加密貨幣資助的混合戰爭：為何 Telegram 支付和代理攻擊是新的合規風險

透過 Telegram 協調並經由代理伺服器路由的付款，已不再是邊緣化的詐騙手法——如今，它們正處於規避制裁、網路犯罪與資訊作戰的交匯點。對合規負責人而言，這引發了一個實際問題：你如何偵測並阻斷那些看似不像傳統交易所存款的資金流動？ 本文梳理了 Telegram 協助付款與代理攻擊（proxy attacks）背後的運作機制，歸納了最新執法動向，並提供一份可立即上手的操作手冊，協助你在不阻礙合法用戶的前提下，降低相關風險暴露。目標在於實現可操作性：縮小在通訊應用程式、穩定幣支付軌道（stablecoin rails）及第三方中介（third-party cutouts）上的監控盲區——並向稽核人員、合作夥伴與監管機構證明此成效。 混合式戰爭（Hybrid warfare）融合了網路入侵、資訊作戰與金融干擾。加密貨幣付款——尤其是透過通訊應用程式協調的穩定幣轉帳——更為其增添了速度與否認空間（deniability）。攻擊者利用一次性錢包（disposable wallets）轉移資金、以微額獎勵誘使共犯參與，並向供應商或自由工作者結算付款；整個過程完全避開傳統銀行支付軌道。 本文所指的「代理攻擊」（proxy attacks），不僅僅是網路層面的漏洞利用；它更是一種付款模式，即受制裁或高風險行為者，藉由看似無關的中間方——例如場外交易（OTC）經紀商、創作者酬勞錢包（creator payout wallets）、空殼商品商店（shell merch stores）或聯盟夥伴（affiliates）——來轉移價值，從而規避基於名單的簡單篩查（list-based screening）。 近期的執法行動正說明此問題的重要性。2026 年 6 月，美國財政部海外資產控制辦公室（OFAC）將四家伊朗數位資產交易所——Nobitex、Wallex、Bitpin 與 Ramzinex——列入制裁名單，並指出 Nobitex 在 2025 年處理了伊朗逾半數的數位資產流入量，且與伊朗革命衛隊（IRGC）相關活動及勒索軟體活動存在關聯。TRM Labs 估計，這些交易所共處理約 77 億美元（$7.7B）與伊朗相關的 2025 年加密貨幣交易量，其中 Nobitex 獨佔約 47 億美元（$4.7B）。如此高度集中，壓縮了資金流動路徑：一旦這些節點遭到打擊，流量便會湧向點對點（P2P）與通訊應用程式管道。 與此同時，執法機關的報告亦顯示，Telegram 已成為「釣魚即服務」（phishing-as-a-service）與代幣竊盜的組織層級平台。Google 於 2026 年 6 月提出的訴訟描述了一項位於中國的營運活動，該活動利用 Telegram 協調釣魚套件（kits）分發，並在為期兩週的爆發期間，查扣約 10 萬美元（$100,000）USDT，觀察到數百萬則詐騙簡訊，並配合「幽靈鉤／潮汐行動」（Operation Ghost Hook/Riptide）展開執法行動。美國聯邦調查局（FBI）的網際網路犯罪舉報中心（IC3）亦曾單獨警示 Kali365 —— 一種透過 Telegram 散播的釣魚服務，專門竊取 Microsoft OAuth 與裝置驗證碼（device-code）權杖，進而繞過多重身份驗證（MFA）；這些權杖既可變現，亦可用於橫向移動（lateral movement）。 Telegram 同時降低了善意與惡意行為者的協調成本。付款指示、地址輪替（address rotation）與聯盟夥伴（affiliate）入駐流程，皆可透過機器人（bots）自動化腳本編寫，並一次廣播給數千名用戶。穩定幣結算則提供了高速度與近乎全球範圍的支付能力；而脫離平台的聊天互動，卻讓傳統的交易監控形同失明。 對合規工作而言，其意涵有二：第一，你必須監控付款本身；第二，你還需針對促成交易雙方連結的「協調層」（coordination layer）進行風險評分。一個錢包今日或許通過篩查，但其周邊的 Telegram 使用者帳號（handle）或機器人群組（bot cluster）卻可能已發出極高風險警訊。 當受制裁生態系失去通往大型中心化出金管道（off-ramps）的通道時，流量便會轉向點對點（P2P）經紀商、場外交易（OTC）櫃檯，以及由通訊應用程式促成的交易所。由此衍生的「三重疊加態勢」（trifecta）包含：（1）尋求出金管道的受制裁流動性；（2）工業化運作的憑證竊盜與詐騙散播；（3）表面看似無害的中介角色（聯盟夥伴、供應商、小型電商）。你的合規控制體系（control stack）必須同步應對這三大面向。 控制措施發揮效用的前提，在於持續輸入最新情報。請整合制裁資料、鏈上分析（on-chain analytics）與通訊應用程式遙測數據（messaging telemetry），建構一張共享圖譜（shared graph），使風險信號可在各團隊與工具間無縫流通。務必將 Telegram 使用者帳號（handles）、機器人 ID（bot IDs）與推薦連結（referral links）視為與錢包地址（addresses）及交易哈希（TX hashes）同等重要的第一級風險指標（first-class indicators）。 請採分層式設計你的合規技術堆疊（stack）：第一層為快速預篩（pre-screen），用以即時攔截明顯觸及制裁名單的交易；第二層為行為分析層（behavioral layer），用以標示類似代理攻擊的異常資金流向（例如突發性首跳（bursting first hops）、環狀流動（circular flows）、反覆出現的小額付款）；第三層則為人工審核迴圈（human review loop），專責裁決邊界案例（edge cases），特別針對創作者或小型商家等情境。供應商選型至關重要；請審慎評估潛在供應商是否具備以下能力：接收非區塊鏈信號、對群組（clusters）進行風險評分，以及支援快速更新拒收名單（denylist）。 [Crypto Daily]