對200多萬枚BTC進行大規模粉塵攻擊：神秘“所羅門兄弟”要干什么？

2025年10月10日 20:58

作者：ZackPokorny，GalaxyDigital助理研究員；翻譯：金色財經xiaozou

某神秘高能操作者通過3738個發送地址向39423個接收地址發送了41523條OP_RETURN消息，這些地址共持有230萬枚Bitcoin。此人究竟意欲何為？1、引言

今年夏天，某未知操作者對數千個Bitcoin錢包實施了"粉塵攻擊"——向這些錢包發送微量Bitcoin，并在OP_RETURN字段中嵌入神秘信息。OP_RETURN功能類似于支票的備注欄，但有個關鍵區別：不僅是收款人，任何人都能在Blockchain上查看其內容。

這些信息通常包含用全大寫字母標明的警告（如"法律通知"），以及所羅門兄弟公司網站上的某個頁面鏈接。此處所指并非上世紀80年代 LewisRanieri 開創抵押貸款證券化的華爾街傳奇投行（該機構現已并入花旗集團），而是一家藉藉無名的同名機構。網頁通知收到信息的用戶其錢包"似乎處于遺失或廢棄狀態"，并宣稱某位未具名的所羅門客戶已（通過某種方式）對錢包取得了"推定占有權"�？的螤柗▽W院法律信息研究所將推定占有定義為"對不在當事人直接物理控制下的物品的合法占有……例如，持有保險箱鑰匙的人可能對箱內物品擁有推定占有權"。

錢包所有者被給予90天的響應期，要么通過鏈上轉移Tokens證明持有私鑰，要么向所羅門兄弟公司發送所有權證明文件。所羅門兄弟公司警告，未在截止日期前采取行動者可能面臨喪失錢包的"合法權利"。

盡管這些信息被公開發布在鏈上供所有人查看，但直到七月初才引起廣泛關注。當時，一個屬于早期持有者的長期休眠錢包在收到其中一條信息后不久，轉移了80,000枚Bitcoin。隨后，這場粉塵攻擊成為了爭論和猜測的焦點。

是某個黑客組織以某種方式獲取了用戶的私鑰，開始為他們的攻擊行為尋找正當理由嗎？更糟糕的是，是否有人發現了Bitcoin協議中存在量子漏洞？沒有人知道該如何理解這一切。

為厘清這一迷霧重重的事件，GalaxyResearch對所羅門客戶在整個夏季發送的數千筆交易進行了詳細分析。正如本報告將揭示的，攻擊的大部分目標是P2PKH（"支付給公鑰哈希"腳本）地址，這類地址被認為比其他地址類型更不易受量子攻擊。所羅門兄弟公司方面則聲稱其客戶"并非黑客，也非網絡釣魚"。因此，我們不相信這些信息預示著Bitcoin存在漏洞或私鑰已被盜。

盡管所羅門客戶的意圖仍然難以捉摸，但我們的分析表明，這場活動雖然在某些方面顯得粗糙，卻是通過一個復雜的鏈上交易迷宮來執行的。鑒于這次OP_RETURN活動的規模、信息內容及其鏈接的通知，一個合理的解釋是：幕后操縱者可能試圖在截止日期過后，依據某些司法管轄區的無主財產法，對未作出回應的錢包提出法律主張。然而，即使他獲得了有利的法院裁決，所羅門的客戶在無法獲取私鑰的情況下將如何接管這些據稱被遺棄的錢包，目前仍不清楚。2、主要發現范圍與結構：

共計通過3,738個發送地址向39,423個接收地址發送了41,523條OP_RETURN消息。

接收消息的地址在信息發送時點合計持有2,334,482.52枚Bitcoin。

該活動分為兩個階段：初期測試消息（6月30日）未包含鏈接或提及所羅門兄弟公司，后續階段（7月至8月）則分批發送含有所羅門網站鏈接的消息。目標畫像：

絕大多數目標地址（占所有接收消息地址的98.82%）為傳統P2PKH地址。

接收通知地址的平均調整后休眠期（即未活躍時長）為2,171天（約5.95年）。

98.1%的被告知地址在遭受粉塵攻擊前，自首次接收Tokens后從未進行過轉賬。執行過程：

首條與所羅門相關的消息包含錯誤網址；發送方數日后追加發送了修正版本。

存在明顯的"測試→批量發送→監控→調整"循環模式：每輪主要消息發送前均先進行測試交易；各批次活動中接收錢包的共同特征及發送消息數量均有所調整。法律追索可能性：

該攻擊采用的方法（例如針對休眠超過特定期限的地址、設置回應寬限期）與美國部分州的無主財產認領法律要求相符。

盡管所羅門客戶對棄置財產潛在主張的法律可行性及適用范圍存疑，但不應將此次粉塵攻擊簡單視為純粹的行為學實驗。3、所羅門兄弟公司是何方神圣？

原始意義上的所羅門兄弟公司是由亞瑟·所羅門、赫伯特·所羅門和珀西·所羅門于1910年創立的投資銀行。這家最初采用私人合伙制的機構，在1981年通過與菲博公司進行反向并購實現上市。在其全盛時期作為美國國債交易巨頭的所羅門兄弟，最為人熟知的當屬邁克爾·劉易斯在“Liar'sPoker”一書中描繪的狂妄形象。

1997年，桑迪·威爾領導的旅行家集團收購了當時主要服務于機構客戶的所羅門兄弟公司，并將其與旅行家旗下的零售經紀業務合并，成立所羅門美邦。次年，旅行家集團與花旗公司合并成立花旗集團，成為現代"金融超市"的雛形。2003年4月，花旗集團停用所羅門美邦名稱，將投行業務重組為花旗全球市場。

