
Aiying 艾盈一家专注加密资产合规咨询服务机构,本文为团队原创,转载需授权。
导语:7月15日,FBI逮捕了21岁的佛罗里达州男子Zyaire Wilkins,指控其通过Steam平台植入恶意软件,感染约8000台设备、窃取超过22万美元加密资产。这不是一个普通的加密盗窃案——FBI的破案路径揭示了加密犯罪追踪的一个新范式:比特币→Bitrefill礼品卡→Uber Eats外卖配送地址→物理世界定位。
发生了什么
根据FBI西雅图办公室提交的15页联邦刑事诉状,Wilkins与其同伙在2024年5月至2026年2月期间,通过Steam平台发布了8款植入恶意软件的游戏,包括PirateFi、BlockBlasters、Dashverse和Lunara。这些游戏在Steam上通过审核并上架销售,表面上与正常游戏无异,实际上安装了信息窃取程序(info-stealer),一旦玩家下载运行,恶意软件就会抓取浏览器中存储的私钥、钱包密码和登录凭证。
FBI称,这些游戏共感染了约8000台设备,获得了约80个加密钱包的访问权限,窃取至少22万美元。团伙通过Discord、Telegram、X和LinkedIn等平台推广游戏,并使用机器人筛选持有大额加密资产的用户,定向诱导其下载。
其中BlockBlasters一案尤为恶劣——去年9月,一名游戏主播在直播为癌症治疗筹款时下载了该游戏,被实时盗走了价值约3.2万美元的SOL代币,整个过程在直播画面中被数千名观众目睹。
侦查手法比案情本身更有看点
FBI的追踪路径是:比特币→Bitrefill→Uber Eats礼品卡→外卖配送地址→物理身份定位。
具体来说,FBI追踪了从涉案钱包流出的比特币,发现这些币被用于在Bitrefill(可以用加密资产购买礼品卡的平台)购买了超过150张礼品卡——绝大多数是Uber Eats外卖卡。FBI向Uber发出传票,调取了这些礼品卡关联的账户信息和配送地址,发现外卖被送到了Wilkins位于北劳德代尔堡的住所和他就读的西佛罗里达大学的多个地址。
换句话说,Wilkins不是被链上分析工具直接定位的——他是被自己点的外卖”出卖”的。FBI不需要破解Monero的隐私保护,因为Wilkins在把比特币换成礼品卡的那一刻,就主动跳出了加密资产的匿名层,进入了传统支付体系的KYC-物理地址映射网络。
FBI还在搜查中缴获了三组钱包种子短语,其中一组是门罗币(Monero)钱包的。特工在诉状中将Monero描述为”犯罪分子常用的隐私币,因为其难以追踪”。但讽刺的是,Monero并没有发挥”难以追踪”的保护作用——因为嫌疑人没有通过Monero出金。
Wilkins被指控共谋通过计算机获取信息以谋取私人经济利益,最高可判处10年监禁。他于7月16日在劳德代尔堡联邦法院首次出庭,后续将被移送至华盛顿州西雅图受审。
为什么重要
这个案子值得关注的不是22万美元的金额——在加密犯罪动辄数千万上亿美元的今天,这不算大案。它的价值在于三个层面的信号:
“链上→链下”的物理世界映射正在成为执法标配
过去行业讨论加密犯罪追踪时,焦点往往集中在链上分析工具(Chainalysis、TRM Labs、Elliptic)的技术能力。但这个案子说明,执法机关追踪加密犯罪最有效的节点未必在链上——而是在加密资产与现实世界交汇的出口:交易所的KYC、礼品卡平台的配送地址、外卖订单的GPS坐标。每一次”币→物”的兑换,都是在给执法机关提供不可篡改的物理世界定位信息。
Steam作为恶意软件分发渠道的系统性风险
Steam拥有超过1.3亿月活跃用户,其游戏审核机制本质上是一个”内容审核”系统(检查游戏是否违反平台政策),而不是”安全审核”系统(检查游戏是否包含恶意代码)。PirateFi吸引了约7000名玩家,在Valve将其下架前一直伪装成一款正常的免费生存游戏。Steam Workshop最近还被发现通过壁纸分发恶意软件——平台的”创作者经济”模式与安全审核能力之间存在结构性缺口。
FBI公开调查后的首宗起诉
这是FBI今年3月公开征集Steam恶意软件受害者线索后的首宗起诉。FBI在3月启动的调查标志着联邦执法机关开始将游戏平台视为加密犯罪的基础设施层——不是追究平台的法律责任,而是把平台作为情报收集和受害者识别的入口。这个范式转变对游戏平台、Discord/Telegram等社交渠道,以及任何拥有大规模用户触达能力的数字平台都构成合规压力。
怎么看
- “礼品卡洗钱”的执法盲区正在闭合:Bitrefill等加密→礼品卡平台长期以来是洗钱链条中相对”安全”的一环——没有银行级别的KYC,没有交易限额。但FBI这次展示的执法路径(传票→Uber→配送地址)证明,礼品卡的物理交付环节才是反洗钱的真正”卡口”。只要礼品对应一个物理配送地址,加密资产的匿名性就在那一步归零。
- 隐私币不是免死金牌:Wilkins持有Monero种子短语,但FBI不需要追踪Monero交易——比特币→Bitrefill这条链上的痕迹已经足够定位。在执法实务中,隐私币的技术保护力往往被嫌疑人自己的操作习惯所抵消:一次错误的”出金”路径选择就足以暴露全部身份信息。
- 平台责任的灰色地带:Steam并没有被指控任何违法行为——恶意软件是第三方开发者植入的。但8000台设备感染、持续近两年的恶意活动,暴露了平台在应用安全审核方面的能力缺口。如果未来出现更大规模的类似事件,Steam可能面临FTC消费者保护调查或州级总检察长的执法行动。
- 对加密行业的合规启示:这个案子提醒所有加密服务提供商——用户如果通过你的平台把加密资产兑换为现实世界的商品或服务,那条“币→物”的链条就是执法机关最清晰的追踪路径。礼品卡平台、加密支付网关、甚至接受加密支付的电商,都需要重新评估自己在反洗钱合规中的位置。Bitrefill在这起案件中被FBI用作追踪工具而非调查对象,但下一次可能就没这么幸运了。
一句话总结
FBI破获Steam恶意软件加密盗窃案的侦查手法揭示了一个被行业忽视的真相:加密资产追踪最致命的节点不是链上,而是”币变物”的物理世界映射点——21岁的嫌犯没有被Chainalysis抓到,他是被自己用比特币买的150张Uber Eats外卖卡送进去的。
本文基于Decrypt(2026年7月15日)一手报道及WPLG Local 10联邦刑事诉状引用撰写。
