新民晚報(bào)訊（記者孫云）價(jià)值數(shù)百萬(wàn)元人民幣的虛擬幣不翼而飛，這是怎么回事？市民歐先生報(bào)警后，徐匯警方在該虛擬幣的開(kāi)發(fā)公司抓獲了三名內(nèi)鬼，他們已經(jīng)鉚牢歐先生的虛擬幣財(cái)產(chǎn)長(zhǎng)達(dá)三個(gè)月時(shí)間，非法獲取助記詞27000余條、私鑰10000余條，成功轉(zhuǎn)換數(shù)字錢(qián)包地址19000余個(gè)。然而，“螳螂捕蟬黃雀在后”，真正下手的還不是他們仨，而是同公司的第四個(gè)內(nèi)鬼！數(shù)字貨幣真的安全嗎？這樣的案例無(wú)疑為大家敲響了警鐘。

圖說(shuō)：劉某、張某甲、董某編寫(xiě)的后門(mén)程序。徐匯檢察院供圖（下同）

2023年5月，歐先生打開(kāi)A公司開(kāi)發(fā)的虛擬幣錢(qián)包軟件，想查看一下自己的虛擬幣是否增值時(shí)，發(fā)現(xiàn)賬戶(hù)中價(jià)值數(shù)百萬(wàn)元人民幣的虛擬幣在一個(gè)月前被人一轉(zhuǎn)而空。通過(guò)對(duì)程序進(jìn)行分析，歐先生注意到虛擬幣錢(qián)包軟件中存在會(huì)自動(dòng)獲取虛擬幣錢(qián)包地址、私鑰的后門(mén)程序，并據(jù)此追蹤到可疑的用戶(hù)信息。同年8月，他前往徐匯公安分局報(bào)案。幾天后，同為A公司員工的張某甲、董某、劉某等三名犯罪嫌疑人陸續(xù)到案。

三人到案后交代，2023年3月初，他們商議在該虛擬幣錢(qián)包軟件中加入后門(mén)程序以獲取用戶(hù)私鑰。三人分工合作，由劉某負(fù)責(zé)編寫(xiě)后門(mén)程序，董某負(fù)責(zé)購(gòu)買(mǎi)服務(wù)器和域名并對(duì)獲取的私鑰加密，張某甲負(fù)責(zé)搭建服務(wù)器和數(shù)據(jù)庫(kù)。當(dāng)用戶(hù)安裝該虛擬錢(qián)包軟件，后門(mén)程序就會(huì)在5天后自動(dòng)運(yùn)作，將私鑰、助記詞等信息上傳至他們搭建的數(shù)據(jù)庫(kù)內(nèi)。

為逃避偵查，2023年5月底，三人在保存好竊得的私鑰及解析出的對(duì)應(yīng)數(shù)字錢(qián)包地址后，就把服務(wù)器和數(shù)據(jù)庫(kù)銷(xiāo)毀了，并約定兩年后再使用這些私鑰來(lái)非法獲取用戶(hù)的虛擬幣，不料三個(gè)月后就被公安機(jī)關(guān)抓獲歸案。經(jīng)鑒定，三人共計(jì)非法獲取助記詞27000余條、私鑰10000余條，成功轉(zhuǎn)換數(shù)字錢(qián)包地址19000余個(gè)。然而，三人“叫冤”說(shuō)，他們并未打破“約定”，提前非法獲取虛擬幣。

展開(kāi)全文

圖說(shuō)：張某乙用于竊取私鑰和助記詞的郵箱。

在充分對(duì)現(xiàn)有的證據(jù)進(jìn)行研判后，承辦檢察官認(rèn)定，劉某、張某甲、董某并未轉(zhuǎn)走歐某的虛擬幣，但三人的行為已構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪。今年4月，經(jīng)徐匯區(qū)檢察院提起公訴，徐匯區(qū)法院以非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪，分別判處被告人劉某、張某甲、董某有期徒刑三年，并處罰金三萬(wàn)元。

劉某、張某甲、董某為自己的犯罪行為受到了法律的制裁，那么，究竟是誰(shuí)動(dòng)了歐某的虛擬幣呢？承辦檢察官在訊問(wèn)過(guò)程中，從三人的供詞中發(fā)現(xiàn)了端倪，引導(dǎo)公安機(jī)關(guān)依法收集證據(jù)，進(jìn)一步分析研判案情，最終鎖定了幕后真兇。

原來(lái)，在歐先生使用的另一個(gè)平臺(tái)的虛擬錢(qián)包軟件中，也被曾就職于A公司的張某乙植入了后門(mén)程序。張某乙到案后交代，2021年7月，他利用自己的專(zhuān)業(yè)知識(shí)以及對(duì)虛擬幣的了解，在客戶(hù)端代碼中編寫(xiě)了一段收集用戶(hù)私鑰和助記詞的代碼。當(dāng)用戶(hù)交易虛擬幣時(shí)，代碼就會(huì)自動(dòng)獲取用戶(hù)進(jìn)行簽名操作所使用的助記詞或私鑰，并通過(guò)郵件形式發(fā)送到張某乙的郵箱。

2023年4月，張某乙通過(guò)自己非法獲取的助記詞和私鑰得知了歐先生的虛擬錢(qián)包地址，將其中的虛擬幣盡數(shù)轉(zhuǎn)到自己的錢(qián)包地址中，并立刻轉(zhuǎn)換成其他數(shù)字財(cái)產(chǎn)或虛擬幣。經(jīng)鑒定，張某乙共計(jì)非法獲取用戶(hù)私鑰及助記詞6400余條。經(jīng)過(guò)檢察官的法治教育，張某乙自愿認(rèn)罪認(rèn)罰，并在家人的幫助下，向歐先生賠償部分損失，獲得了諒解。近日，徐匯區(qū)法院依法以非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪，判處被告人張某乙有期徒刑三年，并處罰金五萬(wàn)元。