2022年，包括R·亞當·史密斯在內的一批自稱所羅門兄弟老員工的人士，在購得該名稱商標權數年后，著手重啟這家投資銀行。而今年7月至8月期間在Bitcoin網絡發送OP_RETURN信息的客戶，似乎正是這家重生的所羅門兄弟公司。

所羅門兄弟公司官網披露的企業信息及團隊資料極為有限。然而通過結合使用網站時光機、網絡爬蟲技術及工商注冊目錄查詢，并追蹤網站上有限的線索痕跡，我們發現了僅從登陸頁面無法獲取的更多細節。這些發現包括對公司實體、其網絡足跡以及已發布信息通知的深入解析。

該公司是在紐約注冊的法人實體，于2020年6月5日提交申請，目前在紐約州政府登記為存續狀態。公司主辦公地址位于曼哈頓第三大道733號16層（該樓層提供虛擬辦公室租賃服務）。C·丹尼爾斯（全名克里斯托弗·"奇普"·丹尼爾斯）被確認為首席執行官。在其領英主頁上，奇普·丹尼爾斯身份標注為StateStox的執行董事長，而StateStox似乎與所羅門兄弟公司存在關聯關系。值得注意的是，StateStox網站與所羅門兄弟官網采用相似設計風格，且頁面底部均顯示相同的第三大道地址。公開記錄顯示兩家公司曾共同參與一筆交易——所羅門兄弟作為獨家承銷商協助名為Ownet的公司上市。根據其領英資料，丹尼爾斯同時擔任Ownet的董事職務。4、所羅門兄弟公司的網站與社交媒體

所羅門兄弟公司通過官方網站、領英賬號及X平臺賬號進行線上宣傳和活動。公司官網

該網站注冊于2023年1月6日，包含公司服務介紹、發展歷程及諸多細節。值得注意的是，網站部分內容將公司稱為"SalomonEncore"，該名稱僅出現在網站小字說明中，并未出現于鏈上通知。公司宣稱其服務范圍涵蓋投行/并購、資管/咨詢、房地產融資及研究等多個領域。除研究按鈕將跳轉回官網首頁外，其他分類均導向新網頁。網站存在多處失效按鈕及過期鏈接：例如主頁"所羅門姐妹"按鈕宣稱提供"針對女性企業家與投資者的專項服務"，但詳情按鈕仍跳回主站；過橋融資詳情鏈接則導向域名注冊商GoDaddy的頁面。

投行/并購頁面的交易案例按鈕初看像是公司過往業績（包括融資與并購項目），但所列交易均發生于數十年前，遠早于該公司獲得所羅門商標的時間。例如1997年HomeShoppingNetwork收購TicketmasterGroup股權、1999年FredMeyer與QualityFoodCenters合并、1997年NorthropGrumman收購Logicon等并購案例；1964年及1996年Loehmann's兩次上市、1996年Abercrombie&Fitch上市等融資案例。網站明確聲明："這些并非SalomonEncore及其關聯方完成的交易"，而是"SalomonEncore相關人員曾參與或在前任職機構發生的交易"。網站另一頁面注明："本網站對所羅門兄弟的引用均為歷史指涉，除非另有說明。"

除協助Ownet上市外，當代所羅門兄弟公司未披露其他參與交易。其領英賬號曾發布投資邀約帖文，但具體參與程度及成交情況不明。公司社交媒體賬號動態

該公司的X（原Twitter）賬號自2023年圣誕節后便未再更新，主要曾發布研究報告和節日祝福。其簡介自稱"應大眾需求回歸"，并稱所羅門兄弟公司成立于1910年，于2022年重新運營。賬號中曾提及Ownet——一個社交媒體網絡，其母公司就首次公開募股事宜與所羅門兄弟公司進行過合作。

領英賬號同樣更新稀少，但簡介中包含“salomonencore”的跳轉鏈接，該網址會重定向至前文所述的主站“salomonbros”。該賬號曾發布關于向Bitcoin地址發送OP_RETURN消息的更新，內容鏈接至公司發布的官方新聞稿。5、所羅門兄弟公司對OP_RETURN消息作何說明？

所羅門兄弟公司就向超過39,400個Bitcoin地址發送消息之事發布了兩份公開聲明。其一為8月7日發布的新聞稿（最終消息發送近一周后），其二發布于所羅門兄弟公司官網。其首頁以全大寫標題"所羅門客戶接管廢棄錢包"進行電視新聞跑馬燈式滾動展示，點擊后將跳轉至《關于錢包通知的聲明》，該聲明涉及七八月間廣受關注的OP_RETURN消息。

聲明稱公司代表某客戶，該客戶識別出一批疑似廢棄且易遭攻擊的數字錢包，并強調消息非由公司直接發送（客戶身份未公開）。通知著重表明該客戶并非試圖"對加密市場造成不利影響"，而是"自費"采取行動以"降低廢棄錢包帶來的風險"。要求仍掌控私鑰的用戶通過發起小額交易證明所有權，而失去訪問權限者則可通過指定表單聯系客戶。頁面同時聲明"客戶對非真正廢棄的錢包不主張任何權益"。此外，所羅門兄弟公司宣布客戶已設立"無密鑰錢包恢復基金"，旨在向能證明對不可訪問錢包擁有合法所有權的用戶返還資產，該基金將由所羅門兄弟公司管理，具體細則于數月內公布。

此并非網站首次發布關于鏈上消息的公告。自7月9日（首條消息發送一周后）至8月5日期間，同一鏈接曾指向另一份可通過互聯網檔案館回溯獲取的公告。該公告語氣更非正式，采用FAQ格式而*非*法律聲明形式，通過定性方式界定廢棄錢包，闡述其風險及客戶目標（與現版公告一致）。值得關注的是，該早期公告回應了媒體對其客戶所發鏈上消息的推測："我們遺憾于迄今報道均未采納所羅門兄弟提供的信息。部分毫無證據的報道稱客戶系'黑客'（暗示惡意目的）或進行針對特定錢包的網絡釣魚——此類指控均屬不實。"

