網路攻擊事件・完整時間軸

每一步均附證據來源。台灣時間(UTC+8)。

受害系統:tw-night-market.pages.dev ・ 產出:2026-07-06

← 返回報案說明
本文件每一步標明三種標籤: 事實=伺服器記錄或截圖直接證明; 推論=依證據合理推斷(非鐵證,供偵查參考); 來源=對應之原始證據檔(已以 SHA-256 固化)。

所有伺服器資料均以唯讀方式(rows_written: 0)自 Cloudflare D1 資料庫匯出,原始母本存於 Cloudflare, Inc.,可經司法程序調閱。
2026-07-05 19:29(台灣)

① 首次到訪 — 以「L」試玩

事實暱稱 「L」首次遊玩本遊戲,使用固定裝置識別碼 0cc0b569-…-b6837baee834。此時為正常玩家行為。

來源D1 runs 表,device_id 0cc0b569-5496-4b12-a547-b6837baee834,created_at 1783250992146。

2026-07-06 00:06(台灣)

② 改名「Lanco 火柴人」正常遊玩約 10 分鐘

事實同一人改用暱稱 「Lanco 火柴人」,換一個固定裝置識別碼 3b46c491-…-8915aabaa37b,正常遊玩(wave 逐步增長)。此為其暴走前「未經偽裝」的真實痕跡。

來源D1 runs 表,device_id 3b46c491-916c-4b8b-b48a-8915aabaa37b,created_at 1783267590231。

2026-07-06 01:18:26 – 01:19:05(台灣・共 39 秒)

③ 💥 暴力洗榜攻擊 — 39 秒灌入 2,381 筆偽造資料

事實對排行榜端點發動自動化攻擊:39 秒內灌入 2,381 筆偽造高分,單秒峰值 628 筆。使用 2,381 個「全不重複」的裝置識別碼(每筆一個新 UUID),刻意規避追蹤。

推論單秒 628 筆為人力不可能達成之速率 → 確為自動化程式(腳本)攻擊。每筆換新 UUID → 蓄意規避追查之意圖。

排行榜被洗成 L 599,999
▲ 受害者手機拍攝:排行榜前 8 名全被偽造分數「L 599,999」洗版。原始檔名含拍攝時間戳 20260706_040936。
留言板被假名洗版
▲ 留言板遭「十餘個不同中文假名」洗版(范悅麗、鄧旭民…),製造多人假象。

來源D1 runs 表(WHERE wave>=30 AND won=1 AND money>350000):COUNT=2381、COUNT(DISTINCT device_id)=2381、單秒 GROUP BY 峰值=628。原始匯出 attacker-fingerprints-CLEAN-*.json。手機截圖檔名內嵌拍攝時間,未竄改。

2026-07-06 06:53:17(台灣)起

④ 第二波:持續掃描資料庫端點(掛 VPN)

事實自 06:53 起,來自 VPN IP 82.140.187.53(立陶宛 ASN 209854)的連線系統性反覆掃描 5 個後端資料庫端點(totals / leaderboard / messages / online / heartbeat,各約 354–380 次)。瀏覽器語言為 繁體中文 zh-TW

推論掛 VPN 隱藏位址,但 Accept-Language: zh-TW 無法由 VPN 變更 → 操作者身處台灣、慣用繁中之可能性高。逐一掃描每個 API 端點 → 試圖存取資料庫之探測行為。

Cloudflare 額度被燒爆
▲ 攻擊燒盡 Cloudflare 免費額度(99,076/100,000),波及同帳號其他服務。

來源D1 security_logip='82.140.187.53':COUNT=2,156、endpoint GROUP BY、Accept-Language 欄位。原始匯出 attacker-evidence-EDGE-TRUSTED-*.json

2026-07-06 07:57:08 – 08:10:04(台灣)

⑤ 🔑 攻擊進行中,一支「未掛 VPN」的手機連線出現

事實在上述 VPN 攻擊持續進行的同時(電腦攻擊 06:53→11:47,未中斷),一個未掛 VPN 的台灣住宅網路 IP 123.110.239.24 於 07:57–08:10、13 分鐘內連線 10 次。此 IP 屬台灣寬頻通訊(BEST/TBC,AS131596),為住宅寬頻、非 VPN。

事實其中部分請求之瀏覽器識別字串(User-Agent)記錄到完整型號 OPPO; CPH2599(Android);另有請求主動存取排行榜提交端點 /api/run(即洗榜所用之同一端點)。

推論此手機連線與電腦攻擊時間完全重疊;正常玩家不會在別人被攻擊的同一時段、以未掛 VPN 之手機來訪並直接戳後端 API。合理推斷為同一操作者:以電腦掛 VPN 攻擊、同時以手機(一時未掛 VPN)查看,因而露出真實住宅 IP。

⚠ 誠實限制:以下為「待警方認定」而非我方定論——① 型號 CPH2599 來自 User-Agent,User-Agent 可被偽造;② 該 IP 之確切地理位置與租用人,須由警方依法向電信業者(TBC,AS131596)就該時段(動態 IP)調閱認定。我方僅如實提供 IP 與連線時間,不自行認定行為人身分。

來源D1 security_logip='123.110.239.24':10 筆、時間窗、endpoint、user_agent 欄位(含 CPH2599 之完整 UA 見 id 654/655)。原始匯出 attacker-real-IP-123.110.239.24-visits-*.jsonOPPO-CPH2599-raw-record-*.json(SHA-256 固化)。

2026-07-06 上午(同日)

⑥ 依法報案・蒐證固化

事實受害方於同日向警察局刑事警察局報案,並尋求民意代表協助。所有伺服器記錄以唯讀方式匯出、SHA-256 固化,原始母本存於 Cloudflare。

警局受理案件證明單
▲ 警局「受(處)理案件證明單」,案類:一般刑案(妨害電腦使用)。個資已遮蔽。
刑事警察局檢舉受理
▲ 刑事警察局線上檢舉,系統已寄發確認信、案件受理。

來源警局/刑事局受理畫面(截圖,個資已遮蔽)。涉犯法條:刑法第 360 條(干擾電腦設備)、第 359 條(變更電磁紀錄)。

2026-07-06 11:47:38(台灣)

⑦ 攻擊停止

事實VPN IP 82.140.187.53 的最後一筆攻擊記錄於 11:47:38。此後(截至本文件產出)無新增可疑連線。手機 IP 亦於 08:10 後未再出現。

推論攻擊者停手之原因不明(可能自行收手/關機/休息)。攻擊停止不影響已成立之犯罪事實——前述攻擊已完整記錄。

來源D1 security_log MAX(created_at) WHERE is_suspect=1 = 1783309658592;最近時段查詢無新增。

證據完整性聲明:本時間軸所有「事實」欄位均由伺服器記錄或原始截圖直接支撐,並標明對應證據檔。「推論」欄位為依證據之合理推斷,供偵查參考,非我方定論。行為人之確切身分,由警方依法調查認定。所有原始資料由 Cloudflare, Inc. 保管,可經司法程序調閱佐證。