1 月 26 日,链上调查人员披露,一名名为 John Daghita(别名 Lick)的黑客,涉嫌从美国政府用于存放执法查封资产的链上地址中,窃取超过 4000 万美元的加密资产。其中,最大一笔单独交易发生在 2024 年 3 月,金额约 2490 万美元,涉及美国政府此前从一起重大黑客事件中查获的资产。
公开分析显示,这些资金并非通过技术性攻击直接获取,而是更可能与访问权限被滥用有关。
IT 承包关系引发权限管理疑问
调查指出,John Daghita 的父亲拥有一家名为 CMDSS 的公司,该公司在弗吉尼亚州持有有效的政府 IT 合同,业务内容包括协助美国法警署管理和处置执法过程中获得的加密资产。基于链上行为和时间线分析,有观点推测,John 可能通过这一关系获得了接触相关系统或私钥的机会。
链上数据显示,除美国政府资产外,John 关联地址还与累计超过 9000 万美元的被盗资金产生关联,受害方包括其他非政府实体。
身份暴露源于社交行为失误
值得注意的是,此次事件的曝光并非源于执法披露,而是当事人的社交行为。John 近期在一个私下群聊中与另一名黑客进行“炫富”比拼,并主动展示其 Exodus 钱包及资金转移过程。相关视频随后流出,其展示的钱包地址被确认与 2024 年 3 月涉及政府查封资产被盗的地址存在明确链上关联。
在相关信息被公开后,CMDSS 公司的社交账号、官方网站及 LinkedIn 页面均已停止访问。
对执法资产管理的现实警示
该事件凸显了数字资产进入执法与司法体系后,所面临的全新风险结构。相比传统金融资产,加密资产的管理高度依赖私钥与访问权限,一旦内部控制或人员隔离不足,即便资产来源合法、处于查封状态,仍可能被迅速转移。
从安全角度看,这类风险已不再局限于外部黑客攻击,而更多转向“内部权限 + 链上匿名性”叠加带来的治理挑战。
链上可追溯性与合规能力的重要性
尽管如此,链上资产的公开可追溯特性,仍为事件调查提供了关键基础。通过对地址关联、资金路径和异常行为的系统分析,调查人员得以逐步还原资金流向并建立关联证据。
在实际应用中,围绕这类场景的链上风险识别与持续监测,正成为执法与机构资产管理的重要补充能力。类似 Trustformer KYT 的分析体系,更多被用于辅助识别异常交易与高风险关联,为资产托管与合规决策提供链上视角支持。
随着加密资产在公共治理体系中的参与度不断提升,如何在技术便利与权限安全之间建立更稳健的制度边界,仍将是监管与执法机构需要长期面对的课题。