8月7日新聞稿從廢棄錢包風險及用戶證明所有權方式等角度，基本重述了網站公告內容。關鍵細節在于"為錢包所有者提供至少90天響應期"的表述。雖然多數錢包自接收消息后至少有90天響應期，但根據鏈上交易時間戳，有3,203個地址獲得的通知期不超過88.4天。鏈分析章節將詳細說明此細節——若客戶確計劃在通知期滿后采取法律行動，此時間差將至關重要。通過OP_RETURN消息分發的鏈接內容

所羅門兄弟公司客戶通過OP_RETURN消息分發了兩類功能不同的鏈接，兩個鏈接均無法通過公司網站首頁直接訪問。

兩個頁面均聲明所羅門兄弟公司客戶已向一系列疑似"廢棄"的Bitcoin錢包地址發送通知，建議錢包所有者聯系所羅門兄弟公司和/或通過簽名交易進行密碼學所有權驗證。通知警告若地址所有者未在指定截止日前回應，其地址將被視為廢棄狀態，客戶可能采取包括通過"推定占有"主張相關幣種所有權在內的救濟措施。需重點關注的是，兩份通知雖名稱不同（分別標注為"法律通知"與"所有者通知"）且截止日各異（所有者通知截止日為10月10日，法律通知截止日為11月5日），但內容措辭完全一致。此次行動使用多鏈接及不同通知標題，很可能是為跟蹤消息接收者90天響應窗口（因通知發送時間跨度達一個月）。

通知頁面底部設有聯系表單，聲稱擁有"所有權有效聲明的詳細說明及證明文件"的用戶可通過該表單直接聯系所羅門兄弟公司，并注明個人或其代表可使用此表單保持匿名性。值得注意的是，表單要求提交者填寫地理位置信息（國家、州及郵政編碼或省份），這些字段旁均標有星號，表明屬于必填項。6、OP_RETURN是什么？

OP_RETURN是Bitcoin腳本的操作碼（即指令），允許用戶在交易中嵌入最多80字節的任意數據。雖然與OP_RETURN輸出相關聯的資金無法被花費（因此不會加入"未花費交易輸出集"），但數據載荷會被永久記錄在Blockchain上并向全網廣播。這使得OP_RETURN成為Bitcoin網絡上的"公共公告板"。其用途涵蓋同質化Tokens協議（如Runes）、時間戳乃至垃圾信息等多種場景。由于OP_RETURN兼具低成本與永久性特征，常被用于地址間的鏈上消息傳遞。7、所羅門客戶粉塵攻擊范圍

該客戶活動分為兩個階段：首批消息未提及所羅門兄弟公司，后續消息則包含該公司網站鏈接。鏈數據強烈表明兩者發送主體為同一實體。首批消息可視作第二階段的測試運行，而第二階段范圍更廣且實施更徹底。社交媒體討論多集中于第二批消息（特別是"致所有者通知……"），該消息被七月中旬清倉Bitcoin的遠古巨鯨接收。當時少有觀察者注意到早期無鏈接消息及后續指向所羅門網站的消息。背景信息的缺失可能是導致廣泛恐慌性解讀（如"Bitcoin被量子計算攻破"）的主要原因。

消息內容及其部分細節如下表所示。

（2）重要地址的資金籌備與測試——4月7日至6月24日

這兩階段攻擊的最早蹤跡可追溯至4月7日，當時一筆資金交易抵達Bitcoin地址bc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99。如下列分析所示，該地址成為非所羅門活動與所羅門活動的核心樞紐：它既作為粉塵地址的最早資金源，本身也充當粉塵發送地址，更是多數粉塵地址在發送OP_RETURN消息后歸集剩余余額的目標地址。在全面行動開始前，該地址曾于6月24日被用于發送包含如下消息的交易："此為80字節OP_RETURN測試消息，必須精確無誤"。次日，該地址進一步接收了兩條OP_RETURN消息"MESSAGE_1"與"MESSAGE_2"。這些消息共同表明粉塵攻擊實體正在測試Bitcoin的OP_RETURN功能，為大規�；顒幼鰷蕚�。

首筆測試交易揭示出關鍵地址bc1qgh3jg9pqrjyawwernal2u7kuhezrxelgp72z0t——該地址通過bc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99測試資金作為人工分配的找零地址獲得資金。bc1qgh3jg9pqrjyawwernal2u7kuhezrxelgp72z0t隨后成為bc1qfefxhstqphwx6rkkxwlup9uufahx0enwm2x5ad的資金源地址（該地址參與非所羅門活動并為bc1qgj33ldeqdqp63h9awv6vk8gdg5692y3w2s86lh提供資金——后者是另一個為粉塵地址提供資金并連接兩次活動的重要地址），同時還為發送非所羅門消息的另外180個地址提供資金。因此，bc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99扮演了網關角色：既為非所羅門活動中的地址提供資金，又作為所羅門關聯活動中的直接資金源地址。（3）無鏈接或所羅門關聯的消息——6月30日

