เจ้าหน้าที่สรรพากรที่บูบิกนิ ได้ใช้ประโยชน์จากซอฟต์แวร์ภายในเพื่อสร้างแฟ้มข้อมูลเกี่ยวกับผู้เชี่ยวชาญด้านคริปโต, มหาเศรษฐี Vincent Bolloré, ผู้ดูแลเรือนจำ และผู้พิพากษา คนนี้ต่อมาขายข้อมูลให้กับอาชญากร ซึ่งได้จ่ายเงิน 800 ยูโรเพื่อวางแผนโจมตีผู้ดูแลเรือนจำที่บ้านส่วนตัวในมงต์โรย
คำอุทธรณ์ของจำเลยถูกปฏิเสธเมื่อวันที่ 6/1 ตามสื่อท้องถิ่น
คดีนี้ไม่เพียงน่าจับตามองเพราะพฤติกรรมความผิดเท่านั้น แต่ที่สำคัญกว่าคือวิธีการเลือกเป้าหมาย การโจมตีแบบใหม่ไม่ใช่การเปิดเผยข้อมูลบน Telegram หรือการแฮ็กแพลตฟอร์มแลกเปลี่ยนอีกต่อไป แต่เป็นการเข้าถึงสิทธิพิเศษในระบบระบุตัวตนของรัฐ ซึ่งเพียงคำค้นเดียวก็สามารถเชื่อมโยงชื่อกับที่อยู่, เบอร์โทรศัพท์ และโครงสร้างครอบครัวได้
ในปี 2024 เจ้าหน้าที่ตำรวจแห่งชาติฝรั่งเศสรายงานว่ามีการสอบสวน 93 คดีที่เกี่ยวข้องกับการละเมิดความลับในอาชีพ และ 76 คดีที่เกี่ยวข้องกับการเปลี่ยนเส้นทางข้อมูลโดยผิดกฎหมาย หน่วยงานนี้เรียกปรากฏการณ์การซื้อขายข้อมูลฐานข้อมูลของรัฐผ่านโซเชียลมีเดียและ dark web ว่าเป็น “uberization” ของการขายแฟ้มข้อมูล
การสืบสวนของ TF1 ยังพบว่า มี “เมนูบริการ” บน Snapchat: ค่าบริการ 30 ยูโรสำหรับการตรวจสอบทะเบียนรถ, 150 ยูโรสำหรับการตรวจสอบรายชื่อผู้ต้องหาคดีอาญา, และ 250 ยูโรสำหรับการปลดล็อครถที่ถูกล็อคผิดกฎหมาย ธุรกรรมธนาคารที่เกี่ยวข้องกับผู้ต้องสงสัยมีมูลค่าตั้งแต่ 15 ถึง 5,000 ยูโร
โมเดลความปลอดภัยของคริปโตอาศัยความไม่สามารถย้อนกลับของธุรกรรม และการเก็บรักษาเองช่วยลดความเสี่ยงจากตัวกลาง อย่างไรก็ตาม เมื่อผู้โจมตีสามารถทราบตัวตนในชีวิตจริงได้ ปัญหาไม่ใช่แค่ด้านคณิตศาสตร์เข้ารหัส แต่กลายเป็นปัญหาการบังคับ
สามารถมองว่านี่คือ “มูลค่าที่สามารถใช้ประโยชน์สูงสุด” ในชีวิตจริง – IRL MEV บนบล็อกเชน, MEV มาจากการมองเห็นลำดับธุรกรรมล่วงหน้า ในพื้นที่ทางกายภาพ ค่าของถูกใช้ประโยชน์โดยการสังเกตกราฟตัวตน แล้วเลือกเส้นทางบีบบังคับที่ถูกที่สุด
