罹癌實況主玩Steam遊戲被駭加密錢包，Valve緊急下架藏木馬遊戲

罹癌實況主遭《BlockBlasters》惡意更新盜走 3.2 萬美元，凸顯 Steam 審核漏洞與加密資產高風險 （前情提要：動物森友會加入AI LLM「可玩性暴增」，實況主試玩：聊一輩子對話不重複 ） （背景補充：美女實況主用腦波玩《黑神話：悟空》空手對決白衣秀士全網熱議 ） 罹癌實況主 RastalandTV（本名 Raivo Plavnieks）為籌措第四期癌症治療費用，在直播時打開 Steam 遊戲《BlockBlasters》，短短數分鐘內，錢包中原本透過 Pump.fun 平台募得的 3.2 萬美元加密貨幣瞬間被轉走。事後安全研究人員確認，這款遊戲 8 月 30 日推送的更新暗藏 cryptodrainer，累計波及 261 至 478 個帳戶，失竊總額超過 15 萬美元。 募款悲劇中的安全破口 《BlockBlasters》7 月 30 日合法上架，初期並無異常。開發者在一個月後以更新為名，塞入批次檔、Python 後門及名為 StealC 的酬載，讓惡意程式在背景掃描玩家電腦，擷取瀏覽器憑證與加密錢包檔案。RastalandTV 當時正依賴觀眾捐款度過化療開銷，「極度好評」評價與觀眾熱情推薦降低了警戒，結果將辛苦籌措的資金拱手送出。 Valve 審核鏈斷裂 Valve 向來以 Steam Deck 相容性「驗證」標章宣傳產品品質，然該標章僅象徵操作體驗，並未涵蓋資安檢測。平台沒有及時攔截惡意更新，直到 9 月 21 日網路討論發酵才下架遊戲。事件暴露 Steam 對動態內容缺乏持續掃描機制，也提醒玩家「看到綠勾不代表檔案安全」。 加密資產不可逆的代價 區塊鏈轉帳一經上鏈便難以追回，該特性在募款場景中更顯殘酷。Pump.fun 讓創作者能快速發行代幣換資金，但高波動與匿名流向意味著，一旦外部錢包遭駭，平台和執法單位都難以回溯。此次攻擊者鎖定持有多鏈資產的帳戶，一次搬空 BTC、ETH 與 SOL 等代幣，顯示駭客已熟稔鏈上資金流追蹤與洗錢手法。 社群挺身救援與後續挑戰 悲劇傳出後，加密社群在 X（前 Twitter）自發協助。意見領袖 Alex Becker 直接匯入 3.2 萬美元等值資金，幫 RastalandTV 補回損失。這股力量雖溫暖，卻無法改變系統性風險。外界呼籲 Steam 與其他平台建立「更新 sandbox」與「程式碼指紋」比對機制，並增加人工複核，將惡意補丁阻擋在正式發佈前。對個人用戶而言，下載需與錢包互動的軟體前應採離線冷錢包、分層管理與定期備份，才不致在單點失守時全盤皆輸。 這起事件提醒所有數位公民：便利與風險總是相伴。當平台審核仍有缺口、加密轉帳難以逆轉，唯一可控的是自身警覺與防護。Valve 是否能在下一次更新前交出更強的安全答卷，將是玩家與投資人持續關注的焦點。 相關報導 在 Pump.fun 和 Twitch 做直播，哪個更賺錢？ 真人版FX戰士！日本直播主 All in 二元期權，3萬翻5倍→15萬→0圓 他因 Meme 幣直播舉槍自殺，迷因幣卻替他付了喪葬費〈罹癌實況主玩Steam遊戲被駭加密錢包，Valve緊急下架藏木馬遊戲〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。