英国

前英国短跑冠军涉加密诈骗被捕——种子短语社会工程学攻击的”人的漏洞”

Posted on by Aiying快讯
09
5 月

Aiying 艾盈一家专注加密资产合规咨询服务机构,本文为团队原创,转载需授权。

英国警方上周逮捕了一名不太寻常的嫌疑人——前英国短跑世界冠军、东京奥运会银牌得主Chijindu Ujah,指控其参与一个有组织加密货币诈骗团伙。这个团伙的手法不涉及任何技术漏洞利用,纯粹靠”冒充身份+社会工程学”拿下受害者的钱包种子短语,其中一人损失约41万美元。Ujah目前获保释,5月28日出庭。这件事值得拆开来看的东西不少——从一个奥运选手怎么跟加密诈骗扯上关系,到种子短语这个”人的漏洞”为什么比代码漏洞更难堵。

发生了什么?——冒充警察+加密公司员工,精准获取种子短语

犯罪手法:不是技术攻击,是”社会工程学+身份冒充”的复合犯罪

根据英国警方披露(路透社,2026-05-08),这个有组织犯罪团伙的作案手法并不复杂:团伙成员冒充警察加密货币公司员工,以调查或账户安全为由联系受害者,诱骗其泄露钱包的种子短语(seed phrase)。一旦拿到那12或24个单词,钱包里的加密资产在几秒钟内被清空——整个过程链上即时完成,不可逆。

这不是什么零日漏洞或闪电贷攻击。这就是社会工程学——攻击者在技术层面没碰任何东西,只是利用了人类信任机制的弱点。一个自称”警察”的人打电话说你钱包涉及洗钱调查,需要配合提供种子短语验证——听起来荒谬,但在恐慌和权威压力下,受害者确实会上当。加密行业过去几年反复强调”Not your keys, not your coins”,但这个案子的教训是:即使你有自己的私钥,只要你能被说服交出来,安全模型就归零

Ujah的角色:从奥运奖牌到诈骗嫌疑人

Chijindu Ujah的身份让这个案子多了不少戏剧性。他曾是英国短跑接力队成员,2021年东京奥运会男子4×100米接力中获得银牌——但这枚奖牌后来因兴奋剂违规被剥夺。从体育明星到加密诈骗嫌疑人,这个身份转变折射出一个值得关注的现象:名人涉加密犯罪的声誉传染效应

加密行业的名人背书问题由来已久——从2022年的FTX代言人集体诉讼到各种名人NFT跑路事件,名人参与加密项目已经形成了一种固定的风险模式。但Ujah这个案子不同:他不是代言人,而是被指控为犯罪团伙的参与者。如果指控成立,这意味着加密诈骗的参与者画像正在从”匿名黑客”扩展到”任何可能的经济参与者”——包括曾经站在奥运领奖台上的人。

为什么重要?——英国加密刑事执法的效率与种子短语的”人”的漏洞

英国执法时间线:保释+5月28日开庭——一个”快节奏”的信号

从执法角度看,这个案子的节奏值得注意。Ujah被捕后获保释,5月28日即开庭——从逮捕到庭审不到一个月。在英国刑事司法体系中,这种速度说明检方对证据链有一定把握,不太可能是”先抓人再找证据”的试探性逮捕。

英国近年来在加密犯罪执法方面动作不少。2023年通过的《经济犯罪与企业透明度法》(Economic Crime and Corporate Transparency Act 2023)赋予了执法机构更广泛的加密资产扣押权限,NCA(国家犯罪调查局)也建立了专门的加密犯罪调查单元。这次案件中,虽然公开信息没有明确执法主体是NCA还是地方警力,但警方主动披露作案手法细节——尤其是种子短语社会工程学这个具体手法——可以看出一种”以案说法”的执法传播策略:通过公开案件细节来警示潜在受害者

