【安全圈】全国首例！三名程序员在虚拟币钱包中植入“后门”，窃取上万条用户密码

29日 上午，上海市徐汇区人民检察院发布了该院办理的全国首例非法获取数字钱包私钥案。

2023年3月，刘某、张某、董某三人经共谋，在一款用于存放虚拟币的去中心化钱包App中植入“后门”，非法获取他人数字钱包私钥、助记词等数据，并上传到指定域名对应的事先搭建好的VPS后端服务器的数据库，后下载至本地服务器。

其中，刘某负责编写请求上传用户私钥、助记词、IP地址等信息的后门程序代码和连接VPS服务器的接口；张某负责搭建VPS服务器和数据库用于管理和存储上传的用户私钥和助记词等信息、搭建API接口将域名与VPS服务器的IP绑定和从数据库中下载已非法获取的用户私钥和助记词；董某负责向域名服务商购买域名和RSA加密逻辑。

经鉴定并去重后，刘某等三人共计非法获取助记词27622条、私钥10203条，上述助记词、私钥成功解析为数字钱包地址19487个。今年4月，刘某等三人均因犯非法获取计算机信息系统数据罪被判处有期徒刑3年，并处罚金3万元。

徐汇检察院介绍，2022年以来，该院共办理涉虚拟货币刑事案件23件45人，案件受理数量连续三年呈上升趋势。相较于传统犯罪，虚拟货币犯罪领域更加专业化，犯罪分子往往具有较强的数字金融知识和数字化实操能力，比如借助混币器、跨链桥、匿名币等工具或在多个虚拟币交易平台进行交易，大大增加了追踪和取证难度。从金额上看，犯罪分子平均违法所得在100万元以上，部分案件犯罪分子违法所得在500万元以上。

阅读推荐