美国 FBI 破获 Steam 游戏恶意软件加密盗窃案:跨州执法与区块链追踪协同

核心摘要

  • 美国 FBI 西雅图办事处逮捕佛罗里达州 21 岁嫌疑人 Zyaire Dontaevious Zamarion Wilkins,指控其参与通过 Steam 游戏分发加密窃取恶意软件的共谋计划。
  • 2024 年 5 月至 2026 年 2 月间,该团伙发布 8 款含恶意软件的游戏,感染约 8,000 台设备,获取约 80 个加密钱包访问权限,窃取至少 22 万美元加密资产
  • 嫌疑人使用化名 “Sibel.eth” 与主开发者通过 Signal 协调「清空行动」(draining campaigns),以 1 万美元购买远程访问木马(RAT),通过受害者的 Discord/Telegram/X 社交工程接触目标。
  • FBI 通过追踪比特币流向 Bitrefill → Uber Eats 礼品卡 → 送货地址 锁定嫌疑人身份,搜查中缴获门罗币(XMR)种子短语等证据。
  • 对持牌加密机构的合规启示:游戏分发平台正成为大规模私钥盗窃的新攻击面,托管服务商须强化异常交易监控——尤其是批量小额清空型交易模式。
📑 文章目录
  1. 案件概览 — 指控、罪名与嫌疑人身份
  2. 作案手法:从游戏分发到钱包清空 — 8 款游戏、社交工程与 RAT 工具
  3. 执法调查路径 — 比特币→Bitrefill→Uber Eats 追踪链
  4. 对加密合规与安全运营的启示 — 新型攻击面向持牌机构的风险升级

本文由 Aiying 艾盈合规团队原创,转载需授权。

2026 年 7 月 15 日,美国联邦调查局(FBI)西雅图办事处在佛罗里达州北劳德代尔(North Lauderdale)逮捕了 21 岁的 Zyaire Dontaevious Zamarion Wilkins,指控其参与一项通过 Steam 游戏平台分发加密窃取恶意软件的共谋计划,感染约 8,000 台设备并窃取至少 22 万美元加密资产(Decrypt,2026-07-16)。这是 FBI 自 2026 年 3 月公开 Steam 恶意软件调查以来的首项刑事指控。

案件概览

指控性质与管辖基础

Wilkins 被控以 「为获取私人财务利益而共谋通过计算机获取信息」(conspiracy to obtain information by computer for private financial gain),该罪名最高可判处 10 年监禁。根据美国联邦法典 18 U.S.C. § 1030(计算机欺诈与滥用法,CFAA),共谋罪(18 U.S.C. § 371)叠加 CFAA 下的非法访问罪名,量刑上限为 10 年。

案件由 华盛顿西区联邦地区法院(西雅图) 管辖,而非佛罗里达州——这是因为受害者集中分布于华盛顿州(Steam 母公司 Valve 总部所在地贝尔维尤),且 FBI 西雅图办事处主导了最初调查。Wilkins 先在佛罗里达州联邦法院出庭,随后将移交至华盛顿州受审。

15 页联邦诉状的核心事实

根据 15 页的联邦刑事指控书,2024 年 5 月至 2026 年 2 月期间,Wilkins 及同案人通过 Steam 平台发布了 8 款嵌入恶意软件的游戏,包括 PirateFi、BlockBlasters、Dashverse 和 Lunara。其中 PirateFi 伪装为免费生存游戏,吸引了约 7,000 名玩家,后被 Valve 下架并要求受影响用户格式化电脑(Decrypt,2026-03)。

作案手法:从游戏分发到钱包清空

多平台社交工程与目标筛选

该团伙的作案手法呈现出系统化的目标筛选→社交引导→恶意下载→凭证窃取→钱包清空链条:

  • 目标筛选:使用机器人在 Discord、Telegram、X 和 LinkedIn 上识别持有大量加密资产的用户。
  • 社交引导:引导目标用户下载 Steam 上的「游戏」——这些游戏通过了 Valve 的审核流程,在外观和功能上与正常游戏无区别。
  • 凭证窃取:一旦安装,恶意软件即开始窃取私密数据、登录凭证和浏览器保存的密码。
  • 钱包清空:共谋者从窃取的数据中筛选可用于解锁加密钱包的信息,并执行「清空行动」——诱骗受害者批准交易,瞬间转走钱包余额。

化名” Sibel.eth ” 与远程访问木马

FBI 的调查将 Wilkins 与以太坊化名 “Sibel.eth” 关联起来。根据指控书,他通过加密通讯软件 Signal 与一名身份尚未公开的「主开发者」协调操作,讨论「清空行动」的执行时间和目标选择。Wilkins 以 1 万美元 购买了远程访问木马(Remote Access Trojan, RAT),用于远程控制受害者设备。

