文章总结： FBI逮捕了盗窃美国法警局托管资产超4600万美元的嫌疑人，其利用亲属职权便利作案。案件由链上侦探ZachXBT发现异常资金流，嫌疑人因在Telegram炫耀地址而暴露身份。文章通过还原资金路径，展示了区块链透明性在刑侦中的价值，警示了托管机构面临的内部威胁风险。 综合评分： 78 文章分类： 区块链安全,安全大事件,威胁情报,数据泄露

美国执法资产也被盗？FBI逮捕4600万美元加密资产盗窃嫌疑人

原创

BlockSec BlockSec

BlockSec

2026年3月11日 12:00 浙江

在加密行业中，人们常说一句话：区块链不会说谎，但人会。最近发生的一起案件，让这句话显得格外真实。

2026 年 3 月，美国联邦调查局（FBI）宣布逮捕了一名涉嫌盗窃政府托管加密资产的嫌疑人 John Daghita（网名 “John_Lick”）。这位年仅20岁出头的年轻人，被指控从美国执法机构管理的钱包中窃取超过 4600 万美元的加密资产。如果这只是一起普通的加密盗窃案件，或许不会引发太多关注，但真正令人意外的地方在于，这些资金并非来自交易所、DeFi 协议或个人钱包，而是来自美国法警局（U.S. Marshals Service，USMS）托管的钱包。

（John Daghita 被逮捕及查封资产）

USMS 是美国政府负责管理和处置被执法机构没收资产的机构。随着近年来加密犯罪案件数量不断增加，美国政府逐渐成为全球最大的比特币持有机构之一，而 USMS 正是这些资产的主要托管方之一。从某种意义上说，这些钱包原本被认为是整个加密生态中安全等级最高的一类资产池，因为其中的大量资金都来自重大执法案件，例如暗网市场、诈骗网络或黑客攻击资金。然而，这起案件却再次说明，在数字资产体系中，即便是政府托管的钱包，也并不意味着绝对安全。

事实上，这4600 万美元资产之所以能够被一个年轻人转移，其中隐藏着更复杂的背景。公开资料显示，John Daghita 使用的网名为 “Lick”，而他的父亲 Dean Daghita 正是 Command Services & Support（CMDSS） 的总裁兼 CEO。这家总部位于美国弗吉尼亚州的公司自 2024 年 10 月起参与美国法警局的数字资产管理与处置相关工作，为 USMS 提供被查封加密资产的托管与处理服务。因此，这起案件并非传统意义上的远程黑客攻击。

而这起案件最早进入公众视野，也并不是因为执法机构的主动披露，而是来自链上研究者的监测。2026 年初，链上调查员 ZachXBT 在例行监测过程中注意到一笔异常交易：约2300 万美元的加密资产从一个疑似与美国法警局相关的钱包地址转出，并迅速进入一组此前并不活跃的新地址。从表面上看，这或许只是区块链上数以百万计交易中的一笔，但对于长期追踪链上犯罪资金网络的人来说，这类异常资金移动往往意味着潜在的安全事件，也可能是某个更大资金网络活动的开始。

随着调查的推进，嫌疑人似乎也注意到了外界的关注。根据 ZachXBT 事后的披露，John Daghita 曾多次通过自己的 Telegram 频道对他进行挑衅，并向 ZachXBT 的公开钱包地址发送“dust”交易——也就是向目标地址转入极小金额的代币。在本案中，这些用于挑衅的资金甚至来自被盗资产本身，这种行为在链上调查圈并不常见，也从侧面反映出这名年轻嫌疑人当时相当张扬的态度。

（ZachXBT 披露案件调查经过）

资金流向：从政府钱包到嫌疑人地址

BlockSec对相关地址进行了链上追踪，下图展示了本案中关键资金的流动结构。可以看到，资金最初来源于美国政府控制的钱包（Bitfinex Hack 相关资产），随后通过多个中间地址进行拆分与转移，并在不同时间节点汇集至多个临时钱包地址，最终流入 John Daghita 控制的钱包地址（0xd8bc7ea538c2e9f178a18cc148892ae914a55d08）。

在这一过程中，资金路径中还出现了中心化交易所热钱包地址，例如 Binance 与 MEXC，这些节点在资金网络中起到了中转作用，但整体资金结构仍然能够通过链上分析逐步还原。

