7月14日,美国联邦执法部门逮捕了21岁的佛罗里达男子Zyaire Wilkins。检方指控他和同伙开发、推广了八款内嵌恶意软件的游戏,借此侵入约8000台设备,访问80个加密钱包,窃取至少22万美元。这些行为据称从2024年5月持续到2026年2月,跨度接近两年。

案件的看点不只是又一起加密货币失窃。攻击者用游戏平台和社群的信任背书,替代了传统钓鱼链接。这套打法比一条孤零零的钓鱼链接更难识破,也更值得使用加密钱包的独立游戏玩家警惕。

八款游戏怎么把独立游戏玩家变成受害者

起诉书列出的游戏包括BlockBlasters、Chemia、Dashverse/DashFPS、Lampy、Lunara、PirateFi、Tokenova等。这些游戏没有走钓鱼邮件或假冒官网那一套,攻击者把恶意程序包装成完整的游戏,再通过Discord、Telegram、X和LinkedIn推广。

下载一款"新出的独立游戏",看起来和玩家日常尝鲜没什么区别。这正是这套手法比传统钓鱼更难防的原因——它借用的是社群讨论和平台商店的信任,而不是一个陌生链接。

下面是检方指控涉及的规模:

涉案规模一览 8款 疑似恶意游戏 8000台 被感染设备 22万+ 美元被盗(至少) 时间跨度:2024年5月至2026年2月 涉及80个加密钱包访问权限

起诉材料本身没有写明这八款游戏被上传到了Steam商店。能佐证的线索有两条:一是FBI去年发起过一次名为"Steam恶意软件调查"的征集受害者活动,游戏名单与本案高度重合;二是本案诉讼地点选在Valve总部所在的华盛顿州法院。截至发稿,Valve没有回应置评请求,这个关联目前只能算推测。

去年被曝光的BlockBlasters是个具体样本,但它的损失数字和本案总额不是一回事:

口径范围金额来源
单一游戏 BlockBlasters一款游戏,受害者含一名为癌症治疗筹款的主播此前媒体报道,超15万美元
本案指控总额八款游戏,2024年5月至2026年2月检方起诉材料,至少22万美元

前者是单个游戏的历史报道数字,后者是八款游戏、多名受害者的合计金额,不能混着算。

案子怎么破的:从聊天记录到一张外卖账单

调查人员先从一名同案嫌疑人的聊天记录里拿到Wilkins的加密钱包地址。顺着地址查到他在礼品卡兑换平台Bitrefill上的账户——这个账户曾用加密货币购买过150多张礼品卡。

其中一笔Uber Eats外卖订单暴露了他的手机号,最终锁定住址。7月14日,Wilkins被捕,被控合谋通过计算机获取信息以谋取私人经济利益。

下面是这条追踪链条:

调查人员如何锁定嫌疑人 同案聊天记录 获取钱包地址 追踪至Bitrefill 礼品卡账户 150+张礼品卡 含Uber Eats订单 反查手机号 锁定真实住址 Wilkins 7月14日被捕,被控合谋通过计算机获取信息以谋取私人经济利益

起诉材料没有详细披露恶意软件具体怎样窃取钱包私钥或转移资产,只公布了感染设备数和访问钱包数。这部分机制目前还看不清,是案件后续审理中值得跟进的技术细节。

钱包玩家和平台审核,现在该做什么

对同时用加密钱包、又爱下载独立游戏尝鲜的玩家来说,这案子给出的判断标准变了。以前看下载来源正不正规,现在挂在正规商店、被博主推荐、群里有人讨论,都不再等于安全。能落地的动作有两个:钱包尽量放在独立设备或独立浏览器环境,别和用来试玩新游戏的电脑共用;安装陌生独立游戏前,查一眼开发者账号注册时间和评论区有没有异常投诉。

对负责游戏平台审核、安全响应或发行的从业者,这案子提醒的是响应速度和账号审核力度。八款游戏、跨度近两年才被追踪到,说明单靠事后下架不够。能做的动作也有两个:对新注册开发者账号的首批上架游戏加人工复核,缩短接到恶意软件举报后的下架响应时间。

接下来值得盯的,是Valve会不会正式回应这八款游戏是否经过Steam商店审核,以及本案是否会牵出更多关联账号或受害者。案件目前处于起诉阶段,量刑与审理进度还没有公开时间表。