Europol冻结4700万美元加密资产：信息窃取器如何成为加密钱包的最大威胁

Aiying 艾盈一家专注加密资产合规咨询服务机构，本文为团队原创，转载需授权。

Europol周三宣布，在全球联合执法行动”Operation Endgame”最新阶段中，执法机构识别并冻结了超过4100万欧元（约4700万美元）的犯罪加密资产。这次为期两周的多国联合行动摧毁了三大恶意软件家族SocGholish、Amadey和StealC背后的基础设施，查封326台服务器和142个域名（Europol，2026年6月24日）。

三大恶意软件家族做了什么

StealC：专门针对MetaMask助记词的”信息窃取即服务”

StealC自2023年起作为一种”信息窃取即服务”（Infostealer-as-a-Service）在地下市场销售。它的控制面板内置了一个插件，专门尝试解密受害者设备上的MetaMask钱包助记词。Proofpoint的研究人员发现，这款恶意软件能从被感染设备上抓取密码、浏览器cookie和加密钱包数据，然后将这些数据出售给更高阶的犯罪团伙，后者再利用这些信息实施账户接管和勒索软件攻击（Decrypt，2026年6月24日）。

Amadey + SocGholish：从假浏览器更新到勒索软件的完整攻击链

Amadey作为初始入侵工具，在被感染设备上建立据点后放置更多恶意软件。SocGholish则与俄罗斯黑客组织Evil Corp有关联，通过在已入侵网站上弹出假浏览器更新提示来感染用户。三者组合起来，构成了从非法侵入到钱包清空、再到账户接管和勒索软件的完整攻击链条。

这次行动的三个特殊之处

微软首次用RICO法案起诉恶意软件网络

最值得关注的法律创新来自微软。微软数字犯罪部门在美国提起了RICO（反勒索与受贿组织法）诉讼，首次将两个恶意软件家族（Amadey和StealC）作为一个单一犯罪共谋来对待。调查人员使用Copilot等AI工具分析恶意软件代码后发现，虽然Amadey和StealC由不同的犯罪分子构建，但它们运行在共享的基础设施上，这让微软可以跨越两个操作体系起诉其背后所有参与者（Microsoft On the Issues，2026年6月24日）。

385,000台设备、2700万条凭证的规模

这次行动恢复了来自超过385,000台被感染系统的近2700万条被盗凭证，清理了近15,000个被感染的网站。微软的数据更具体：仅5月前两周，Amadey和StealC就在全球感染了超过14万台计算机。去年年底的Operation Endgame早期行动已经发现了超过10万个加密钱包的登录数据——这些钱包的数据已被窃取但尚未被清空。

受害者可通过Have I Been Pwned自查

Europol和合作伙伴正在通过Have I Been Pwned等服务向受害者发送警报，用户现在就可以去检查自己的凭证和钱包密钥是否已经落入犯罪分子手中。

怎么看

• 信息窃取器已成为加密资产安全的第一大威胁：与针对协议的智能合约漏洞攻击不同，信息窃取器攻击的是最终用户——不需要技术漏洞，只需要一次点击。这意味着合规项目方的用户安全教育必须和智能合约审计放在同等重要的位置。
• RICO在加密犯罪中的应用打开了新维度：微软将恶意软件作为”犯罪企业”来起诉的做法，为加密领域的集体诉讼提供了新的法律框架。如果DeFi协议被利用，受损用户是否也能以”犯罪共谋”的名义追溯整个攻击网络？
• 10万个”未被清空”的钱包意味着什么：这些钱包的私钥已经被盗但资产尚未被转移。这不是罪犯发了善心，而是他们在等待时机——等到目标钱包的余额足够大、或等到市场条件有利时再出手。加密用户永远不知道自己是否已经在攻击者的”库存清单”上。
• 执法从”抓人”转向”冻资产”的范式转移：4700万美元被冻结的消息本身就值得深思——在区块链上，冻结比逮捕更直接地剥夺了犯罪分子的经济收益。这也是为什么链上资产追踪能力正在成为全球执法的核心能力。

一句话总结

Operation Endgame不只说明了信息窃取器是加密钱包最大威胁，更揭示了执法策略的根本转变——从追人转向冻钱，以及用RICO法案把零散的恶意软件网络当作一个犯罪企业来打。

本文基于Europol官方公告（2026年6月24日）、Decrypt报道（2026年6月24日）及Microsoft On the Issues（2026年6月24日）撰写。