寄發書面通知——對方皆表示毫不知情，從未設定該帳戶密碼，亦不知自己姓名正掛於他人交易所帳號之下。

技術層面威脅同步惡化。根據 Sumsub《2025 年身分詐欺報告》，深度偽造（Deepfake）攻擊於三年內成長逾 2000%，現已佔所有身分詐欺嘗試之 1/15。

攻擊路徑已形成三層結構：

• 底層：以高解析度螢幕搭配偏光鏡消除反光，使「播放影片」在光學特徵上逼近真實攝影；
• 中層：HOOK 注入攻擊，直接劫持手機相機系統呼叫介面，將預錄 4K 影片「餵入」應用程式取像視窗——App 所見雖為即時影像，實際接收的卻是事前備妥之影片；
• 頂層：一鍵式 AI 換臉工具，上傳照片即可生成逼真人臉，攻擊門檻近乎為零。突破一套真人活體認證系統之平均成本僅 10 美元，投資報酬率高達 1400%。

威脅獵人《2025 年全球 KYC 攻擊風險研究報告》指出：虛擬貨幣交易所與錢包支付平台為 KYC 攻擊核心目標，合計占比逾 78%。其中銷售量最高者為「地址證明」類文件——因其需頻繁更新，且 AI 可批量生成。

這些數字勾勒出清晰圖景：詐欺、身分盜用、有組織犯罪產業鏈。疊加起來看：50 萬名參與者、100 萬條公開流通銷售貼文、Coinbase、Binance US、Kraken 等頂級合規交易所帳號悉數在列。這非單一平台漏洞，而是整個加密合規體系共有的系統性缺口——只要 KYC 存在，繞過它的市場便存在，且規模龐大。

每份報告措辭嚴謹，用詞如「威脅行為者」「地下市場」「非法操作」。但它們有一致盲點：全屬外部視角——監管機構與資安公司的俯瞰式觀察，宛如描述一場發生於玻璃另一側的火災。

沒有一份報告回答：那些長時間掛在 Telegram 上「線上」的人，究竟是誰？他們如何看待自身所為？這門生意，究竟服務誰？

我決定走入圈子，親自對話。

一位地下 KYC 中間商：兩年完成六百筆交易

於 Telegram 搜尋「KYC」，幾秒內即湧出大量帳號。

三月初，我隨機挑選一位看似可信之中間商。不巧，碰上一位冷淡者：回覆不超過五字，對多數提問僅答「是的」，唯一提供的是報價，例如「CoinList KYC 40 U」、「Coinbase KYC 20 U」。

久候未獲進一步回應後，他終於發來一句稍長訊息：「所以我們可以一起工作嗎？」語句似由他語硬譯而來，表面談合作，實則催單。對話難以延續。

我轉而於鏈上查閱其所提供的 TRON 鏈收款地址。該地址自 2024 年 1 月啟用，至今累計流入逾 59,243 USDT，共 600 筆收入交易，橫跨 26 個月；然淨餘額為零。

每筆收入均於短時間內迅速轉出，最終匯入同一上游地址；順線追蹤，終止於 OKX 在 TRON 鏈上的熱錢包。這位協助他人繞過 KYC 的中間商，將每一筆所得，全數存入交易所。

一名規模不大的匿名賣家，兩年營收近六萬美元、六百筆交易、全年無休、僅隨打新節奏起伏。這僅是一條鏈、一位賣家、一個地址。

線索至此中斷。匿名者不會開口，我需要一位更願傾談之人。

一位 KYC 「生意人」：五年經驗，服務數十平台

最終，我在 X（原 Twitter）上找到一位專營 KYC 服務的「生意人」，經友人介紹取得聯絡，且對方同意接受訪問。

他自稱「貓鯉」，經營一家品項多元的「區塊鏈服務平台」。

談及 Web3 KYC 服務模式，貓鯉表示：「我是依粉絲需求，主動尋找各類管道，投入時間研究，才逐漸把這門業務建立起來。」

他已深耕此領域五年。目前與一名助理共同營運，商品多數自動發貨。產品目錄涵蓋數十個平台，全以人民幣標價；價格越高，代表該平台近期參與人數越多、熱度越旺，或身分核驗門檻越難繞過。

「設定完成後基本自動化運作，更何況現在還有 AI 協助，」他說，「幾乎不需要太多人力。」行情佳時例外——打新專案密集，每日工作可達十二小時；行情低迷時，則轉向經營 X 帳號。

