吳說作者 | Colin Wu

事情要從 2022 年 5 月說起，當時 Huobi 錢包宣佈更名爲 iToken，獲得了 Huobi 集團 2 億美元投資，自稱將致力於成爲去中心化的投資平臺，幫助用戶訪問 DeFi 和 dAPP。iToken 將把火幣集團 2 億美元投資中的一半用於風險準備金，用於其新推出的財富管理功能，另一半用於日常運營。

2022 年 10 月，孫宇晨十多億美金高價收購火幣。今天看來，這是一筆溢價的交易。但他沒想到的是，李林留給他的火幣，竟然還有更多麻煩。

2023 年 9 月，吳說獨家獲悉，由於前員工設置木馬，iToken（原火幣錢包）部分用戶助記詞或私鑰已泄露。據用戶反饋，本週 iToken 系統提示用戶部分錢包地址存在安全風險，由安全機構提交由 Refundyourcoins 實施了資產保護，將部分用戶地址中的資金轉移到安全地址。refundyourcoins 將上線找回功能，以方便取回資產，涉及 BTC ETH TRX XRP 四條鏈。已由 Huobi 改名的 HTX 迴應吳說稱與 HTX 無關，爲收購前、原火幣員工個人行爲設置木馬，盜取他人助記詞與私鑰，目前已遭到調查。HTX 將積極配合，打擊犯罪。

隨後仍不斷有用戶反饋其 iToken 錢包被盜。

直到 2024 年 7 月，上海市徐彙區政法委公衆號平安徐匯才披露了這期離奇的案件詳情：

2023 年 5 月，市民歐某在咖啡店裏打開 A 公司開發的虛擬幣錢包軟件（此處 A 公司應爲火幣，錢包爲 iToken），想查看一下自己的虛擬幣（時值數百萬人民幣）是否增值時，發現賬戶中的虛擬幣全都不見了。歐某自行排查後發現，竟是一個月前有人將自己的虛擬幣一轉而空。

通過對程序進行分析，歐某注意到虛擬幣錢包軟件中存在會自動獲取虛擬幣錢包地址、私鑰的後門程序，並據此追蹤到可疑的用戶信息。2023年8月，歐某帶着自己蒐集到的證據前往徐匯公安分局報案。幾天後，犯罪嫌疑人，同爲 A 公司員工的張某、董某、劉某陸續到案。

三人到案後交代，2023 年 3 月初，三人經商議，決定在某虛擬幣錢包軟件中加入後門程序以獲取用戶私鑰。三人分工合作，由劉某負責編寫後門程序，董某負責購買服務器和域名並對獲取的私鑰加密，張某甲負責搭建服務器和數據庫。當用戶首次安裝帶有後門程序的軟件，後門程序就會在 5 天后自動運作，將私鑰、助記詞等信息上傳至域名下的數據庫內。運行一定時間後，後門程序就會自行停止竊取相關信息。

爲逃避偵查，2023 年 5 月底，三人在保存好竊得的私鑰及解析出的對應數字錢包地址後，就把服務器和數據庫銷燬了，並約定兩年後方可使用這些私鑰來非法獲取用戶的虛擬幣，結果三個月後就被公安機關抓獲歸案。但對於歐某的損失，三人均供述稱並未打破“約定”，提前非法獲取虛擬幣。經鑑定，三人共計非法獲取助記詞 27000 餘條、私鑰 10000 餘條，成功轉換數字錢包地址 19000 餘個。

2024年4月，經徐彙區人民檢察院依法提起公訴，徐彙區人民法院依法以非法獲取計算機信息系統數據罪，分別判處被告人劉某、張某甲、董某有期徒刑三年，並處罰金人民幣三萬元。

承辦檢察官認定，劉某、張某甲、董某並未轉走歐某的虛擬幣，那麼真兇是誰？

原來，在歐某使用的另一個平臺上的虛擬錢包軟件中，也被曾就職於火幣公司的張某乙植入了後門程序。張某乙到案後交代，2021 年 7 月，他利用自己的專業知識以及對虛擬幣的瞭解，在客戶端代碼中編寫了一段收集用戶私鑰和助記詞的代碼。當用戶交易虛擬幣時，代碼就會自動獲取用戶進行簽名操作所使用的助記詞或私鑰，並通過郵件形式發送到張某乙的郵箱。

2023 年 4 月，張某乙因個人經濟壓力，就通過自己非法獲取的助記詞和私鑰得知了歐某的虛擬錢包地址，將其中的虛擬幣盡數轉到自己的錢包地址中，並立刻轉換成其他數字財產或虛擬幣。經鑑定，張某乙共計非法獲取用戶私鑰及助記詞 6400 餘條。2024 年 4 月，經徐彙區人民檢察院依法提起公訴，徐彙區人民法院依法以非法獲取計算機信息系統數據罪，判處被告人張某乙有期徒刑三年，並處罰金人民幣五萬元。

孫宇晨表示，我司配合上海徐匯警方成功偵辦一起非法獲取計算機信息系統數據犯罪，法院最終判處被告人有期徒刑並處罰金。該起案件偵辦伊始，我司積極配合有關部門開展各項調查取證工作，清晰的鏈上數據讓犯罪分子無處遁形，協助警方迅速偵破此案。

HTX 表示，涉案人員均爲火幣被收購前的老員工。2023 年，HTX 進行了大規模全面審計，並發現相關問題。 火幣 HTX 已迅速採取必要措施保障用戶資產安全，並全力配合相關部門調查，最終將涉案人員繩之以法。未來，火幣 HTX 將持續加強內部管理，完善風險控制機制，不斷提升安全措施。

不過孫宇晨迴應中說，“由於我們及時發現並且打擊犯罪，用戶資產得到了完整保護，並沒有出現任何用戶資產的損失”，引發了一些用戶的質疑。在 iToken 被盜用戶羣中，仍然十餘名用戶表示其被盜資產沒有收到任何迴應。上述四名黑客盜取的數萬條助記詞與私鑰是否泄露，目前也沒有更多的信息。

平安徐匯全文：

https://mp.weixin.qq.com/s/mPvlKzE-3cXNnmP2dmMlSw

孫宇晨迴應：

https://x.com/justinsuntron/status/1816878454014640433