緊隨這些測試交易之后，首輪大規模粉塵活動的groundwork通過兩則通知顯現：1)"未廢棄？請于9月30日前通過私鑰發起鏈上交易證明"；2)"法律通知：我們已接管該錢包及其內容"。這些消息于6月25日出現，在相同四個地址的隨機組合間流轉，完整活動則于6月30日Bitcoin網絡區塊903447至903448間展開。在6月25日的初始交易中，bc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99扮演核心角色：1）向自身發送"未廢棄？"消息；2）向bc1qkq47hh2xv0ehvh44ec9z6pvy2856m5w66a3gw8（其于前日提供資金）發送"法律通知"消息；3）從同一地址接收相同"法律通知"消息。6月30日的活動隨后擴展至另外90個地址（覆蓋兩類消息），其中87個地址后續還會接收所羅門兄弟關聯通訊。接收這些消息的地址組中包含遠古巨鯨——其參與此事引發對本次活動的廣泛關注。換言之，與該巨鯨關聯的地址早在6月30日就收到了兩類非所羅門兄弟消息的粉塵攻擊。（4）首條所羅門關聯消息發送——7月2日

7月2日，粉塵攻擊實體在6月30日活動后首次發送所羅門兄弟公司關聯消息："致所有者通知……"。這標志著當月三種主要所羅門消息類型的首次出現。與此前非所羅門活動類似，bc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99出現在測試交易中（該交易位于區塊高度903659，距主活動僅15個區塊）。關鍵在于，此次測試源自bc1qgj33ldeqdqp63h9awv6vk8gdg5692y3w2s86lh地址，該地址具有雙重特征：1）曾用于6月30日"廢棄"消息發送；2）由參與6月30日粉塵活動的地址提供資金。此外，bc1qgj33ldeqdqp63h9awv6vk8gdg5692y3w2s86lh與bc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99為多個發送所羅門關聯消息的地址提供資金。這種重疊強烈表明兩次活動存在直接關聯。

重復使用早期消息階段的地址，以及通過非所羅門活動涉及的地址為所羅門兄弟操作提供測試資金，可能屬于操作疏漏。這些行為留下了確鑿證據，表明非所羅門消息與所羅門兄弟關聯消息實為同一主體實施的協調性連續行動。

更重要的是，消息中提供的鏈接因包含下劃線而非連字符（粉塵實體可能在插入連字符時誤觸shift鍵）導致失效。任何嘗試訪問該網頁者都會收到404錯誤及"文件未找到"提示。此外，有20個地址（排除可能由粉塵實體控制的地址）在接收錯誤鏈接時持有共計106,602.06BTC余額，這些地址要么從未接收更正后消息，要么在更正通知發送前已轉出Tokens。這一區別至關重要：若粉塵實體試圖對所謂廢棄地址主張法律權利，則此特定地址群可能未獲合法通知。該地址組包括清倉80,000枚BTC的遠古巨鯨——這意味著即使巨鯨看到消息，也根本不存在可訪問的網頁。（5）糾正錯誤——7月9日至7月14日

7月4日巨鯨轉移Tokens的行為引發廣泛關注，部分觀點認為Bitcoin存在漏洞或至少P2PKH地址類型存在風險。當巨鯨于月中開始拋售Tokens時，相關討論持續發酵。約在此期間（7月9日），粉塵攻擊實體開始大規模發送包含修正后網址的消息。該特定網址的發送活動分為兩波主要階段：第一波在7月9日，第二波在7月13日至14日——每波消息均包含更新后的鏈接但措辭略有不同。

與前三批消息類似，在7月8日（即首波修正消息發送前數小時）出現兩筆明顯測試交易：第一筆測試僅包含更新鏈接無附加文字，第二筆測試則包含完整更新消息（注明修正后網址）。兩筆測試分別在不同區塊發送，第一筆距修正通知活動主體啟動提前73個區塊，第二筆提前27個區塊。

值得關注的是，僅接收更新網址的測試交易具有雙重特征：1）由包含舊版錯誤鏈接消息的交易中人工更新的找零輸出提供資金；2）本身包含人工插入的找零輸出至地址bc1q2dskr0y97vzlpvkhr44tagdh906w48y6mu29mf（該地址后續通過可能含有德文拼寫錯誤的OP_RETURN消息將余額清零，消息譯為"感謝您孕育了我。現在您將獲得真金回報"）。資金交易發生于7月8日，即"網頁更正"消息活動結束五天后（舊鏈接最后發送于7月3日，而測試接收于7月8日）。該交易同時包含接收地址bc1qmak4853pysqmqlvmdcs3hwpz928dqqc5v6gnzw，該地址隨后成為僅含鏈接測試交易的接收方。此地址還在7月8日接收了內容為"此錢包將于2025年10月刪除"的異常OP_RETURN消息，進一步表明其是粉塵攻擊實體的實驗地址。值得注意的是，該地址最初于2023年11月28日獲得0.81162432BTC資金，其中大部分資金直至7月30日（在接收所羅門兄弟粉塵發送者多條消息后）才被全部轉出。

在接收錯誤鏈接的1,940個地址中，大多數（1,919個）也收到了更正后的通知（另有285個地址雖未接收原始錯誤鏈接卻收到更正通知，這可能是粉塵攻擊實體的操作失誤）。值得注意的是，那些接收了失效所有者通知鏈接但在更正通知發出前已轉出Tokens的地址，并未收到更正鏈接通知；這表明粉塵攻擊實體正在監控其發送原始通知的地址，并確保不重復傳遞消息（此舉可能出于故意，或因其對目標地址應用的過濾器排除了空白或近期活躍地址）。

帶有更新鏈接的第二輪粉塵攻擊于7月13日啟動，使用消息格式為："致所有者通知……"。此輪攻擊同樣存在明顯測試交易：早在活動主體開展前兩天（7月11日），由bc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99地址發送了該消息。此消息共發送至3,204個地址，這些地址均未接收過原始錯誤鏈接或"網頁更正"消息。除測試交易接收者外，該組所有地址基于鏈接關聯的截止日期（2025年10月10日）均未獲得完整90天通知期：7月13日接收粉塵的地址僅獲約88.4天通知期，7月14日接收者僅獲約87.5天通知期（自OP_RETURN交易鏈上確認起算）。此細節至關重要，因為消息附帶的書面通知聲稱給予接收者至少90天響應時間。這些地址在接收通知時合計持有251,606.5217BTC。值得注意的是，接收此消息的地址中有107個除接收行為外無任何其他活動痕跡——這些地址可能是為通過增加接收消息地址數量虛張活動規模，制造存在大量脆弱地址的假象。