（涉案地址资金流图）

完整资金路径可在 MetaSleuth 中查看： https://metasleuth.io/result/eth/0xd8bc7ea538c2e9f178a18cc148892ae914a55d08?source=21a2a435-ea75-4ae7-b000-8636e505f393

从资金网络结构可以看到，即使攻击者通过多跳转账和地址分散试图掩盖资金来源，但由于所有交易都公开记录在区块链上，其整体资金关系仍然可以通过链上分析工具被逐步还原。这种公开透明的交易记录，使得区块链在某种意义上成为一种“永不消失的账本”，而任何试图隐藏资金来源的行为，最终都可能在时间和数据分析的积累下被重新拼接出来。

让案件获得突破的聊天记录

如果说链上资金追踪为调查提供了关键线索，那么真正让案件出现突破的，则是一段来自 Telegram 的聊天记录。在一次与另一名黑客的争执中，嫌疑人试图通过展示自己控制的大额钱包地址来证明实力，这种行为在地下黑客圈并不罕见，但在区块链世界中，一旦地址被公开，其所有历史交易都可以被立即追溯。调查人员随后将聊天记录中的地址与链上资金流进行比对，发现这些地址与此前被追踪的资金路径存在明显重合，从而逐渐确认嫌疑人与相关资金转移行为之间的关联。

某种意义上说，这起案件带着一点黑色幽默：嫌疑人试图利用区块链转移资金，但最终帮助调查人员锁定关键证据的，恰恰也是区块链本身。

（来源：ZachXBT）

很多人认为加密货币具有匿名性，但实际上，区块链的地址本身并不直接包含身份信息，但所有交易记录都是公开且不可篡改的，一旦某个地址与现实身份产生关联，整个资金网络往往可以被逐步还原。在实际调查中，链上分析通常依赖几个核心技术路径，例如通过地址关联分析识别多个地址是否由同一实体控制，通过资金路径追踪绘制完整的资金网络图谱，以及通过行为模式识别检测高频拆分转账、跨链跳转或快速进入交易所套现等典型洗钱行为。这些方法能够帮助研究人员和执法机构在复杂的链上交易网络中逐步识别关键节点，从而还原资金流动的真实路径。

正因为区块链交易记录具有公开、可追溯和不可篡改的特性，越来越多执法机构开始将链上数据分析作为调查的重要工具，而许多历史加密犯罪案件的突破，也往往来自对链上数据的持续追踪。与此同时，这一案件也再次提醒人们：在数字资产时代，追踪资金流动的方式正在发生变化，区块链不仅改变了金融体系，也正在改变犯罪调查的方式。

BlockSec 旗下的资金追踪调查平台 MetaSleuth 就被广泛用于链上分析。值得一提的是，本案的链上侦探ZachXBT 在其公开调查中也曾多次推荐使用 MetaSleuth 进行链上资金分析，通过可视化资金路径与地址关联关系，使复杂的资金网络能够被更加直观地还原和理解。

如果希望进一步查看相关地址的完整资金路径或体验链上资金分析工具，可点击【阅读原文】或访问：https://metasleuth.io/

关于BlockSec

BlockSec 是全球领先的区块链安全和合规公司，于 2021 年由多位业内知名专家联合创立。BlockSec 致力于提升 Web3 世界的安全性和易用性，提供一站式安全服务，包括智能合约/链/钱包安全审计服务、协议安全和数字货币合规(AML/CFT)平台 Phalcon Security / Phalcon Compliance / Phalcon Network、资金追踪调查平台 MetaSleuth 和区块链交易分析工具 Phalcon Explorer 等。

目前，BlockSec 已服务全球逾 500 家客户，既涵盖 Web3 知名公司 Coinbase、Cobo、Uniswap、Compound、MetaMask、Bybit、Mantle、Puffer、FBTC、Manta、Merlin、PancakeSwap 等，也包括了权威监管机构及咨询机构，如联合国、SFC、PwC、FTI Consulting 等。

官网：https://blocksec.com/

Twitter：https://twitter.com/BlockSecTeam

推荐阅读👇

BlockSec

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：BlockSec BlockSec BlockSec《美国执法资产也被盗？FBI逮捕4600万美元加密资产盗窃嫌疑人》