「人民的小賣部，服務區塊鏈產業所有粉絲。」他如此形容自身事業。

客戶遍及中文圈：中國大陸、香港、台灣、馬來西亞、韓國、美國。其中大陸用戶需求最明確——大量打新平台封鎖中國 IP，上傳護照或身分證後，系統直接拒絕，既無申訴管道，亦無解釋說明。

「他們買帳號是為了參與活動，」貓鯉說。每次交付，他必附上固定風險提示：「因本帳號使用他人資訊註冊，請勿存放大額資金，建議小額參與、隨進隨出。」他所提示之「風險」，包含帳號隨時遭原主取回；而在多數司法管轄區，使用他人身分資訊註冊金融帳戶，本身即構成身分詐欺。

浮出水面的產業鏈

一單如何完成？貓鯉詳述完整流程：售前諮詢 → 付款 → 他聯繫「符合條件之外籍人士」→ 對方依事先培訓步驟操作 → 完成 KYC → 帳號移交買家 → 買家驗證後修改安全設定 → 交易結案。

他印象最深的客戶是一位韓國人，某專業孵化團隊負責人，每次訂單量極大。「他常與專案方合作，一次購入大量帳號，」貓鯉說，「他曾告訴我，靠這些帳號賺了不少錢。不過我其實沒賺多少，他是賺資源的錢，KYC 這塊，我只是賺辛苦費。」

換言之，此產業鏈具多層結構：需求端（如韓國孵化團隊）藉批量帳號參與專案認購牟利；中間商（如貓鯉）承擔協調與交付；底層則為提供身分認證之「外籍人士」，依指示完成點頭、搖頭、眨眼等動作，僅獲數至數十美元報酬。

「外籍人士」來源遍及全球——東南亞、東非、拉丁美洲等地，以「網路兼職」名義接單者眾。

俄語論壇上一份流傳招募帖寫道：「只需你的臉。透過 WhatsApp 完成視訊驗證。每次 1,500 至 2,000 盧布（約 17–23 美元），一天可多次。」

此前 Worldcoin 於柬埔寨與肯亞部署球形虹膜掃描設備時，曾短暫令此現象浮上檯面——低於 30 美元之 World ID 黑市隨即出現；2024 年泰國當局下令刪除已收集之 120 萬份虹膜資料，印尼亦全面叫停 Worldcoin 活動。但 Worldcoin 僅是冰山一角，且尚屬有品牌、有媒體可追問之面向。

定價另有邏輯。「越發達地區，KYC 費用越貴，」貓鯉說，「你給的報酬連早餐都不夠，人家根本不會配合操作。」美國單案最難，有時須客戶親帶「外籍人士」赴紐約現場辦證。

每筆交易均附售後條款：僅保障「首次登入」成功。「因無法掌控各交易所或平台之風控規則，它們可能隨時變更，」買家收到帳號後，第一要務是更換電子信箱、啟用雙重驗證、登出未知裝置。此「黃金窗口期」往往僅數小時。

他也坦言有不可行之狀況：「每次登入皆需人臉掃描之帳戶，便無法製作——外籍人士不可能飛來中國幫你天天刷臉。」他補充：「按此邏輯，風控極嚴之平台，通常不缺用戶、不缺數據，也不會推出高福利活動，故鮮少有人購買。」

Web3 KYC：一扇只裝門框的空門

貓鯉對自身角色有明確定位。

當被問及加密產業 KYC 是否發揮應有功能，他答：「KYC 是大家心知肚明的門檻，平台與用戶都清楚自己在做什麼。對真心想參與產業的人而言，這不是阻礙，更像一種篩選方式罷了。」

在他敘述中，這是三方共贏交易：用戶取得入場券、交易所獲得新用戶與數據、他收取服務費。「三贏的，」他說。

此邏輯藏有一關鍵細節，見於他自己的售後提示：「因本帳號使用他人資訊註冊……」——「他人」二字指向一個真實存在、隨時可主張權利的人。

但 CoinDesk 調查揭示，在更大市場中，部分帳號附帶之資訊，竟是本人渾然不知之真實居民姓名、住址與社會安全號碼。這些人，不在「三贏」範疇之內。

貓鯉是此市場中願意接受訪問的一人。在他身後，是估計達五十萬人的參與者、約百萬則銷售貼文，以及一個持續運轉的影子系統。

註：文中涉及之 Telegram 對話紀錄、鏈上資料，均為作者調查所得。