巨鯨轉移Tokens的行為直至7月25日仍是新聞頭條，該時間線與7月23日發送的第三類（即最終版）所羅門兄弟消息重合。該消息內容為："致錢包所有者法律通知：請訪問網頁……"。與此前模式一致，在活動主體開展前22個區塊出現明顯測試交易。值得注意的是，接收該消息的33,987個地址均未接收過6月或7月前期發送的任何消息。此消息以接收者數量計規模最大，分兩個獨立批次發送：第一批在7月23日至24日間，第二批在7月28日至8月4日間。其中7月23日至24日發送6,000條消息；7月29日至8月1日發送27,987條；8月4日發送單條消息。

"法律通知"消息與之前所有消息的關鍵差異包括：目標地址數量龐大、活動持續時間長、目標地址平均余額小。該消息在13天內發送至33,987個地址，其持續時間比次長活動長2.17倍，接收者數量比次大規模多6.28倍。此外，此類消息目標地址的平均余額（1.37BTC）顯著小于其他類型："所有者-通知"類地址平均余額400.52BTC，"所有者-通知"類980.52BTC，"廢棄"與"接管"類消息目標地址均達8,400BTC。

有趣的是，接收此最終通知的地址中有4,990個除接收該OP_RETURN消息外無任何交易歷史。此現象在"所有者-通知"消息中同樣存在，可能是為虛增活動規模而刻意為之。（6）收尾階段

當粉塵攻擊實體逐步終止各項消息活動時，其將剩余資金批量回籠至自身地址以清空用于發送特定OP_RETURN消息集的地址。某些情況下，清空某一消息活動地址的交易同時成為新地址發送新消息的資金源。想必該實體增加所有這些跳轉環節為的是掩蓋與先前消息的關聯，確保被粉塵攻擊的地址所有者無法通過區塊瀏覽器輕松識別不同消息集之間的關聯。支撐這一解讀的事實是：在3,738個用于發送消息的地址中，有3,734個地址僅傳遞過一類消息類型，而參與多類消息類型的四個地址均出現在明顯測試交易中。

地址bc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99在多類場景中充當中介角色，用于在相鄰消息活動的地址間循環資金。此外，地址bc1qgj33ldeqdqp63h9awv6vk8gdg5692y3w2s86lh作為網關地址，將非所羅門活動的剩余資金重新部署至首批所羅門關聯消息。在地址使用完全終結時，通過清零操作回收的剩余BTC被發送至與OP_RETURN消息無關聯的新地址。部分交易規模龐大且成本高昂，單筆交易需占用高達68.2kvb（千虛擬字節）數據量并支付最高1,300美元手續費。（7）線索關聯

兩個特定地址強烈表明：所羅門關聯活動背后的實體很可能也是早期非所羅門活動的操縱者——bc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99與bc1qgj33ldeqdqp63h9awv6vk8gdg5692y3w2s86lh。正如最早測試消息所預示的，那些開創初始實驗的相同地址，作為連接非所羅門與所羅門活動的關鍵橋梁再次出現。

兩次活動間的隱秘關聯源自這兩個地址具有以下三重特征：1）在所羅門品牌活動中明顯相互進行測試性粉塵攻擊；2）各自至少發送過一筆包含非所羅門消息的交易；3）共同為所羅門關聯活動中使用的地址提供資金。此外，bc1qgj33ldeqdqp63h9awv6vk8gdg5692y3w2s86lh由bc1qfefxhstqphwx6rkkxwlup9uufahx0enwm2x5ad 提供資金（該地址曾用于測試6月30日消息集），而后者又由bc1qgh3jg9pqrjyawwernal2u7kuhezrxelgp72z0t提供資金（該地址本身作為找零輸出由bc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99資助）。

下圖是通過單跳網絡分析創建的圖譜可視化。該分析映射了與種子地址（標注為"焦點地址"）直接連接的所有地址，數據來源同時包含所羅門兄弟關聯的資金流、消息流以及非所羅門消息流。圖中節點與邊的排列采用Kamada-Kawai布局算法確定，該算法通過優化間距將連接更緊密的節點彼此靠近，最大限度減少線條交叉以增強可讀性——但在密集區域可能導致節點重疊，造成視覺上的計數困難。

包含兩種關系類型：

黑色資金流向（線）：代表地址間資金供給交易（例如地址X向地址Y提供資金）。

橙青雙色粉塵攻擊（線）：代表粉塵消息傳遞（例如地址A對地址B實施粉塵攻擊）。顏色區分活動類型：青色為所羅門關聯活動，橙色為非所羅門活動。

此外，地址對自身實施粉塵攻擊的自循環關系在分析中予以保留，并以返回同一節點的弧形線表示（如圖中某一焦點地址所示）。

可視化圖譜顯示：兩個種子地址通過所羅門兄弟關聯消息活動直接相連，且各自均對非所羅門活動中的地址實施過粉塵攻擊。兩者還曾為后續用于所羅門兄弟活動的地址提供資金，形成資金流動與粉塵攻擊的重疊。特別值得注意的是，bc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99在初始消息中曾對自身實施粉塵攻擊，這在圖表中部表現為自循環結構。

