作者|Andy Greenberg
編譯|吳說區塊鏈
他剛剛解开了一樁價值 2.43 億美元的比特幣盜竊案,這可能是有史以來針對單個受害者的最大加密貨幣盜竊案。而他從未露過面。
8 月 19 日,一位二十多歲的男子,網名爲 ZachXBT,正走進機場准備登機——具體哪個機場、他的真名以及家在哪裏,他並不想透露——就在此時,他看到手機上收到一條提醒。比特幣剛剛被轉入了一家小型加密貨幣交易所,這是他常年在 Bitcoin 區塊鏈上監控的衆多交易所之一,目的是尋找非法洗錢的跡象。這個提醒引起了他的注意:這筆交易價值約 60 萬美元,遠遠超過該服務上典型交易額的 10 倍。
當他到達登機口時,第二次提醒又告知他在同一交易所進行了一筆超過 100 萬美元的交易。然後又有一筆 200 萬美元的交易。站在登機隊伍中,ZachXBT 迅速在手機上追蹤這些資金,從一個 Bitcoin 地址追溯到另一個地址,標記出可疑的資金,並爭分奪秒地尋找這些資金的來源,因爲飛機起飛後的半小時內網絡連接會中斷,直到飛行 Wi-Fi 恢復。飛機起飛前,他已經確定這些資金來自一個自 2012 年以來一直未動的加密錢包——而這筆價值數億的比特幣正被迅速在交易所清算,支付着極高的交易費用,這並不是一位耐心的十年以上 Bitcoin 投資者所能接受的操作。
在 ZachXBT 看來,資金流動立刻看起來像是一起巨大的盜竊案。事實上,在他反復核實後,似乎有人從某位不幸的受害者手中偷走了價值約 2.43 億美元的比特幣,可能是有史以來最大的一次針對個人的加密貨幣盜竊案。“這是從單個受害者那裏盜走的一個異常巨大的金額,”ZachXBT 對《連线》雜志說,“我必須確認我沒看錯。”
當他飛到 10,000 英尺以上並且 Wi-Fi 恢復後,ZachXBT 开始追蹤更多被盜資金的流出情況,這些資金通過一個又一個交易所和幣種兌換服務進行轉移,似乎試圖掩蓋資金的路徑。在接下來的幾個小時裏,他拼命地繪制出這些資金流動的分支圖,盜賊通過十多個平台轉移了這些比特幣,顯然是在試圖隱藏其蹤跡。
當他追蹤這些資金回到比特幣的失主時,ZachXBT 發現其中一部分資金最初來自已經倒閉的 Genesis 加密貨幣交易所。他通過 X 平台給該交易所的管理員發私信,請他們幫忙聯系受害者,最終,受害者聘請他來追查這些被盜的資金。
當 ZachXBT 的航班降落時,他已經發現了三條主要的被盜資金线索,指向他認爲的三名嫌疑人。他還在 X 上向超過 65 萬名粉絲發布了一條信息,指出區塊鏈上正在進行的盜竊事件。不久後,他收到了一條來自某個聲稱掌握盜賊身份线索的消息。接下來的一周,ZachXBT 晝夜不停地處理這個案件,每次睡眠不超過四五個小時,並定期與執法機構分享他的發現。他最終確認了這起盜竊案背後的兩名嫌疑人——分別是二十出頭的黑客 Malone Lam 和 Jeandiel Serrano。(ZachXBT 還確認了另一名嫌疑黑客,但《連线》雜志選擇不公开他的名字,因爲該人尚未被逮捕或指控。)他甚至獲得了一段視頻,據稱顯示其中一名嫌疑人的屏幕,記錄了他們完成盜竊並慶祝巨額意外之財的時刻。在這場風馳電掣般的調查中,ZachXBT 甚至追蹤到了嫌疑人在 Instagram 和 TikTok 上的活動,看到其中一人花費數百萬美元購买豪車、私人飛機,甚至在夜店一晚花費高達 50 萬美元。距離 ZachXBT 飛機上收到那條提醒不到一個月,三名嫌疑人中的兩人就被逮捕並面臨刑事指控。
當 ZachXBT 看到其中一名嫌疑人的拘留照時,他說自己感到了一陣短暫的腎上腺素激增。但這種感覺很快消失了。“我並沒有特別的成就感,”ZachXBT 說,“我只是把它當作其他案件一樣處理。”
爲大衆服務的加密貨幣私家偵探
