跳到主要内容

Operation Atlantic: How Coinbase, the Secret Service, and the NCA Froze $12M in Stolen Crypto in One Week

· 阅读需 10 分钟
Dora Noda
Dora Noda
Software Engineer

在2026年1月,仅仅一个月内,钓鱼攻击就从加密用户的钱包中盗取了超过3.11亿美元。当大多数受害者意识到他们的钱包已被破坏时,资金已经通过混合器和跨链桥接开始转移。多年来,执法部门一直在被动应对——在犯罪发生数月后才进行调查,最后恢复的金额少之又少。

然后,Operation Atlantic(大西洋行动)出现了。

Operation Atlantic于2026年3月16日从英国国家犯罪局(NCA)的伦敦总部正式启动,汇聚了美国特勤局、加拿大执法部门、区块链分析公司Chainalysis和TRM Labs,以及加密交易所Coinbase和Kraken,进行了一场前所未有的为期一周的集中行动。成果是:冻结1200万美元、追踪4500万美元的欺诈、确认遍布30个国家的20000个受害者钱包地址,以及在7天内破坏了超过120个诈骗域名。

这不是典型的调查。这是一个概念验证,证明了公私合作可以将加密安全从被动取证转变为实时干预。

什么是Approval Phishing(授权钓鱼)—— 为什么它特别危险?

与窃取登录凭证的传统钓鱼不同,授权钓鱼利用的是内置在智能合约中的权限架构。受害者被看似合法的投资机会、NFT铸造或DeFi收益平台所吸引。他们签署的交易看起来很常规,但实际上是在授予攻击者对其钱包代币的无限支出权限。

攻击者不需要你的私钥。他们已经拥有你的权限。

授权钓鱼特别狡猾的地方在于时间延迟。攻击者通常会在签署授权后的几天或几周才清空钱包,这几乎不可能让受害者将恶意授权与盗窃行为联系起来。当资金消失时,受害者可能已经签署了数十项合法交易,使欺诈授权深藏在他们的交易历史中。

根据Chainalysis的2026年加密犯罪报告,授权钓鱼和授权滥用仍然是加密生态中的主要攻击向量。这种技术具有高效的扩展性:单个钓鱼活动可以产生数千个恶意授权,攻击者可以按照自己的时间表清空钱包。

Operation Atlantic内部:一周的集中行动

Operation Atlantic并不是数月的缓慢调查。它被设计为一次集中的行动冲刺,在NCA伦敦总部将各机构和私营部门合作伙伴汇聚一堂。

参与者包括:

  • 执法部门: 美国特勤局、英国国家犯罪局(NCA)、加拿大当局
  • 区块链分析: Chainalysis和TRM Labs提供了交易追踪和钱包聚类分析
  • 加密交易所: Coinbase的全球情报团队和Kraken贡献了交易所数据、钱包识别和资金冻结能力

该行动分三个阶段进行:

第1阶段 —— 识别。 利用区块链分析,调查人员绘制了跨多条链的授权钓鱼交易模式。他们确认了来自30多个国家超过20000个与欺诈受害者相关的钱包地址。

第2阶段 —— 干预。 该团队的重点不是为未来的起诉建立案件,而是优先进行实时受害人保护。超过3000名被识别为处于风险中的人士被直接联系—— 被警告其钱包已被破坏,并获得了有关在攻击者清空剩余资金前撤销恶意授权的指导。

第3阶段 —— 冻结。 与交易所和稳定币发行人合作,当攻击者试图提现时,在出口处冻结了1200万美元的被盗资金。额外还有3300万美元的欺诈流被追踪并标记用于持续调查。超过120个被骗子使用的网络域名被识别并破坏。

范式转变:从事后调查到提前干预

传统的加密犯罪调查时间线是这样的:发生黑客攻击,受害者数周后报告损失,调查人员花数月时间追踪资金,当资产被冻结时——如果有的话——大部分已经通过混合器、桥接和离岸交易所被洗清。

Operation Atlantic将这个时间线从数月压缩到数天。关键的创新不是任何单一的技术,而是运营模式本身:将执法部门和私营部门分析师汇聚在同一间办公室,可以实时访问区块链数据和交易所系统。

这一点很重要,因为区块链交易是不可逆的,但在提现层面并非即时的。攻击者仍然需要通过交易所、场外交易柜台或稳定币赎回将被盗加密货币转换为法定货币。那个出口点就是干预成为可能的地方—— 但前提是调查人员能够比攻击者更快地追踪和冻结资金。

Coinbase的往绩证明了这种潜力。在Operation Atlantic之前,Coinbase的全球情报团队已经帮助特勤局查获了来自"杀猪盘"诈骗的2.25亿美元USDT,支持了对针对1000多名用户的钓鱼活动的2860万美元恢复,并协助破坏了一个暴力犯罪团伙的350万美元被盗资金。

问题的规模:为什么这现在很重要

Operation Atlantic的1200万美元冻结之所以重要,不是因为其规模——它只是加密犯罪总额的一小部分——而是因为它证明了运营速度的可行性。紧迫性是由问题的巨大规模驱动的:

