美 DOJ 起訴田納西 3 男跨州扳手攻擊：搶劫加州加密持有者 650 萬美元

美國司法部 5 月 12 日對 3 名田納西州男子提出聯邦級起訴：Elijah Armstrong、Nino Chindavanh、Jayden Rucker 三人 2025 年 11 月至 12 月跨州到加州、偽裝快遞員入侵加密貨幣持有者住所、以槍械、束帶、膠帶限制行動後逼迫被害人轉移加密資產、單筆最大金額達 650 萬美元。根據 Decrypt 報導，這是美國首批針對「扳手攻擊」（wrench attack）的聯邦級起訴之一。

事件本身：跨州犯罪、偽裝快遞、舊金山與洛杉磯為主要目標

起訴書揭露的犯案細節：

• 嫌犯：Elijah Armstrong、Nino Chindavanh、Jayden Rucker、3 人均來自田納西州
• 犯案地點：舊金山、聖荷西、Sunnyvale、洛杉磯
• 犯案時間：2025 年 11 月 22 日至 12 月 31 日
• 手法：偽裝快遞員或外送人員、騙取受害者開門後、以槍械、膠帶、束帶限制行動、強迫提供加密交易所帳號或助記詞
• 已知案件：11 月舊金山一案、受害人遭膠帶綁縛並被槍托擊打、被迫轉移 1,000 萬美元 BTC 與 300 萬美元 ETH；另一案件單筆損失 650 萬美元
• 逮捕：Armstrong 與 Rucker 2025 年 12 月 31 日在洛杉磯被捕、Chindavanh 12 月 22 日在 Sunnyvale 被捕

3 名嫌犯被以多項聯邦罪名起訴、包括 Hobbs Act 搶劫罪、共謀綁架罪、未遂搶劫、未遂綁架。最重可面臨 20 年徒刑至無期徒刑、外加每項罪名最高 25 萬美元罰款。聯邦執法機構把這起案件形容為「明目張膽、暴力、危險」（brazen, violent, and dangerous）。

廣告 - 內文未完請往下捲動

趨勢：2025 年扳手攻擊全球 72 起、年增 75%

「扳手攻擊」（wrench attack）一詞源自 xkcd 漫畫對加密安全的諷刺—不論你用多複雜的加密保護資產、攻擊者只要拿扳手敲你頭、就能取得密碼。隨著加密資產規模擴大、現實中的扳手攻擊案件 2024-2025 年顯著增加。

CertiK 統計、2025 年全球已核實的扳手攻擊有 72 起、較 2024 年成長 75%。除美國外、法國今年也對加密相關的入室搶劫與綁架案提出 88 項刑事指控。常見受害者特徵：

• 在社群媒體公開展示加密資產（X、Instagram、YouTube）
• 住所地點透過 ENS 域名、推文背景圖等被反查
• 使用自託管錢包但缺乏多重簽名或硬體錢包的「分層」設計
• 所在地公開：科技重鎮（舊金山、洛杉磯、邁阿密、巴黎、迪拜）為主要目標城市

自我保護的實務建議

鏈新聞觀察：本案的犯案時間範圍（2025 年 11 月-12 月）正值 BTC 上次衝至 12.8 萬美元歷史新高的階段、加密持有者帳面財富達歷史峰值、攻擊者鎖定目標的動機也達高峰。雖然 BTC 4 月以來已回落、但持有者公開資產的網路足跡未消、攻擊風險不會跟著價格立即下降。

幾個低成本可立即執行的防護動作：

• 社群媒體不公開錢包餘額、不貼資產截圖、不對特定金額表態
• 使用 ENS 域名時避開含家鄉、地址、職業等可識別資訊
• 大額自託管採多重簽名（multisig）、把單一錢包私鑰分散在多個地理位置
• 家中設有專供小額交易的「給強盜用」錢包（duress wallet）、真正大額存放在不可現場存取的位置
• 家中加強物理安全（鏡頭、警報、堅固門鎖）、教育家人接快遞時的識別程序
• 定期變更交易所登入密碼、開啟硬體 2FA

後續可追蹤的事件包括：本案在聯邦法院的起訴進度、Armstrong 等 3 人是否認罪、是否揭露幕後是否有其他組織者、以及美國 FBI 與其他州執法機構是否擴大調查其他類似 ring。對加密產業而言、這類案件的起訴與判決會逐步形塑「公開展示加密財富」的社會行為規範。

扳手攻擊美國資訊安全

衍伸閱讀

• Google 揭首例 AI 製造零日漏洞：駭客欲繞過 2FA 大規模利用
• Arbitrum DAO 投票釋 7,100 萬美元 ETH 給 DeFi United：Kelp 救援最大筆