บริการค้นฐานข้อมูลผิดกฎหมายถูกขายในราคาที่โปร่งใส: 30 ยูโรสำหรับการลงทะเบียนรถ, 150 ยูโรสำหรับการตรวจสอบรายชื่อผู้ต้องหา, 250 ยูโรสำหรับการปลดล็อครถ ตลาดการค้นข้อมูลผิดกฎหมายได้ก่อตัวขึ้นพร้อมกับอัตราค่าบริการที่ชัดเจน Le Parisien รายงานเมื่อวันที่ 18/12 ว่า การโจมตีต่อนักลงทุนคริปโตในฝรั่งเศสเพิ่มขึ้นอย่างมาก บังคับให้รัฐบาลออกคำสั่งในเดือน 8/2025 เพื่อเอาชื่อที่อยู่บ้านของผู้นำธุรกิจคริปโตออกจากทะเบียนพาณิชย์ RCS
มาตรการนี้ช่วยลดความเสี่ยงจากความรุนแรงและการรบกวน แม้เจ้าหน้าที่บังคับใช้กฎหมาย, ศุลกากร และหน่วยงานภาษี ยังคงสามารถเข้าถึงข้อมูลได้
ก่อนหน้านี้ RCS เปิดเผยที่อยู่ของผู้นำธุรกิจในเอกสาร Kbis – แฟ้มข้อมูลธุรกิจที่เปิดเผย สั่งเดือน 8 เพียงเป็นการปิดช่องโหว่หนึ่ง ในขณะเดียวกัน ฐานข้อมูลภาษียังคงเปิดให้เจ้าหน้าที่หลายพันคนเข้าถึง และการตรวจสอบส่วนใหญ่ขึ้นอยู่กับการตรวจพบความผิดปกติหลังจากเหตุการณ์เกิดขึ้นแล้ว
ระบบภาษีเก็บข้อมูลที่ละเอียดมาก: ที่อยู่ถูกอัปเดตผ่านแบบแสดงรายการ, เบอร์โทรศัพท์ปรากฏในจดหมาย, โครงสร้างครอบครัวแสดงผ่านการประกาศผู้พึ่งพา และแฟ้มข้อมูลกำไรขาดทุนเชื่อมโยงทรัพย์สินแต่ละประเภทกับบุคคลเฉพาะเจาะจง TF1 ระบุว่าพนักงานสรรพากรฝรั่งเศสสามารถเข้าถึงข้อมูลเหล่านี้ทั้งหมดได้
ในด้าน “เศรษฐศาสตร์” โมเดลนี้เอียงไปทางผู้โจมตี: การค้นหนึ่งครั้งใช้เงินเพียงไม่กี่สิบถึงหลายร้อยยูโร ในขณะที่การบุกรุกสำเร็จอาจสร้างรายได้เป็นหลักแสนหรือหลักล้าน
ENISA รายงานว่ามีเหตุการณ์ความปลอดภัย 586 ครั้งที่ส่งผลกระทบต่อหน่วยงานภาครัฐใน EU ในปี 2024 ภัยคุกคามหลักไม่ใช่จากการโจมตีทางเทคนิคซับซ้อน แต่เป็นจากบุคคลภายในที่มีสิทธิ์เข้าถึงข้อมูลอย่างถูกกฎหมายและนำไปขายในตลาดรอง
หน่วยงานภาครัฐของ EU ต้องเผชิญกับเหตุการณ์ความปลอดภัย 586 ครั้งในปี 2024 ในขณะที่ฝรั่งเศสรายงานว่ามีการละเมิดความลับในอาชีพ 93 คดี และการสอบสวนการขโมยข้อมูล 76 คดี Ghalia C. ยอมรับว่าได้ให้ข้อมูลแก่สามคนที่ดำเนินการโจมตีผู้ดูแลเรือนจำ เงิน 800 ยูโรแสดงให้เห็นว่านี่คือธุรกรรมบริการ ประวัติการค้นข้อมูลของเธอรวมถึงผู้เชี่ยวชาญด้านคริปโต, มหาเศรษฐี Bolloré, เจ้าหน้าที่สาธารณสุข และผู้พิพากษา – แสดงให้เห็นว่าการขายสิทธิ์เข้าถึงเป็นพฤติกรรม ไม่ใช่ความแค้นส่วนตัวเพียงคนเดียว