种子短语的困境:最薄弱的安全环节不是代码,是人

如果把Ujah案和同日曝出的新加坡海军军官USDT盗窃案放在一起看,会发现一个令人不安的共性。新加坡那个案子中,嫌疑人利用物理入侵和熟人关系获取受害者资产——同样是利用”人”的漏洞,而非”代码”的漏洞。两个案件从不同路径指向同一个结论:加密资产安全模型中,最薄弱的环节永远是人与人的信任关系,无论攻击者是冒充权威机构还是利用私人关系

种子短语的设计哲学本身就是一个悖论。它被设计成”任何人都无法破解”——12个随机单词的组合空间大到宇宙热寂都无法穷举——但它的安全性完全依赖于”只有你自己知道”这个前提。一旦这个前提被社会工程学攻击打破——无论是被骗、被胁迫还是被熟人利用——所有的密码学保护瞬间失效。这个问题不是加密技术能解决的,因为种子短语本质上是一个”人的密钥”,而人从来不是完美的安全存储介质

受害者救济:链上即时转移 vs. 法律救济的时滞

涉案受害者损失约41万美元。这个数字本身不算加密诈骗中的天价——相比于动辄上亿美元的DeFi协议攻击甚至显得”小额”。但问题的核心不在于金额:当攻击是通过社会工程学获取种子短语来实施时,链上资产的转移是即时且不可逆的

现行法律体系对此类犯罪的救济工具极度有限:

  • 追踪难题:被盗资产进入混币器、跨链桥或隐私协议后,追踪成本呈指数级上升。
  • 冻结困境:与银行账户不同,钱包地址的资产无法被”冻结”——除非资产进入中心化交易所,而成熟的有组织犯罪团伙通常不会犯这个错误。
  • 跨境执法:即使定位到资产流向,涉及多个司法管辖区的资产追回在实务中漫长且成功率低。
  • 民事救济:受害者理论上可以提起民事诉讼,但加密资产的匿名性和跨境性质使得”找到被告的财产”本身就是一个几乎无解的前置问题。

在这个意义上,Ujah案即便最终定罪,受害者的41万美元能否追回也是一个巨大的问号。加密犯罪的“即时完成+不可逆”特征与法律救济的“缓慢启动+逐层审批”机制之间,存在着根本性的时间差——这个时间差,才是加密受害者保护中最难填平的鸿沟。

怎么看

  • 身份冒充+社会工程学的低技术门槛:这类攻击不需要任何编程能力,只需要一个可信的身份假面和足够的心理操控技巧。它的可复制性强,成本低,成功率还不低——这决定了它不太可能消失,反而会随着加密用户基数的扩大而增加。
  • 体育明星涉案的声誉传染:Ujah从奥运领奖台到被告席的路径,可能不是孤例。当一个前精英运动员在经济压力下被吸纳进有组织犯罪团伙,加密领域的高流动性和低追溯性会使其成为有吸引力的”赛道”。
  • 英国执法效率的双面信号:快速逮捕+快速开庭说明执法系统在加密犯罪上积累了经验,但保释本身也说明这类白领犯罪的羁押必要性审查标准与传统暴力犯罪不同——对受害者的”即时伤害”在司法评估中可能被低估。
  • 种子短语安全教育的局限性:行业把”永远不要分享种子短语”当作第一条安全准则,但社会工程学的本质就是让人在特定情境下忽略这一准则。教育只能解决”知道”,无法完全解决”做到”——尤其是在恐慌、权威压力或情感操控下。
  • 法律救济的结构性时滞:链上交易即结算、法律程序即拖延——这两个时间维度根本不在同一个尺度上。在加密资产保护领域,预防远胜于追回,但现行法律框架下,追回工具本身也严重不足。

一句话总结

Ujah案最值得关注的不是”一个奥运选手堕落了”,而是它和新加坡海军军官案一起揭示的深层问题:加密资产安全的最终弱点不是智能合约的代码行,不是共识机制的数学证明,而是那个持有种子短语的、可以被冒充、被欺骗、被操控的人——这个问题,技术和法律都还找不到完整的答案。

本文基于公开信息独立撰写,不构成法律建议。原文来源:吴说区块链,2026-05-09(引用路透社报道)。

Aiying快讯