核心摘要
- 波兰中央打击网络犯罪局(CBZC)在 FBI 与 HSI 协助下,逮捕 4 名涉嫌 SIM swap 加密盗窃与洗钱的嫌疑人
- 犯罪团伙通过接管受害者手机号绕过交易所 短信双因素认证(SMS 2FA),入侵加密账户并转移数字资产
- 被盗资金经波兰境内外银行账户、国际支付平台及多币种数字钱包洗白,涉金额折合 数千万兹罗提
- 嫌疑人面临参与有组织犯罪、黑客盗窃及洗钱指控,最高可判 25 年监禁
- 链上调查员 ZachXBT 指认其中一名嫌疑人疑为化名”Merry”的波兰社工攻击者 Wojtek Kulisz
文章目录
- 事件概述 — 逮捕行动的时间、地点、参与机构与基本案情
- SIM Swap 攻击手法解析 — 技术路径、交易所账户接管流程与安全漏洞
- 跨国执法协作 — FBI、HSI 的参与角色与国际联合调查趋势
- 合规启示:交易所与用户的安全边界 — 对持牌加密交易平台的启示
- 常见问题(FAQ)
本文由 Aiying 艾盈合规团队原创,转载需授权。
2026 年 6 月下旬,波兰中央打击网络犯罪局(CBZC)在联邦调查局(FBI)和美国国土安全调查局(HSI)的协助下,逮捕了一个有组织犯罪团伙的 4 名成员。该团伙涉嫌通过 SIM swap 攻击入侵加密货币交易所用户账户,盗取数字资产并实施大规模洗钱。此案是欧洲执法机构与美国联邦机构在加密犯罪领域深化合作的最新案例,也再次将交易所账户安全与持牌机构的用户保护义务推至监管聚光灯下。
事件概述
逮捕行动与涉案主体
据 Bitdefender 及 FinanceFeeds 报道,波兰 CBZC 在 2026 年 6 月 25 日前后展开收网行动,将 4 名嫌疑人临时羁押(FinanceFeeds,2026-06-25)。CBZC 是波兰专门负责网络犯罪侦查的中央执法机构,此次行动获得美国 FBI 和 HSI 特工的直接现场协助,凸显了案件的跨司法管辖区属性。
根据检察官办公室的申请,4 名嫌疑人已被还押候审。波兰警方尚未公布嫌疑人身份,理由是调查涉及多个国家且仍在进行中。
指控与量刑
嫌疑人面临三项核心指控:参与有组织犯罪集团、通过黑客手段实施盗窃以及洗钱。根据波兰刑法,上述罪名合并最高可判处 25 年监禁。检察机关还表示,对攻击目标及被控制账户的详细信息现阶段不予披露。
SIM Swap 攻击手法解析
攻击路径:从电信基础设施到加密账户
SIM swap(SIM 卡替换)攻击的核心逻辑在于:攻击者通过社会工程学手段或内部合谋,诱骗电信运营商将受害者手机号转移至攻击者控制的 SIM 卡。一旦手机号被接管,攻击者即可拦截所有短信验证码和电话验证,进而重置账户密码、绕过短信双因素认证(SMS 2FA)。
在本案中,CBZC 调查发现,嫌疑团伙使用了专用软件和社会工程学技术,入侵了与电信运营商合作的实体的 IT 基础设施,获取员工电子邮件账户权限。该权限使攻击者得以发起大规模的 SIM swap 操作,进而控制加密货币交易所的用户账户并转移资产(FinanceFeeds,2026-06-25)。
洗钱路径
被盗数字资产通过一个分布式金融网络进行清洗,包括:波兰境内及境外个人银行账户、国际支付平台以及多币种数字钱包。调查人员估计,洗钱总额折合数千万波兰兹罗提(约数百万美元级别)。这种”电信层→交易所层→支付层→银行层”的多跳洗钱架构,是当前加密犯罪团伙的典型资金转移模式。
跨国执法协作
FBI 与 HSI 的角色
此案中 FBI 和 HSI 的现场参与并非孤立事件。近年来,美国联邦执法机构与欧洲网络犯罪部门在加密相关案件中形成了常态化协作机制。FBI 通常负责追踪涉案资金流入美国金融系统的路径,HSI 则侧重跨境犯罪网络的基础设施调查。
