法國稅務員出售身份資料，導致蒙特雷伊的監管機構遭受攻擊

一名在Bobigny的稅務員利用內部軟體建立有關加密專家、億萬富翁Vincent Bolloré、監獄管理員以及一名法官的檔案。之後，他將資訊出售給犯罪分子，後者支付800歐元，企圖在Montreuil的私人住所發動攻擊。

被告的上訴申請於1月6日被駁回，根據當地媒體報導。

此事件不僅因為其犯罪行為而引人注目，更重要的是目標的選擇方式。最新的攻擊向量不再是Telegram上的doxxing或被入侵的交易所，而是獲得國家身份認證系統的特權存取權——只需一個查詢，即可將姓名與地址、電話號碼及家庭結構聯繫起來。

在2024年，法國國家警察局檢測到93起涉及職業秘密違反的調查，以及76起非法數據轉移案件。該機構稱，通過社交媒體和暗網買賣國家資料庫查詢的現象為“Uber化”資料買賣。

TF1的獨立調查還發現，Snapchat上有“服務菜單”：30歐元查詢車輛登記、150歐元查詢通緝名單、250歐元解鎖非法封鎖車輛。與嫌疑人相關的銀行交易金額在15到5000歐元之間。

加密貨幣的安全模型基於交易的不可逆性，自我托管則有助於消除中介風險。然而，一旦攻擊者掌握了現實生活中的身份資訊，問題就不再是密碼學，而是強迫問題。

這可以視為“可在現實中最大化利用的價值”——IRL MEV。在區塊鏈上，MEV來自於提前看到交易流。在物理空間中，價值則透過觀察身份圖譜，選擇最便宜的強迫路徑來獲取。

*非法資料庫查詢服務以透明價格販售：30歐元查詢車輛登記，150歐元查詢通緝名單，250歐元解鎖封鎖車輛。*非法資料庫買賣市場已形成，價格公開透明。根據《Le Parisien》12月18日的報導，針對法國加密貨幣投資者的攻擊顯著增加，促使政府於2025年8月頒布法令，將企業領導人的私人住址從商業登記簿RCS中移除。

此措施有助於降低暴力與騷擾的風險，儘管執法、海關和稅務部門仍可存取。

過去，RCS在公開的Kbis企業檔案中披露企業領導人的住址。8月的法令僅解決了一個漏洞。而稅務資料庫仍向數千名官員開放，監控多半依賴於事後發現異常。

稅務系統包含極為詳細的資料：地址透過申報更新，電話號碼出現在信件中，家庭結構透過撥款依賴人數顯示，資產利得檔案則將不同資產類型與個人連結。TF1指出，法國稅務人員可以存取所有這些資料。

從“經濟學”角度來看，這個模型偏向攻擊者：一次查詢只需數十到數百歐元，而成功入侵則可能帶來數萬甚至數十萬的收益。

ENISA在2024年記錄到586起影響歐盟公共行政機關的安全事件。主要威脅並非來自複雜的技術攻擊，而是內部有權存取資料的員工將資料提取並出售給二級市場。

*歐盟公共行政機關在2024年遭遇586起安全事件，法國則有93起職業秘密違反與76起資料盜竊調查。*Ghalia C.承認曾向三名執行監獄管理員攻擊的嫌疑人提供資訊。800歐元的交易顯示這是一種服務交易。她的查詢歷史包括加密專家、Bolloré富豪、醫療監察員和法官——顯示這是販售存取權的行為，而非單純的個人恩怨。

持有加密貨幣的個人資料存在高風險——對於暴力犯罪者來說，利潤特別誘人。資產由自我托管，無法被銀行凍結或由法院逆轉。巨額價值可以立即轉移。且報告事件有時反而會讓自己成為稅務機關的目標。

將地址從公開登記簿中移除，顯示制度已意識到與加密貨幣相關的物理風險與傳統金融截然不同。銀行可以凍結帳戶，經紀人可以逆轉交易，但加密交易則不行。

正是這種“最終性”將威脅圖景從技術安全轉向身份安全。當身份問題解決後，強迫變得簡單。

法國對於2025年起的加密攻擊浪潮的反應是隱藏地址，但2026年的資產申報提案卻帶來新風險。如果身份資料是稀缺資源，則可以預見三大趨勢：擴大登記簿的安全性、加強國家系統的控制，以及持續的內部存取權販售，因為經濟動機仍具吸引力。

矛盾在於，歐洲正透過強制KYC、報告錢包和追蹤DeFi交易來擴大加密透明度，以打擊洗錢和逃稅。這些要求建立了集中式資料庫，將身份與資產連結。資料庫越完整，對攻擊者的價值越高。

法國2026年預算草案建議對超過200萬歐元的加密資產徵收1%的年稅，須申報自我托管和海外資產。這無意中形成了一個“蜜罐”：由國家管理的高價值加密持有者名單，附帶地址。

技術界常將加密安全視為密鑰管理問題，這在鏈上攻擊中成立。但Bobigny事件顯示，當物理強迫進入模型時，密鑰管理變得毫無意義。硬體錢包無法在攻擊者知道住址並持武器時提供保護。漏洞在於身份層，而非區塊鏈層。

此事件揭示了一個暗中運作的資本市場結構。目標根本不知道自己被查詢，直到攻擊者敲門。