LeakBase围剿复盘

    虽然过去一段时间了，行动发生在 3 月初，整体来看，这是一次非常典型的策略转变案例：执法不再以“抓管理员”为突破口，而是优先控制平台数据，再基于数据优先反查发帖用户信息。毕竟这类售卖平台，其实抓管理员本身意义不大（除非管理员本身是攻击团队本身等），真实问题点和重点还是各类发帖人。

    相比传统“人 → 平台”的路径，这种“平台 → 人”的方式更具实际价值。因为对于 LeakBase 这类交易型社区来说，核心风险并不在管理员，而在持续提供和流通数据的用户节点。这也解释了为什么此次行动中，管理员反而是在最后阶段才被捕。

LeakBase 的调查并不是临时行动，欧洲方面披露最早可以追溯到 2023 年，由荷兰警方发起，随后由 Europol 牵头扩大为跨国案件。此后大概率经历了较长时间的监控、渗透以及数据获取阶段。

2026 年 3 月 3 日至 4 日，行动进入收网阶段。美国司法部联合 Europol 以及十多个国家同步执行执法行动，包括美国、英国、加拿大、澳大利亚、西班牙、比利时、波兰、罗马尼亚等，同时马来西亚配合处理服务器相关问题。行动内容包括上门搜查、设备扣押、部分逮捕以及大量警示性接触（knock-and-talk）。执法部门在多个辖区协调执行执法行动，包括逮捕、房屋搜查和“敲门谈话”。全球范围内约有100起执法行动，包括针对37名最活跃用户的抓捕措施。

同一时间，LeakBase 域名被接管，网站被替换为执法公告，并明确说明平台中的账户、帖子、私信、信用卡数据及 IP 日志已被作为证据保存。这一阶段可以确认执法已经掌握完整数据库。

但在3月8-9日，LeakBase 在新的 .bz 域名上重新上线，并接入 DDoS-Guard 防护，站点内容和功能恢复。

3 月中下旬，俄罗斯方面单独宣布在塔甘罗格逮捕一名 33 岁嫌疑人，确认了为LeakBase 管理员，且多家安全公司将其与 LeakBase 管理员使用的别名（Chucky、beakdaz、Sqlrip）关联。其住所被搜查，电子设备被扣押，案件继续调查，站点又一次下线。

复盘价值点：

这次事件最大的变化在于以注册成员为主目标。先打数据和用户 → 平台短暂复活 → 再通过复活阶段反向锁定管理员 → 最终关闭

以往类似论坛案件通常是“抓管理员 → 控制平台”，而 LeakBase 的路径明显相反，是“先拿平台数据 → 再反查用户 → 最后落到管理员”。平台在整个过程中更像一个数据入口，而不是最终目标。第一轮行动并没有完全控制核心人员，所以站点复活的很快，而且站点的重新上线过程中暴露了管理员的真实情况。

数据的价值远高于平台本身。LeakBase 作为一个集中式交易社区，把用户、交易、通信全部聚在一个数据库中，一旦被获取，所有参与者都会被动暴露，后续可以持续进行关系分析和身份还原。

私信数据的作用被放大。超过 20 万条私信基本等同于一份完整的黑产通讯网络，其中包含大量外部联系方式（Telegram、邮箱等），可以直接延伸到平台之外。

抓捕策略也发生变化，不再追求覆盖面，而是优先处理高连接节点，即数据供应者和分发者。这类节点一旦被清理，对整个数据流通链的影响远大于普通用户。