据平安徐汇公众号发布的消息,2023 年 5 月市民欧某打开 A 公司开发的加密钱包软件想查看自己的加密货币 (当时价值数百万元) 是否增值时,发现账户里的加密货币全部不见了。
受害者欧某自行排查后发现,一个月前就有人其钱包中的加密货币全部转出,随后欧某对程序进行分析发现了该钱包软件中存在自动获取钱包地址和私钥的后门程序。
到 2023 年 8 月欧某带着自己搜集的证据前往上海市徐汇区公安分局报案,几天后犯罪嫌疑人,同为 A 公司员工的张某 (甲)、董某和刘某陆续到案。
三人合伙添加后门程序窃取加密货币:
三人到案后交代,2023 年 3 月初,三人经过商议决定在某加密钱包软件中添加后门程序以便获取用户私钥,之后由刘某负责编写后门程序,董某负责购买服务器和域名并对获取的密钥进行加密,张某 (甲) 负责搭建服务器和数据库等。
当用户首次安装带有后门的加密钱包后,后门程序在 5 天后自动运行并将私钥、助记词等信息上传至域名对应的数据库中,运行一定时间后后门程序则会停止窃取信息。
为躲避侦查,2023 年 5 月底三人在保存好窃取的私钥及解析出来的钱包地址后,就把服务器和数据库销毁,三人约定两年后方可使用这些私钥用来盗取加密货币,没想到三个月后就被抓获。
但对于报案人欧某的损失,三人均供述没有打破约定提前盗取加密货币,经过鉴定三人共计非法获取助记词 2.7 万条、私钥 1 万条,成功转换后的钱包地址 1.9 万个。
公安机关对证据进行研判后认定这三人确实没有转走欧某的加密货币,但三人的行为已经构成非法获取计算机信息系统数据罪,2024 年 3 月徐汇区人民法院分别判处这三人每人有期徒刑三年,并处罚金人民币 3 万元。
真正的盗窃者另有其人:
公安机关在调查时注意到原来欧某使用的另一个平台上的加密货币钱包也被曾就职于 A 公司的张某 (乙) 植入了后门程序。
张某 (乙) 到案后交代,早在 2021 年 7 月他就利用自己的专业知识以及对加密货币的了解,在客户端代码中编写了一段用于收集用户私钥和助记词的单吗,当用户使用时会自动获取用户签名操作使用的助记词或私钥,并通过电子邮件发送到张某 (乙) 的邮箱。
2023 年 4 月张某 (乙) 因个人经济压力就通过非法获取的助记词和私钥得知了欧某的钱包地址,随后将其转入到自己的钱包并转换成其他数字财产或加密货币。
经鉴定张某 (乙) 非法获取用户私钥和助记词 6400 条,经检察官的法制教育,张某 (乙) 自愿认罪认罚并向欧某赔偿部分损失获得欧某的谅解。
2024 年 4 月徐汇区人民法院依法以非法获取计算机信息系统数据罪,判处被告人张某 (乙) 有期徒刑三年,并处罚金人民币 5 万元。
A 公司疑似就是加密货币交易所火必:
火必 (HTX) 即原来的火币网,火币网被孙宇晨控制后更名为火必。2023 年火必曾被爆出前员工设置木马,导致原火币钱包 iToken 部分用户助记词或私钥泄露。
HTX 回应称为这事火币被收购前、原员工个人行为设置木马盗取用户的助记词和私钥,HTX 配合上海公安展开调查取证工作。