此圖表明：目標地址位于資金集群的核心位置，直接或間接觸及所羅門兄弟活動中大多數粉塵攻擊地址。它們還作為其他地址的資金共同參與者（這些地址充當二級樞紐），各自輻射出獨立的資金接收者集群（通過圍繞核心集群建立的輪輻結構凸顯）。這種模式強調目標地址不僅是核心參與者本身，更與其他具有影響力的資金提供者緊密相連，從而強化了它們在所羅門兄弟消息資金網絡中的關鍵作用。

（8）粉塵攻擊影響總體分析

該粉塵攻擊實體共計向39,418個我們認定非其控制的獨立地址發送消息，這些地址合計持有最多2,334,482.52BTC。

由于攻擊者向部分地址發送了多條消息，本統計采用每個獨立地址在接收任一條消息時的最大余額進行疊加計算。所有我們認定屬于粉塵攻擊實體自身的地址均已被排除在此分析之外。

粉塵攻擊活動的目的之一是觀測用戶是否會因此轉移Tokens。那么攻擊實體成功促使用戶采取行動的效果如何？以下分析數據截至9月29日美國東部時間上午8:30。

6月30日發送的"廢棄"與"接管"消息：

這兩類消息協同發送至94個獨立地址，其中4個我們認定為攻擊實體發送的測試交易。在本次活動與首輪所羅門消息發送期間，疑似非攻擊者所屬的地址均未發生Tokens轉移，表明6月30日消息的成功率為0%。這些消息發送時目標錢包總持有量為789,565BTC。

所羅門兄弟消息分析：

所羅門關聯消息的分析稍顯復雜，因其存在三種消息類別且在某些情況下向相同地址的不同組合發送。以下數據分析了在考慮消息類型與粉塵地址獨特組合的前提下，所羅門攻擊的成功率。

7月2日發送的錯誤鏈接

首條帶有錯誤鏈接的所羅門品牌消息于7月2日發送至1,939個獨立地址（排除可能由粉塵攻擊實體控制的地址），這些地址名義持有量為1,902,210.5BTC。其中10個地址在7月8日更正通知發送前轉出了86,161.15BTC。這批轉出地址包括控制其中8個地址及80,009.44BTC轉移資金的遠古巨鯨。按地址數量計算該消息成功率為0.52%，按粉塵BTC價值計算為4.53%。該統計假設錢包所有者看到消息后采取行動，但后續分析表明至少部分轉移行為可能存在偶然性。

7月9日與7月13日發送的更正鏈接消息

更正鏈接通過兩批獨立消息發送：一批標注為更正消息，發送至先前接收錯誤鏈接的地址（及部分未接收過的地址）；另一批發送至全新地址組。必須區分這兩類消息以評估此類消息的具體成功率。

在接收更正通知后，共有109個地址（不含已知粉塵攻擊地址）轉出55,161.62BTC。具體細分如下：

共有32個地址轉出42,510.35BTC，這些地址既接收了更正通知又接收過原始所羅門通知，但此前未采取行動。這批地址合計持有1,795,607.63BTC（涉及1,918個地址），其成功率按地址數量計為1.67%，按持有BTC價值計為2.37%。其中一地址在接收更正通知后僅轉出微量BTC，當前仍持有1,105.13BTC；另一地址則保留0.1BTC。

共有8個地址轉出2,714.12BTC，這些地址僅接收更正通知而未接收過原始通知。這批地址合計持有118,489.25BTC（涉及284個地址），其成功率按地址數量計為2.82%，按持有BTC價值計為2.29%。其中一地址在接收消息后僅轉出少量BTC，當前仍持有424.59BTC。

共有69個地址轉出9,937.13BTC，這些地址作為全新通知對象接收了更正鏈接。這批地址合計持有251,606.54BTC（涉及3,203個地址），其成功率按地址數量計為2.15%，按持有BTC價值計為3.95%。然而這些地址未獲得通知承諾的完整90天寬限期（消息接收時間為7月13日至14日，截止期為10月10日）。錯誤的通知時限可能使這些Tokens免于任何法律追索。

總體而言，本次更正鏈接消息的成功率按地址數量計為2.02%，按BTC價值計為2.55%。

7月23日至8月4日發送的"法律通知"消息

評估"法律通知"消息的成功率較為直接，因為其粉塵攻擊的地址組未接收過任何先前所羅門或非所羅門消息。在33,986個地址中，共有3個地址轉出了114.99BTC（該組地址總持有量為46,693.66BTC）。按地址數量計算成功率為0.009%，按BTC價值計算為0.25%。此組中唯一轉移Tokens的地址均將余額清零。

總體影響：

粉塵攻擊活動結束后，共有122個地址累計轉出141,437.76BTC。假設受粉塵攻擊地址總價值為2,334,482.52BTC，則按BTC余額計算有6.06%發生轉移，按地址數量計算有0.31%發生Tokens轉移。排除轉出Tokens但保留非零余額的地址后，仍有價值2,188,604.9BTC的粉塵攻擊余額（相當于流通供應量的10.98%，最大供應量的10.42%）未發生轉移，因而可能面臨這些消息所引發的法律后續行動。注：這些數值僅統計鏈上Tokens移動，不包括可能通過通知鏈接表單聯系所羅門兄弟公司的錢包。

若進一步排除未獲得完整90天寬限期的地址、僅接收初始錯誤通知的地址以及休眠時間不足三年的地址（在廢棄財產與無人認領財產法律背景下重要期限），則約有1,920,124.4BTC可能面臨通知的潛在法律追索。這相當于流通供應量的9.64%，最大供應量（2100萬枚）的9.14%。