  • 1540亿美元 的非法加密货币流量在2025年被记录,根据Chainalysis的数据,同比增长162%
  • 170亿美元 在2025年全球通过加密诈骗和欺诈被盗
  • 20亿美元 仅在2025年被朝鲜相关黑客盗取
  • AI启用的诈骗 的利润比传统诈骗高4.5倍,冒充诈骗在2025年激增超过1400%

加密犯罪的工业化正在加速。钓鱼即服务平台允许低技能攻击者部署复杂的授权钓鱼活动。AI生成的深度伪造使人们可以信服地冒充交易所支持代理、项目创始人,甚至政府官员。随着DeFi总锁定价值的增长,攻击面也在扩大。

在这种背景下,问题不是公私合作是否有效——Operation Atlantic已经回答了这个问题。问题是他们是否能够扩展。

该模式能扩展吗?前面的挑战

Operation Atlantic是一个成功,但也是一个例外。在NCA总部进行为期一周的冲刺,有来自多个机构和公司的专门团队,这既昂贵又难以持续复制。几个结构性挑战仍然存在:

司法管辖权碎片化。 加密犯罪本质上是跨界的,但冻结资产、共享情报和起诉违法者的法律框架因国家而异。Operation Atlantic的成功部分是因为它专注于盟国(美国、英国、加拿大),这些国家有兼容的法律系统。将其扩展到与西方执法部门合作较少的司法管辖区要困难得多。

速度与隐私。 实时干预需要对区块链交易和交易所账户进行实时监控。这与隐私倡导者的观点产生了矛盾,他们辩称用于保护受害者的相同能力也可能被用于大规模金融监控。Tornado Cash的起诉表明,反洗钱执法与将隐私工具定为犯罪之间的界线有多么之细。

中心化风险。 Coinbase的情报能力创造了竞争优势——机构客户信任积极恢复被盗资金的交易所。但批评人士指出,将监控能力集中在一家私营公司引发了关于谁来监督监督者的问题。如果Coinbase可以追踪和冻结资金,什么能防止这些能力被滥用?

攻击者适应。 复杂的攻击者已经在转向隐私链、跨链桥接和没有合规团队可以联系的去中心化交易所。Operation Atlantic主要在中心化出口处冻结了资金。随着DeFi基础设施的成熟和攻击者寻找更多去中心化的提现渠道,干预窗口变得更加狭窄。

区块链取证军备竞赛

Operation Atlantic并非孤立发生。它处于一个快速增长的区块链取证生态系统之中:

  • Chainalysis 已累计获得1.3亿多美元的政府合同,最近推出了AI动力的Blockchain Intelligence Agents,在100多万个案例上进行了训练
  • TRM Labs 为自然语言区块链调查部署了其Co-Case Agent,并直接支持了Operation Atlantic的分析工作
  • Coinbase 最近与Microsoft合作破坏了Tycoon 2FA,一个支持全球范围内凭证盗窃的钓鱼即服务平台

AI与区块链分析的融合正在加快检测能力。但帮助调查人员的相同AI工具也可供攻击者使用。防御是否能够跟上进攻的问题仍然是开放的。

明确的是,旧的模式——等待黑客攻击、调查数月、恢复几乎没有——已经过时。Operation Atlantic表明,使用正确的运营模式,干预可以在数天而不是数月内进行。现在的挑战是让这成为常态而不是例外。

用户今天可以做什么

虽然Operation Atlantic这样的机构级操作可以大规模保护受害者,但个人用户可以立即采取措施来保护自己:

  1. 定期审计你的代币授权。 像Revoke.cash和Etherscan的代币授权检查工具这样的工具让你可以查看和撤销钱包上的任何活跃授权。
  2. 对你被要求签署的任何交易保持怀疑。 合法平台很少需要无限的代币授权。如果一个DApp请求批准的代币超过你的交易所需,那是一个危险信号。
  3. 对重大资金使用硬件钱包。 即使你签署了恶意授权,将资产保留在单独的硬件钱包上也会限制风险敞口。
  4. 监控你的钱包活动。 通过会通知你传出交易的服务设置警报,以便在攻击者激活休眠授权时快速做出响应。

展望:加密安全的未来

Operation Atlantic代表了加密行业如何看待安全的一个转折点。从被动调查到主动干预的转变反映了过去二十年在传统金融犯罪中发生的事情——从事后漏洞取证到在交易结算前标记可疑交易的实时欺诈检测系统。

对于加密来说,这种演变早就应该了。追踪区块链交易的技术已经存在了多年。缺少的是足够快地针对该情报采取行动的运营框架。Operation Atlantic证明了这个框架可以运作。现在,整个行业——交易所、分析公司、监管机构和执法部门——必须决定是否要投资使其成为永久性的。

在一周内冻结的1200万美元相对于1540亿美元的年度非法流量来说是一个很小的数字。但被识别的20000名受害者和被警告的3000人在他们的资金能被清空之前代表了比任何美元数字更有价值的东西:证明加密生态可以保护其用户,不仅仅是事后,而是实时。

BlockEden.xyz为构建安全、透明的Web3应用的开发人员提供企业级区块链API和节点基础设施。随着区块链取证和链上安全成为关键基础设施,可靠的节点访问和实时数据形成了使Operation Atlantic这样的操作成为可能的基础。探索我们的API市场来建立在为下一个区块链安全时代设计的基础设施上。

Share on Twitter