如果說追蹤價值 2.5 億美元的盜竊案對 ZachXBT 來說就像是普通的一天,那或許是因爲過去三年裏,他已經成爲全球最活躍的獨立加密貨幣偵探之一。自 2021 年开始業余調查以來,他已經追蹤了數十億美元的被盜資金和詐騙案件。根據他提供給《連线》雜志的電子表格統計,他的數百次調查直接幫助追回了約 2.1 億美元的犯罪所得加密貨幣,另有 2.25 億美元的被沒收資金,他也在一定程度上間接幫助受害者追回了部分損失。他揭露了通過“拉高出貨”騙局推廣代幣的網紅,追蹤了大規模加密貨幣盜竊案背後的網絡犯罪分子,並揭示了朝鮮黑客多次攻擊加密貨幣公司,甚至以員工身份滲透這些公司。
在這一切過程中,他幾乎完全依賴加密貨幣捐款來維持運作,包括來自加密貨幣組織的資助和陌生人通過他在社交媒體上列出的地址捐贈的款項,自 2021 年以來累計約 130 萬美元。“他是新一代的調查員,他爲大衆服務,”美國特勤局分析師 Joe McGill 說道,他曾與 ZachXBT 合作過。“他的成功完全取決於他調查的成功。”
在追求加密貨幣義務偵探這一事業的過程中,ZachXBT 也始終保持匿名。线上,他只以他的頭像出現——一個身穿偵探風衣或有時穿着連帽衫的鴨嘴獸卡通形象。爲了避免受到來自加密貨幣罪犯和騙子的報復,他從未公开露面,也未透露過他的真實姓名或確切年齡,並且只在我同意不調查他的身份信息的條件下接受了《連线》的採訪。McGill 回憶,在他們早期的電話會議中,ZachXBT 不僅會關掉攝像頭,甚至還會使用變聲器應用,有時聲音像個“南方公園裏的角色”,而有時聲音又被調低,聽起來像是恐怖電影裏的角色。“一开始感覺很奇怪,”當時在加密追蹤公司 TRM Labs 工作的 McGill 說,“但我尊重他的隱私,因爲這個匿名家夥做了非常出色的工作。”
加密貨幣調查公司 Five I’s 的創始人 Nick Bax 說,ZachXBT 頻繁揭露加密貨幣犯罪騙局和盜竊案,速度通常比執法機構還快,以至於他半开玩笑地懷疑 ZachXBT 是不是某種機器人。“他就像一台機器。”Bax 回憶起去年他們合作調查 2021 年 AnubisDAO 加密項目 6000 萬美元的盜竊案時,Bax 在周六晚上給了 ZachXBT 一份包含 500 筆交易的清單,每筆交易都需要手動分析並關聯相關的區塊鏈地址。“我以爲這至少會讓他忙上幾天,”Bax 說。但到了第二天中午,ZachXBT 已經梳理完所有交易,並確定了哪些交易與盜竊案有關。“我當時很震驚,”Bax 說,“他肯定是連續坐在電腦前 12 個小時。”
ZachXBT 的許多調查結果都直接發布在他的 X 账號上。然而,隨着時間的推移,他的調查發現越來越多地引起了執法機構的關注——如今他經常在發布前與多家執法機構分享他的發現。結果是,越來越多的犯罪分子因他的偵查工作而面臨現實的後果。“隨着 Zach 的影響力越來越大,隨之而來的不僅是經濟後果,還有法律後果,”加密貨幣公司 MetaMask 的安全研究員 Taylor Monahan 說,她是 ZachXBT 最親密的合作夥伴之一,包括一起調查了那起 2.43 億美元的盜竊案。“如果 Zach 現在發布了一篇關於某人的調查貼,而且內容扎實,那個人很可能就會被逮捕。”
從受害者到舉報人
那么,ZachXBT 是如何在沒有正式培訓或組織支持的情況下,甚至比執法部門的加密調查人員更快地追蹤並揭露加密犯罪的呢?連他自己也不完全清楚。“這是個難回答的問題。我也不知道我爲什么這么擅長,”ZachXBT 在電話採訪中告訴《連线》雜志。他將這歸因於自己愿意全天候工作——畢竟,加密貨幣市場從不關閉——以及通過多年來不斷深入研究加密貨幣區塊鏈交易账本而積累的熟練度。“你越是花時間研究區塊鏈,當你喫飯、睡覺甚至呼吸時都在看它,隨着時間推移,它就會變得越來越清晰,”他說,“你开始能察覺到那些聯系。我可以看一個錢包,然後在幾秒鐘內判斷它是否是壞人。”
ZachXBT 說,他對區塊鏈的熟悉源於他多年的加密貨幣愛好者和交易者的經驗——以及作爲一個不幸的投資者自己也曾落入加密經濟的陷阱。大約在 2017 年,他天真地購买了價值數千美元的加密貨幣代幣,結果這些代幣的價值都大幅下跌——通常是因爲所謂的“拉高出貨”騙局,即代幣的創建者在拉高價格後拋售自己的持有,剩下的投資者只能持有一文不值的資產。“我當時想,‘這將改變世界。’我持有這些代幣,從來沒賣出,”ZachXBT 說。結果是,“我就是那個被騙的人。”