ผู้ถือคริปโตที่มีแฟ้มข้อมูลเสี่ยง – ผลตอบแทนที่น่าดึงดูดเป็นพิเศษสำหรับอาชญากรรุนแรง ทรัพย์สินที่เก็บเองไม่สามารถถูกธนาคารอายัดหรือศาลย้อนกลับได้ มูลค่าสูงสามารถโอนย้ายได้ทันที และการรายงานเหตุการณ์บางครั้งก็เท่ากับการวางตัวเองในเป้าของหน่วยงานภาษี
การเอาชื่อออกจากทะเบียนสาธารณะแสดงให้เห็นว่าหน่วยงานรับรู้แล้วว่าความเสี่ยงทางกายภาพที่เกี่ยวข้องกับคริปโตแตกต่างจากการเงินแบบดั้งเดิม ธนาคารสามารถอายัดบัญชี, ตัวกลางสามารถย้อนธุรกรรมได้ แต่ธุรกรรมคริปโตไม่สามารถทำได้
ความสมบูรณ์แบบนี้เป็นตัวเปลี่ยนภาพภัยคุกคามจากความปลอดภัยทางเทคนิคเป็นความปลอดภัยด้านตัวตน เมื่อปัญหาด้านตัวตนได้รับการแก้ไข การบังคับก็ง่ายขึ้น
การตอบสนองของฝรั่งเศสต่อคลื่นการโจมตีคริปโตคือการปกปิดที่อยู่ตั้งแต่ปี 2025 แต่ข้อเสนอให้ประกาศทรัพย์สินในปี 2026 กลับสร้างความเสี่ยงใหม่ หากข้อมูลตัวตนเป็นทรัพยากรที่ขาดแคลน ก็สามารถคาดการณ์แนวโน้มได้สามแนวทาง: ขยายความปลอดภัยของทะเบียน, เข้มงวดการควบคุมในระบบของรัฐ, และดำเนินการขายสิทธิ์เข้าถึงภายในต่อไป เพราะแรงจูงใจทางเศรษฐกิจยังคงน่าดึงดูด
ความขัดแย้งอยู่ที่ยุโรปกำลังขยายความโปร่งใสของคริปโตผ่าน KYC บังคับ, รายงานกระเป๋า และติดตามธุรกรรม DeFi เพื่อป้องกันการฟอกเงินและหลีกเลี่ยงภาษี ข้อกำหนดเหล่านี้สร้างฐานข้อมูลแบบรวมศูนย์ที่เชื่อมโยงตัวตนกับทรัพย์สิน ยิ่งฐานข้อมูลสมบูรณ์เท่าไร ก็ยิ่งมีค่ามากขึ้นสำหรับผู้โจมตี
ร่างงบประมาณฝรั่งเศสปี 2026 เสนอภาษี 1% ต่อปีสำหรับทรัพย์สินคริปโตที่มีมูลค่าเกิน 2 ล้านยูโร ซึ่งต้องประกาศทั้งทรัพย์สินที่เก็บเองและในต่างประเทศ ซึ่งโดยไม่ตั้งใจสร้าง “honeypot”: รายชื่อที่รัฐจัดการเกี่ยวกับบุคคลที่ถือคริปโตมูลค่าสูง พร้อมที่อยู่
ชุมชนเทคนิคมักมองว่าความปลอดภัยของคริปโตคือการจัดการคีย์ และนั่นก็ถูกต้องสำหรับการโจมตีบนเชน แต่คดีบูบิกนิแสดงให้เห็นว่าการจัดการคีย์กลายเป็นไม่มีความหมายเมื่อการบังคับทางกายภาพถูกนำเข้าในโมเดลภัยคุกคาม กระเป๋าเก็บออฟไลน์ไม่สามารถป้องกันได้เมื่อผู้โจมตีรู้ที่อยู่บ้านและปรากฏตัวพร้อมอาวุธ ช่องโหว่อยู่ในระดับตัวตน ไม่ใช่ระดับบล็อกเชน
คดีนี้เปิดเผยโครงสร้างตลาดทุนที่ดำเนินการอย่างเงียบ ๆ เป้าหมายไม่รู้ว่าถูกค้นข้อมูล จนกว่าผู้โจมตีจะมาถึงประตู
