全國首例！三名程序員在虛擬幣錢包中植入“後門”，竊取上萬條用户密碼

今天（29日）上午，上海市徐彙區人民檢察院發佈了該院辦理的全國首例非法獲取數字錢包私鑰案。

2023年3月，劉某、張某、董某三人經共謀，在一款用於存放虛擬幣的去中心化錢包App中植入“後門”，非法獲取他人數字錢包私鑰、助記詞等數據，並上傳到指定域名對應的事先搭建好的VPS後端服務器的數據庫，後下載至本地服務器。

其中，劉某負責編寫請求上傳用户私鑰、助記詞、IP地址等信息的後門程序代碼和連接VPS服務器的接口；張某負責搭建VPS服務器和數據庫用於管理和存儲上傳的用户私鑰和助記詞等信息、搭建API接口將域名與VPS服務器的IP綁定和從數據庫中下載已非法獲取的用户私鑰和助記詞；董某負責向域名服務商購買域名和RSA加密邏輯。

經鑑定並去重後，劉某等三人共計非法獲取助記詞27622條、私鑰10203條，上述助記詞、私鑰成功解析為數字錢包地址19487個。今年4月，劉某等三人均因犯非法獲取計算機信息系統數據罪被判處有期徒刑3年，並處罰金3萬元。

徐匯檢察院介紹，2022年以來，該院共辦理涉虛擬貨幣刑事案件23件45人，案件受理數量連續三年呈上升趨勢。相較於傳統犯罪，虛擬貨幣犯罪領域更加專業化，犯罪分子往往具有較強的數字金融知識和數字化實操能力，比如藉助混幣器、跨鏈橋、匿名幣等工具或在多個虛擬幣交易平台進行交易，大大增加了追蹤和取證難度。從金額上看，犯罪分子平均違法所得在100萬元以上，部分案件犯罪分子違法所得在500萬元以上。

針對辦案中反映的共性問題和趨勢特點，徐匯檢察院和區公安分局會簽了《涉刑事訴訟虛擬幣處置規範指引》，對辦理虛擬貨幣案件中涉及的查詢固證、扣押保管、移送處置等全過程、各環節作了更為細緻、明確的規定，為依法處置涉案虛擬貨幣提供了具體指南。

（作者 王閒樂）