到 2018 年,不僅這些投資全都崩潰了,ZachXBT 使用的一個 Electrum 加密錢包還因爲惡意軟件更新被黑客入侵,他又損失了接近 1.5 萬美元。在那一刻,他決定退一步,重新審視自己的策略。他不再僅僅是买入並持有代幣,而是开始分析加密貨幣的區塊鏈——幾乎所有區塊鏈交易對任何能解讀不同地址所有者的人都是公开可見的——以觀察那些更大、更成功的投資者是如何交易代幣和幣種的,並試圖模仿他們的操作。
通過這種區塊鏈分析,到了 2020 年,他已經足夠熟練,能夠發現普通投資者看不出來的正在進行中的騙局。他會看到某個網紅向成千上萬的粉絲公开推廣某種加密資產,拉高價格,然後在區塊鏈上跟蹤他們的資金,發現他們實際上是在推廣之後立即賣掉自己的持有,這通常是一種典型的“拉高出貨”騙局。“這更像是在做一個舉報人,”ZachXBT 說。“我會注意到這種活動,然後想,‘這讓我想起了 2017 年和 2018 年我上當時的情形。爲什么不發個帖子揭露它呢?’結果這些帖子就火了。”
當 NFT 熱潮在同年晚些時候掀起時,ZachXBT 开始以類似的方式審視 NFT 項目,比如 Bored Bunny 和 Billionaire Dogs Club,以揭示流入這些項目的資金實際去了哪裏。這些 NFT 賣家通常僅憑幾張卡通 .jpg 圖片就能籌集數百萬資金,承諾購买者可以獲得像參加獨家活動或俱樂部會員這樣的福利。然而,ZachXBT 通過區塊鏈分析發現,賣家只是在分贓並將資金裝入自己的口袋。有時,他甚至通過加密追蹤發現,一個 NFT 賣家實際上是之前一個已經證明是騙局的項目換了個新品牌重新出現。
在 ZachXBT 發布的關於 NFT 賣家的帖子中,確實有幾次成功嚇退了买家,阻止了一些不法 NFT 商販繼續出售他們的產品。但隨着時間推移,他對這些反復上演的、通常顯而易見的騙局感到厭倦,並且對缺乏更實質性的成果感到沮喪:他曝光的那些 NFT 項目,沒有任何相關人員面臨刑事指控。
然後,在 2022 年初,他注意到一群黑客开始入侵知名加密用戶的 Twitter 账戶,發布指向 Ethereum 智能合約的網絡釣魚鏈接,導致數千萬美元的資金被盜。每當某個受害者發帖表示他們的存款被盜時,ZachXBT 都會聯系他們,並仔細追蹤他們失去的資金。他將區塊鏈线索與他在年輕加密貨幣小偷常用的 Discord 和 Telegram 頻道中發展起來的消息來源相結合,最終鎖定了一些似乎參與網絡釣魚活動的青少年的在线網名,這些人還在吹噓他們的巨額战利品。
此時,ZachXBT 已在加密圈中臭名昭著,以至於有一位他認爲是嫌疑人的人在 Twitter 上炫耀自己購买了一塊鑲滿鑽石的 Audemars Piguet 手表時,還故意嘲諷“mr xbt”。ZachXBT 找到了手表賣家,賣家在一個奢侈手表的 Discord 頻道中,最終他說服了賣家提供青少年的收貨地址和真實姓名。沒有公开記錄顯示這些嫌疑人是否被逮捕,可能是因爲嫌疑人是未成年人,相關指控已被封存或從未提出。但 ZachXBT 找到了一份沒收通知,顯示在他於 2022 年 9 月在 X 上發布發現後一個月,FBI 在 10 月沒收了這名青少年嫌疑人持有的價值超過 20 萬美元的加密貨幣資產以及那塊鑽石手表。
同年,ZachXBT 使用類似的技術追蹤了另一場網絡釣魚活動中被盜的價值 250 萬美元的 NFT,這起案件涉及兩名法國黑客。據報道,幾個月後,法國檢察官逮捕了五名嫌疑人,並根據法新社的消息,特別感謝了 ZachXBT 在 X 上發布的帖子對調查兩名主要嫌疑人的幫助。“看到執法機構對我分享的內容採取行動,這讓我非常有成就感,”ZachXBT 說,“這讓我覺得,或許我一直在做的事情確實有些意義。”
