OFAC 制裁勒索软件”隐身服务商”:从 VPN 到恶意软件混淆工具,20 个地址横跨 8 条链的合规筛查新边界

Aiying 艾盈一家专注加密资产合规咨询服务机构,本文为团队原创,转载需授权。

7月13日,美国财政部 OFAC 做了一件不太一样的事——他们没有制裁某个具体的勒索软件团伙,而是直接把一家 VPN 服务商、它的管理员,以及一个卖”恶意软件隐身衣”的白俄罗斯小伙列入了 SDN 名单。一同上链的还有 20 个加密地址,横跨 BTC、ETH、TRX、LTC、DOGE、DASH、ZEC 和 SOL 八条链。这不单单是一次制裁行动,更像是在重新定义加密合规的筛查边界。

发生了什么:OFAC 首次制裁勒索软件”隐身服务商”

这次被列入 SDN 名单的包括三个目标:First VPN Service(1VPNS)——一家乌克兰的 VPN 提供商;其管理员 Dmytro Rashevskyi——乌克兰籍,使用至少三个假名(”Maksim Sorin””Roman Chabanenko””Johny Walker”)购买服务器基础设施以逃避 ISP 的滥用投诉;以及 Yevgeniy Silayev——白俄罗斯籍,专门销售”cryptor”即恶意软件混淆工具(OFAC, 2026-07-13)。Rashevskyi 和 Silayev 分别被列入 SDN,法律依据是第 13694 号行政令(经 13757、14144、14306 号修订),核心指控是”为源自美国境外的网络攻击提供了实质性协助、赞助或技术支持”。

1VPNS:一个运行了 12 年的”犯罪专用”VPN

根据 OFAC 的公告,1VPNS 自 2014 年起就在 Exploit、XSS 等多个网络犯罪论坛上打广告,核心卖点就两条:不保留任何用户日志、不配合任何执法调查。这跟 ProtonVPN、Mullvad 这类注重隐私但仍在法律框架内运营的商业 VPN 完全不同——后者的隐私政策是保护合法用户的权益,而 1VPNS 的商业模式就是服务犯罪分子。受害方包括美国企业、金融机构、医院和市政府。据 FBI 的网络安全公告,至少有 25 种勒索软件(包括 Anubis、Qilin 等团伙)曾利用 1VPNS 的出口节点进行网络侦察、部署恶意软件和管理窃取数据(Decipher, 2026-07-13)。TRM Labs 的链上追踪进一步显示,Anubis 和 Qilin 等勒索软件团伙曾直接用加密货币向 FirstVPN 支付服务费用

Silayev 的 Cryptor:让恶意软件”隐身”的混淆工具

Silayev 卖的”cryptor”跟普通加密工具完全是两回事。OFAC 在公告中做了明确区分:合法的加密工具是为了保护数据所有者的隐私和安全,而 Silayev 的 cryptor 是专门把勒索软件伪装成安全程序、绕过杀毒软件检测的混淆工具。换句话说,他的产品让勒索软件在目标系统上更难被发现、更难被清除。这种技术基础设施供应商,在 OFAC 看来,和直接实施攻击的勒索软件团伙一样需要被追责——尽管他本人可能从未直接参与任何一次勒索攻击。

20 个加密地址,横跨 8 条链

这次 SDN 名单更新的一个显著特点是地址覆盖面之广:Rashevskyi 个人名下挂了 15 个地址(BTC×2、ETH×2、LTC×2、TRX×2、DOGE×2、DASH×2、ZEC×1、SOL×2),1VPNS 实体名下 5 个(BTC×2、ETH×1、LTC×1、TRX×1)。值得注意的是,八条链没有一条是 Monero 或 Zcash 这类隐私币——除了 Rashevskyi 有一个 ZEC 地址外,大部分还是公开账本上的 BTC、ETH、TRX。这说明 OFAC 在做地址归因时,即便是公开链上的活动也足以建立制裁证据链。隐私币不是规避制裁的必需品——犯罪分子在公开链上的行为模式本身就暴露了足够多的信息。

为什么重要:合规筛查从”制裁对象”扩展到”基础设施供应商”

范式转移:罚的不再只是扣扳机的人,还有卖枪的

过去 OFAC 的加密制裁思路很直白:找到具体的勒索软件团伙或黑客组织,把它们和它们的钱包地址列入 SDN。Tornado Cash 被制裁是因为它被用来洗钱,Blender.io 同理。但这次不同——1VPNS 和 Silayev 本身没有实施任何一次勒索软件攻击,他们只是提供了攻击者需要的工具:匿名网络接入和恶意软件混淆。OFAC 这次援引 EO 13694 的逻辑是:只要为”源自美国境外的、构成国家安全威胁的网络攻击”提供了”实质性协助或技术支持”,就可以触发制裁。