接收消息后的Tokens轉移可能純屬巧合：

有證據表明部分地址在遭受粉塵攻擊后轉移Tokens的行為純屬巧合，其所有者可能從未看到消息。典型例證是地址16P6cMXdmiiZR5d4L5aa793HwWZ5MomMKu：其在接收所羅門消息前80分鐘轉移了1,219.99BTC儲備。這表明粉塵攻擊實體可能提前編譯地址批次，而后才發送消息——在此期間該特定地址已轉移Tokens。過去數月鏈上巨鯨活動整體活躍的大背景，進一步支撐了這些Tokens轉移純屬巧合的解讀。9、所羅門客戶的真實目標是什么？

根據所羅門兄弟公司網站的聲明，其客戶正在實施利他主義行動。該公司表示"我們的客戶不會故意采取任何對加密市場產生不利影響的行動"，且其"對非實際廢棄的錢包不主張任何權益"。所羅門宣稱該客戶還意圖創建"無密鑰錢包恢復基金，幫助那些丟失錢包訪問權限但能證明合法所有權的人"。

有可能所羅門客戶僅試圖將廢棄Tokens移交政府監管，以保護網絡免受敵對實體侵害（保護網絡是其多次通訊中明確闡述的目標）。然而此舉本身并不能化解此類風險：若現有加密保護被攻破，國有化錢包與私人錢包同樣脆弱；若政府出售這些Tokens，它們可能回流市場并最終落入客戶聲稱試圖防范的托管安排中。但客戶可能認為，一旦Tokens處于政府監管下，即使惡意實體有能力攻擊，其意愿也會降低。

但另一種更悲觀的解讀同樣不能排除。考慮以下因素：

所羅門兄弟公司的公開聲明與鏈上通知內容存在矛盾。公司的公開聲明將客戶行為塑造為利他主義，強調本次活動旨在保護網絡及失去Tokens訪問權的持有者。但這些保證難以與通知本身措辭相協調——通知聲稱客戶已對接收地址取得"推定占有權"，并警告不作為可能導致"所有權利、所有權和權益的喪失"。所羅門傳遞了混合信號：在最易獲取的通訊中，客戶被描繪成仁慈的保護者；但在細則中，通知卻保留了對客戶可能無法訪問的Tokens主張所有權的權利（除非其擁有私鑰或量子計算機，兩者我們認為極不可能）。這種矛盾引發疑問：若真實目標是為保護網絡免受技術漏洞威脅，為何要主張個人占有？

目標地址的特征畫像。盡管所羅門暗示量子風險，其客戶卻繞過了最脆弱的地址類型（P2PK），反而重點針對已休眠近六年且從未轉出Tokens的P2PKH錢包——這明顯超過多個州數字資產廢棄財產法規中規定的三年休眠閾值（詳述如下）。

90天截止期限。這與無人認領財產法律中常見的60至120天通知窗口相呼應。

客戶的精密操作能力。如上所述，消息背后的操作者似乎對Bitcoin的技術架構與社會動態具有深刻理解（通知提及網絡的量子脆弱性，這是Bitcoin社區中長期存在的小眾話題）。技術能力與社會洞察力的結合，使客戶具備非凡能力：既能大規模鋪開鏈上行動（向近4萬個地址發送消息），又能通過利用社區恐懼與社會緊張情緒來構架消息內容。這使得本次活動更像是一場輿論塑造與休眠持有者施壓行動，而非公共服務公告。

行為測試模式�？蛻粑床捎脝我换ㄖl送方式，而是從小規模起步，隨著公眾關注度提升在一個月內持續擴大操作范圍。若意圖是警告Bitcoin用戶迫近的威脅，根本沒有理由分批滲漏式發送并逐步擴大覆蓋范圍——高效做法應是一次性發送所有通知，而非耗時整整一個月。

綜合這些因素，有人推測所羅門客戶意圖根據無人認領或遺失財產法律采取法律行動，以主張對所謂"廢棄"Tokens的所有權或強制要求國家托管——這種推測情有可原。

縱觀全局，美國財產法很少適用"誰撿到歸誰"的民間原則——Crypto領域更是如此。"拾得物"原則傳統上僅適用于有形動產，而非BTC這類無形資產。后者必須向政府申報。

各州無人認領財產法律雖存在差異，但普遍規定：當Crypto賬戶持續休眠達到法定期限后，"持有者"必須首先履行盡職調查以聯系"所有者"。法定盡職調查通知通常由持有者通過一級郵件（若經同意可包括電子郵件）在州政府規定窗口期內（一般為申報前60-120天）發送至所有者最后已知地址。若此舉失敗，持有者則依法須向州政府申報資產并隨后移交州監管。州政府隨后代表原始所有者充當資金保管人，而持有者則免除責任。這使得所有者或其繼承人可隨時向州政府提出申請以收回財產價值。

已將數字資產納入或正在納入廢棄財產法律的州數量，可能揭示所羅門客戶的行動路徑及其可能面臨的限制。

通過OP_RETURN交易發送電子廢棄通知（以替代無法獲取的街道地址或電子郵件）可能符合美國部分州級無人認領財產法律的精神。然而，某些定義及這些法律的適用性可能限制客戶的操作能力，包括：

何為"持有者"？這些法律一貫將"持有者"定義為有義務向"所有者"持有、交付或支付財產的企業、公司或其他法律實體。所有者被定義為對疑似廢棄財產擁有合法權利的人。在Crypto語境下，持有者類別可能包括CEX、托管錢包與金融科技應用、合格托管人與信托公司、以及支持Crypto的經紀商與投資平臺。此類實體可追蹤賬戶非活躍狀態、所有者信息（如姓名與家庭地址），履行盡職調查并將資金移交州政府。而對于自托管錢包，用戶是唯一可訪問資金者，這些解決方案的開發方無法追蹤使用者身份或代表所有者發送資金。因此不存在第三方可報告或轉移資產，若無法訪問對應私鑰則不可能移動這些資金——故"持有者"定義很可能不適用。這也從根本上不具可操作性：若持有者同時是所有者且其拒絕回應廢棄通知，但后續自行使用Tokens，則這些Tokens從未真正丟失或廢棄。