波兰与美国的合作也反映了加密犯罪的典型特征:攻击者可以在一个国家发动攻击,将资产转移到第二个国家的交易所,并通过第三个国家的银行系统套现。这种”去地域化”特征使得单一国家的执法机构难以独立完成从攻击溯源到资产追回的全链条工作。
链上调查员的独立贡献
值得关注的是,知名链上调查员 ZachXBT 在案发后公开指认,其中一名被拘留者疑为化名”Merry“的波兰社工攻击者 Wojtek Kulisz。ZachXBT 称,官方突袭画面中嫌疑人穿戴的设计师服装和首饰与其在 Instagram 公开展示的物品吻合(FinanceFeeds,2026-06-25)。波兰官方尚未确认该指认,但这一插曲凸显了独立链上调查在加密执法生态中的新兴角色——在执法机构正式披露信息之前,链上分析人员已在追踪资金流向和关联身份。
合规启示:交易所与用户的安全边界
对持牌交易平台的影响
本案对持有 VASP、EMI 及各类加密资产服务牌照的交易平台提出了直接的安全治理命题。SIM swap 攻击所利用的漏洞——SMS 双因素认证——长期以来被安全社区视为最薄弱的账户保护环节。本案表明,攻击者可完全绕过交易所的安全基础设施,仅通过电信层面的漏洞即完成账户接管。
对持牌机构而言,未来的合规成本和安全投入方向值得关注:
- 逐步淘汰 SMS 2FA:推动用户向硬件安全密钥(如 YubiKey)、TOTP 验证器应用或生物识别认证迁移,降低电信层攻击面的依赖。
- 增强账户恢复控制:手机号变更、密码重置等高风险操作应引入冷静期与多因素复核机制。
- 行为监控与风险评分:对登录设备变更、大额提现、频繁修改安全设置等异常行为进行实时评分与人工复核。
- 出金延迟机制:安全设置变更后 24-48 小时内限制大额出金,为受害者争取反应时间。
国际合作与监管期待
从监管趋势看,FATF 第 15 号建议(虚拟资产服务商的 AML/CFT 义务)以及欧盟 MiCA 框架下的 CASP 牌照制度,均要求持牌加密服务商建立足够的安全控制系统。本案中执法机构从电信基础设施到数字钱包再到传统银行账户的全链条追查能力,表明监管期待正在从”建议性安全标准”向”强制性安全合规”方向演进。
常见问题(FAQ)
什么是 SIM swap 攻击?与普通账户被盗有何不同?
SIM swap 攻击是指攻击者通过欺骗或贿赂电信运营商员工,将受害者手机号转移到自己控制的 SIM 卡上。与传统的密码盗窃不同,SIM swap 不依赖攻击用户终端或破解密码,而是通过电信层面的身份劫持绕过所有短信验证机制。一旦手机号被接管,攻击者可重置密码、接收 2FA 验证码、访问邮箱,从而在无需破解交易所安全系统的情况下完成账户接管。
波兰此案对亚太持牌加密机构有何参考价值?
亚太地区的香港 SFC、新加坡 MAS 及日本 FSA 在虚拟资产服务商牌照制度中均要求持牌机构建立充分的系统安全与客户资产保护措施。波兰案揭示了一个核心问题:安全审计的范围不应仅限于交易所自身的 IT 基础设施,还应延伸至用户侧认证通道(特别是 SMS 2FA 的依赖程度)。持牌机构可考虑将”支持硬件安全密钥”和”出金延迟机制”作为合规体系的标配能力,而非可选功能。
来源:
- 吴说区块链:波兰警方逮捕 4 名 SIM swap 加密盗窃嫌疑人(2026-06-27)
- FinanceFeeds: Poland Arrests Four in Crypto SIM Swap and Laundering Case(2026-06-25)
- CryptoTimes: Poland Busts Crypto SIM-Swap Ring in FBI-Backed Operation(2026-06-25)