换个角度说,合规筛查的边界正在从”你的交易对手方是谁”扩展到”你的交易对手方的技术服务商是谁”。这对于 VASP 的链上监控系统提出了新命题:不仅要筛查直接交互地址是否在 SDN 名单上,还要关注资金是否流经已知的犯罪基础设施服务商地址。TRM Labs 的 Ari Redbord 在 LinkedIn 上说的很直白——”勒索软件团伙为那个承诺(不记日志、不配合执法)付了钱,然后用它来隐藏攻击来源”(Decipher, 2026-07-13)。

美英协同 + 前期执法铺垫:一套组合拳

这不是一次孤立行动。同日,英国外交联邦与发展办公室(FCDO)制裁了另外 24 个与俄罗斯情报机构关联的网络犯罪代理网络的个人和实体。今年 5 月,欧洲刑警组织在法国和荷兰主导下查封了 1VPNS 的 33 台服务器,FBI 波士顿分局提供了支持——行动中还逮捕了一名未具名的 VPN 管理员(美国国务院, 2026-07-13)。FBI 还专门发布了一份 FLASH 网络安全公告,详细描述了 1VPNS 的 TTPs——在 27 个国家运营 32 个 VPN 出口节点,帮助企业检测和预防相关攻击。

这套组合拳的逻辑是:执法层面物理断网(查封服务器)+ 金融层面切断资金流(SDN 制裁)。即使攻击者可以换 VPN,被列入 SDN 后,任何美国人士或与美国金融系统有交集的实体都不能与他们进行交易——这基本等于在全球金融体系里”社会性死亡”。英国的同步制裁进一步压缩了规避空间。

严格责任下的 VASP 实操风险

OFAC 的制裁执法采用 严格责任(strict liability)原则——即使 VASP 不知道自己在处理被制裁方的资金,仍然可能面临民事处罚。20 个地址覆盖的链里,BTC、ETH、TRX 都是交易所最常用的充提链。尤其是 TRON 链上的地址(交易速度快、费用低),在亚太地区的 OTC 和灰产资金流转中被广泛使用。VASP 必须第一时间将这些地址加入 SDN 筛查列表。

此外,OFAC 在公告中特意提到了 FinCEN 的举报人计划:任何在美国境内或境外的人,如果提供的制裁违规信息导致超过 100 万美元罚款的执法行动,都有资格获得奖励。这等于同时从制裁名单合规和举报激励两个方向施加压力。

怎么看

  • 筛查边界从”人”扩展到”基础设施”:OFAC 这次明确告诉行业——你不仅要排查直接交互的地址,还要关注这些地址是否与已知的犯罪基础设施服务商有关联。链上分析工具需要对”基础设施供应商”这类新实体类型建立专门的风险标签,未来的合规审计会涉及这个维度。
  • “不记日志”型 VPN 的法律风险红线:商业 VPN 服务如果以”不保留日志、不配合执法”为核心卖点,且客户群体以网络犯罪分子为主,就踩进了 OFAC 的制裁雷达。这不是隐私保护的问题,而是商业模式选择的问题——当你的主要收入来自犯罪分子时,隐私就不再是挡箭牌。
  • DOGE 和 DASH 都上榜了,多链筛查不再是可选项:DOGE、DASH、ZEC——这些通常不在 VASP 重点监控范围内的链,这次全套进 SDN 名单了。如果说之前还有 VASP 觉得”小链的合规投入产出比不划算”,这次应该重新算这笔账。
  • 英美同步制裁正在成为一种默认模式:从 Tornado Cash 到 1VPNS,美英在加密制裁上的协同频率越来越高。对于同时在两国展业的 VASP 来说,合规框架执行的同步性在提高,但”两头犯错”的风险也更大——一个制裁就可能同时触发两国监管的关注。

一句话总结

OFAC 把制裁的铁锤从”扣扳机的人”砸向了”卖枪的人”,这 20 个地址横跨 8 条链的 SDN 名单,是对 VASP 链上合规筛查边界的一次重新定义——你筛查的不只是交易对手方,还有他们的技术服务商。


本文基于 美国财政部 OFAC 官方新闻稿(2026-07-13)美国国务院声明(2026-07-13)OFAC SDN 名单更新(2026-07-13)Decipher 报道(Lindsey O’Donnell-Welch, 2026-07-13)撰写。作者 Tony,Aiying 艾盈团队原创,转载需授权。