無人認領財產如何處理？當持有者通過盡職調查未能找到所有者時，必須將財產移交州政府。企業將財產移交州政府后，州政府作為托管人無限期代表所有者持有資金。州政府可能將股票或Crypto等資產變現為現金以便管理。原始所有者或其繼承人可隨時向州政府提出申請以收回財產價值。

一州的無人認領財產法律是否自動適用于他州？并非如此。司法管轄權遵循最高法院"德州訴新澤西案"優先規則：1）向所有者最后已知地址所在州申報；2）若地址未知或該州未規定該特定財產歸州所有，則向持有者注冊所在州移交。關鍵在于，僅當接收州法規涵蓋該財產類型時（有時通過"無形財產"兜底條款或要求變現為現金），持有者才可移交；若兩州均未涵蓋或法規明確排除，則無權進行財產歸公。更廣泛而言，BTC是全球性資產，而無人認領財產法規是地理限定法律的產物，不具備國際效力——這意味著其無法強制管轄范圍外的外國持有者或實體進行申報或轉移。

因此，所羅門客戶的操作能力可能受以下因素限制：

司法管轄優先規則（所有者最后已知地址優先，其次為持有者注冊地）：OP_RETURN"寬限期"很可能無法定效力，其本身難以強制要求資金移交。即使被通知地址的非活躍狀態已超過標準休眠期，若無法定"持有者"存在，這種非活躍狀態本身并不產生申報義務。若資產后續存入中心化托管機構，任何義務通常將基于托管方記錄從該時點起算——盡管某些州法規可能引發關于先前廢棄狀態與管轄權的事實爭議。

法定"持有者"是否存在（中心化托管機構）與自托管模式（通常無持有者）：雖然通知對自托管資產很可能無法定約束力，但其意圖可能是為未來權利主張創造事實前提。若被粉塵攻擊地址的Tokens后續存入中心化托管機構，所羅門客戶可能利用先前通知主張權利，從而使所有者與托管方陷入Tokens權屬的法律糾紛。

法規的地域效力范圍：由于BTC是全球性資產，而美國無人認領財產法律不具備國際或州際強制力，任何最大化覆蓋范圍的嘗試都需逐州逐國評估當地法規是否承認數字資產為可歸公財產，并僅在存在可行法律框架的地區主張權利。這一切的前提是：OP_RETURN通知被某些司法管轄區的特定無人認領財產法規認可為法律上有效的聯系或盡職調查形式，且Tokens可被代表所有者移動。這進一步假定持有者與所有者均位于這些管轄區內——若無此地域關聯，法規將無法適用。

自托管BTC的執法缺口：拋開法律問題，自托管Tokens在任何情況下均無法在無對應私鑰的情況下被移動。即使存在將自托管Tokens判定為可歸公財產的法律途徑，在無法獲取私鑰的情況下也無法強制執行資金移交。雖然法院無法強制轉移Bitcoin本身，但可對已知個人（若所有者身份可識別）發出移交私鑰的命令。但該救濟措施以存在可識別且可觸及的個人為前提；對于大多數長期休眠或匿名地址，不存在此類關聯，使得Tokens實際上超出任何法院命令的管轄范圍。與人行道上可被拾取并保管待領的皮夾不同，Bitcoin若無法獲取對應私鑰（或未來某日的量子計算機）則根本不能被"占有"。任何試圖繞過該框架、通過鏈上通知將廢棄錢包轉為私人所有的嘗試，在私鑰不可訪問的情況下都將缺乏先例且存在法律疑點。

然而，這種法律灰色地帶可能是客戶所認知的價值主張：通過粉塵攻擊建立鏈上通知記錄，他可能認為可以依據新出臺的法規嘗試啟動新型權利主張，從而奪取"廢棄"Tokens的所有權。

近期訴訟案例凸顯了此類理論的脆弱性。在BattleBorn投資公司訴司法部案中，美國最高法院駁回了對已查封Bitcoin錢包的投機性所有權主張，轉而尋求具體控制權證據——即進行交易或證明私鑰訪問能力的能力。以此類推，僅憑OP_RETURN通知不太可能確立所有權或剝奪所有者權益。此類通知至多相當于投機性主張，缺乏現有無人認領財產制度所需的法律強制力。但它們可能被設計用于誘導自我選擇，促使休眠持有者要么表明身份，要么將Tokens轉移至法定約束力更強的托管場所。

簡言之：通知不太可能立即創設有效權利主張，但后續若轉入托管環境，可能形成可在所羅門客戶主張權利的司法管轄區內進行訴訟的事實模式。10、結論

綜合所有鏈上細節與法律要素分析，所羅門兄弟公司的OP_RETURN粉塵攻擊不應被簡單視為純粹的行為實驗。相反，這更像是一場試圖建立鏈上通知記錄、為潛在訴訟作證據準備的嘗試。

然而該操作本身存在突出矛盾：早期消息中的失效鏈接；按發送方自行宣稱的標準可能對某些地址通知不足；聲稱要保護網絡免受技術攻擊卻未通知理論上更易受技術攻擊的地址類型；以及向休眠時間短于無人認領財產法規定時限的地址發送消息。

盡管存在這些失誤，操作執行者顯然對Bitcoin網絡具備深度技術理解，并采取了精密措施掩蓋行蹤并向大量地址投送消息。雖然仍在諸多方面令人困惑，鑒于這位神秘客戶最終可能進行的新型法律理論測試，所羅門事件值得全球Bitcoin與加密社區持續關注。請密切關注10月10日與11月5日這兩個關鍵時間節點——屆時所羅門客戶設定的90天期限將屆滿。