罹癌实况主遭遇「Steam 恶意游戏」攻击！3.2 万美元癌症治疗募款瞬间被盗

一位正与第四期癌症搏斗的实况主在直播中打开 Steam 游戏《BlockBlasters》后，募集到的 3.2 万美元加密货币在数分钟内被骇客转走。调查显示，这款游戏暗藏加密钱包窃取木马，已造成至少 261 个帐户遭骇，总损失超过 15 万美元。此事件不仅揭露了 Steam 平台安全审核的严重漏洞，也为加密货币用户敲响警钟。

罹癌实况主的悲剧：治疗募款在直播中被盗

（来源：Youtube）

实况主 RastalandTV（本名 Raivo Plavnieks）正面临人生中最艰难的挑战——第四期癌症。为了筹集昂贵的治疗费用，他依靠观众的爱心捐款，透过 Pump.fun 平台成功募得约 3.2 万美元的加密货币。

然而，命运给这位已经饱受病痛折磨的实况主开了一个残酷的玩笑。在一次普通的直播中，RastalandTV 应观众要求打开了 Steam 平台上的游戏《BlockBlasters》。这款游戏拥有「极度好评」的评价，许多观众也热情推荐，看起来毫无问题。

但就在游戏运行的短短数分钟内，骇客悄无声息地入侵了他的加密钱包，将辛苦筹集的 3.2 万美元治疗基金转走。当 RastalandTV 意识到发生了什么时，为时已晚——区块链上的交易无法撤销，他的希望在瞬间破灭。

《BlockBlasters》：从合法游戏到恶意木马的转变

安全研究人员的调查揭示了这起攻击的精心策划过程。《BlockBlasters》最初于 7 月 30 日合法上架 Steam 平台，初期版本并无任何恶意代码。这款游戏成功通过了 Valve 的审核流程，甚至获得了玩家的好评。

然而，一个月后的 8 月 30 日，开发者推送了一次看似普通的更新，实际上却暗藏了多重恶意程式：

· 批次档：自动执行恶意指令

· Python 后门：允许远程控制受害者电脑

· StealC 酬载：专门设计用来窃取加密货币的恶意程式

这些恶意代码在游戏运行时会在背景悄悄扫描玩家的电脑，寻找浏览器保存的凭证和加密钱包档案。一旦发现目标，它会立即将资讯传送给攻击者，使其能够迅速转移受害者的加密资产。

这起事件暴露了 Steam 平台安全审核机制的严重漏洞，特别是对于已上架游戏后续更新的监控不足。

Valve 的「验证」标章存在误导性

Valve 公司一直以 Steam Deck 相容性「验证」标章作为产品品质的保证。然而，这次事件揭示了一个残酷的真相：这些标章仅代表游戏的操作体验符合标准，并不包含任何资安检测。

更令人担忧的是，Steam 平台似乎缺乏对已上架游戏后续更新的有效监控机制。《BlockBlasters》的恶意更新从 8 月 30 日一直到 9 月 21 日才被下架，期间已造成数百用户受害。这近一个月的延迟反应时间，对于一个拥有数亿用户的全球性游戏平台来说，无疑是一个严重的安全隐患。

专家呼吁改进安全措施

安全专家们指出，Steam 平台需要建立更完善的安全机制，特别是针对游戏更新的审核：

更新沙盒（Sandbox）：在正式发布前，将更新内容放在隔离环境中测试

程式码指纹比对：建立自动化系统，检测更新中可能包含的恶意代码

增加人工复核：对于可疑更新进行人工审查，防止自动化系统的漏检

这些措施可以帮助平台在恶意更新正式发布前将其拦截，保护用户的安全。

加密货币的安全：不可逆交易的双刃剑

这起事件也再次凸显了加密货币交易不可逆性的风险，特别是在募款等高敏感场景中。

Pump.fun 平台与加密募款的风险

Pump.fun 平台允许创作者快速发行代币来筹集资金，为像 RastalandTV 这样需要紧急资金的人提供了便捷渠道。然而，加密货币的高波动性和匿名流向也带来了巨大风险。

一旦外部钱包遭到骇客入侵，平台和执法机构都难以追回被盗资金。区块链的不可篡改性——这一被视为加密货币优势的特性——在此类情况下反而成为受害者的噩梦。

骇客的精准攻击

此次攻击者展现了高度的专业性，他们专门锁定持有多链资产的帐户，一次性搬空受害者的比特币（BTC）、以太坊（ETH）和 Solana（SOL）等多种代币。

安全专家分析指出，攻击者不仅熟悉各种加密钱包的运作机制，还精通链上资金流追踪与洗钱技术，使得追回被盗资金的可能性微乎其微。

社群的温暖与系统性挑战

RastalandTV 的悲剧在加密社群中引起了广泛关注和同情。在得知这一消息后，加密货币意见领袖 Alex Becker 迅速行动，直接向 RastalandTV 汇入了 3.2 万美元等值的加密货币，帮助他补回损失。

这种自发的互助精神展现了加密社群的温暖一面，但也凸显了一个残酷的现实：系统性风险无法通过个人善举来根本解决。如果没有更强大的平台安全保障和用户教育，类似的悲剧将不断重演。

个人用户的自我保护措施

面对这种威胁，加密货币用户需要采取更严格的安全措施来保护自己的资产：

使用离线冷钱包：将大部分资产存储在不连接互联网的硬件钱包中

分层资金管理：将资金分散在多个钱包中，避免「鸡蛋放在一个篮子里」

定期备份私钥：确保即使设备损坏也能恢复资产

谨慎下载软体：特别是需要与钱包互动的应用程序

使用专用设备：考虑使用专门用于加密货币交易的设备，避免与日常娱乐混用

结论：数位时代的警示

RastalandTV 的悲剧为所有数位公民敲响了警钟：在数位世界中，便利与风险总是相伴而行。当平台审核存在漏洞、加密交易难以撤销时，用户的警觉性和自我保护意识变得尤为重要。

对于 Valve 和 Steam 平台而言，这是一次严峻的考验。他们能否在下一次更新前建立更强大的安全机制，将决定玩家和投资者的信任度。

对于加密货币用户而言，这是一个痛苦但必要的提醒：即使在最值得信任的平台上，也需要保持警惕，采取多重防护措施。

在数位资产日益普及的今天，安全不再是一个可以外包的责任，而是每个参与者都需要共同维护的基石。