该系列中最臭名昭著的 BlockBlasters 游戏,曾在 2025 年 9 月的一次直播中实时清空了一名正在为癌症治疗募资的游戏主播的钱包,单次窃取超过 3.2 万美元——该游戏累计从数百名用户处窃取了约 15 万美元(Decrypt,2025-09)。

执法调查路径

链上追踪:比特币→礼品卡→物理地址

FBI 揭露嫌疑人身份的路径展示了链上分析与传统执法手段的交叉应用

  1. 从该计划的比特币钱包追踪资金流向 Bitrefill——一个允许用户使用加密货币购买礼品卡的服务平台。
  2. 资金被用于购买超过 150 张礼品卡,其中大部分是 Uber Eats 外卖卡。
  3. FBI 向 Uber 发出传票,将礼品卡关联至一个 Uber Eats 账户,该账户的配送地址直指 Wilkins 在北劳德代尔的住所及其在西佛罗里达大学的地址

这一链上→线下交叉验证的执法路径表明,即使使用比特币(相对可追踪)进行小额消费,也可能在执法调查中成为关键突破口。

搜查中的数字证据

在逮捕前一周对 Wilkins 住所的搜查中,FBI 扣押了多台设备及 3 个钱包种子短语,其中 1 个用于门罗币(Monero,XMR)——FBI 特工在宣誓书中特别指出门罗币「因其难以追踪而常被犯罪分子使用」。审查其加密资产历史记录显示,约有 38.2 万美元 进出其控制的钱包,远超起诉书中 22 万美元的盗窃认定金额。

对加密合规与安全运营的启示

游戏分发平台成为新攻击面的合规含义

Steam 拥有逾 1.3 亿月活用户,其中相当比例持有加密资产——这一用户群体与加密持有者的高度重合使游戏分发平台成为大规模私钥盗窃的新攻击向量。对于持牌加密交易所和托管服务商,这一趋势意味着:

  • 异常交易监控须覆盖「批量小额清空」模式:而非仅关注大额转账。BlockBlasters 案中,攻击者在短时间内从数百个地址执行小额清空交易的模式,应成为交易监控系统的规则触发条件。
  • 用户安全教育须纳入软件供应链安全:不仅警告钓鱼网站,还应提醒用户警惕从可信平台(如 Steam)下载的应用可能含恶意代码。

门罗币的执法困境与持牌机构风险

Wilkins 选择门罗币存储犯罪所得,再次凸显了隐私币对合规审计和执法追踪构成的挑战。在 FATF 旅行规则(Travel Rule)要求 VASP 对超过特定门槛的加密转账共享发起方和受益方信息的背景下,门罗币的环签名和隐蔽地址技术使得这一合规义务在技术上无法执行。部分司法管辖区(如韩国、日本、澳大利亚)已禁止持牌交易所上线隐私币,但美国目前仍允许持牌机构在满足 AML 要求的前提下支持门罗币交易。

Steam 恶意软件调查的执法扩展预期

FBI 在 2026 年 3 月公开呼吁受害者提供信息(FBI Steam Malware 受害者征集表),Wilkins 的逮捕仅是系列调查的开端。鉴于诉状中将同案人描述为「身份未知的主开发者」及其他参与者,后续可能有多人被追加起诉。对于运营与 Steam 生态(如游戏内 NFT 交易、钱包集成)有关产品的持牌机构,应密切监控执法动态并评估自身平台是否可能被类似手法利用。

常见问题(FAQ)

受害者能否追回被盗的加密资产?

部分被窃资产可能已被 FBI 在搜查中扣押,但通过 DEX 或混币器转移的部分较难追回。受害者应通过 FBI 的 Steam 恶意软件受害者征集页面提交信息,这也有助于执法机构完善证据链并在量刑阶段争取赔偿令(restitution order)。BlockBlasters 案的特定受害者(如癌症募资主播)的案件因具有高度公众关注度,可能获得优先处理。

Steam 平台是否面临监管责任?

目前 Steam 母公司 Valve 未被起诉,且 Valve 在发现恶意游戏后已将其下架并通知用户。但在平台内容审核义务层面,如果类似事件重复发生,FTC(联邦贸易委员会)可能依据 Section 5 of the FTC Act 追究 Valve 的不公平或欺骗性行为责任。欧盟《数字服务法》(DSA)下的大型平台义务也可能在未来成为 Valve 的合规压力点。


来源:

此頁面已更新

此內容已更新並移至新的頁面。
請點擊下方按鈕前往最新版本。

前往新頁面