自從兩年前首次引起執法機構的注意以來,ZachXBT 調查的規模——以及在某些情況下的後果——迅速擴大。2023 年 2 月,他追蹤到加密項目 Platypus 被盜的近 900 萬美元資金,並在數小時內識別出了一名嫌疑人;法國警方在一周多後逮捕了兩名嫌疑人。盡管對這兩人的指控最終被撤銷,但警方追回了數百萬美元的資金,Platypus 也在推特上感謝了 ZachXBT。同年晚些時候,他追蹤到加密公司 Uranium Finance 被盜的 2500 萬美元資金,其中很大一部分似乎被用來購买稀有的《萬智牌》卡片。當網絡犯罪組織“散落的蜘蛛”對拉斯維加斯的 Caesars Entertainment 發動勒索軟件攻擊,向該公司勒索了 1500 萬美元時,據其他參與調查並與《連线》雜志溝通的調查人員稱,ZachXBT 幫助追蹤並追回了 1200 萬美元的資金。
大約在同一時間,ZachXBT 發布了一系列關於朝鮮黑客進行的 25 起加密貨幣盜竊案的調查結果,總金額超過 2 億美元,其中約 700 萬美元的資金在他的幫助下被凍結。約有一半的黑客攻擊事件此前從未被公开披露。他緊接着又進行了一項調查,揭露了一個由大約 30 名朝鮮 IT 工作者組成的網絡,這些工人滲透進了科技公司,並通過加密貨幣獲得報酬。在其中一起案例中,一名看似與朝鮮有關的技術人員成功在 NFT 公司 Munchables 任職,並從公司盜取了 6200 萬美元的加密資產。當 ZachXBT 幫助識別並標記這些資金時,竊賊發現資金難以變現,最終不得不將其歸還。
“你知道那是多少錢嗎?”
盡管如此,當 ZachXBT 在機場收到 8 月 19 日發生的價值 2.43 億美元的加密貨幣盜竊案的提醒時,這仍是他追查過的最大盜竊案之一。國際航班回家後,他連續幾天繼續追蹤這些資金流動,同時監控社交媒體上他三名嫌疑人的動向,其中兩人分別使用 Greavys 和 Box 作爲網名。特別是 Greavys——真名是 Malone Lam,看起來在邁阿密活動——在社交媒體上頻頻出現在豪華房地產、鑽石手表、私人飛機和包括 Lamborghini Revuelto 和 Pagani Huayra 在內的豪車照片中,後者的售價通常超過 300 萬美元。ZachXBT 還發現了 Greavys 贈送價值 3 萬到 5 萬美元不等的 Birkin 和 Hermès 包的網紅帖子,以及夜店裏的服務員舉着帶有 Greavys 名字的霓虹燈牌,上面寫着“WHO WANT A BIRK”(誰要 Birkin 包)。ZachXBT 說:“看起來他們的生活就是狂歡和偷錢。”
幾天之內,ZachXBT 說服了在他航班上發私信給他的消息來源,向他提供了三名黑客屏幕共享的錄屏視頻。這三名黑客在與一群朋友共享屏幕時,其中一名黑客不知情地重新共享了他的屏幕,而朋友中的一人似乎錄下了視頻。ZachXBT 說,在這段 90 分鐘的視頻中,三名黑客多次以真實姓名互相稱呼。在另一個片段中,其中一人還短暫地展示了他的 Windows 主屏幕,暴露了他的姓氏。
視頻甚至記錄了這些黑客在成功實施九位數盜竊後瘋狂反應的瞬間。“哦我的天!哦我的天!2.43 億美元!是的!”其中一人在錄音中說道。“我要瘋了!我們完成了!我們完成了!我要瘋了。你知道那是多少錢嗎?”9 月 18 日下午,距離 ZachXBT 开始調查不到一個月,Lam 在邁阿密的一處月租 6.8 萬美元的水邊出租房被捕。Box——真名 Jeandiel Serrano——在洛杉磯機場被捕,當時他正從馬爾代夫度假回家,和女朋友一起。據檢方稱,Serrano 被捕時戴着一塊價值 50 萬美元的手表,租住在洛杉磯附近一棟月租超過 4 萬美元的房子裏,還花費 100 萬美元購买豪車。第二天,針對 Lam 和 Serrano 的電信欺詐和洗錢指控被公开。根據法庭文件,兩名黑客都向執法調查人員承認參與了多起加密貨幣盜竊案。Lam 還特別承認,這些盜竊的收益爲他購买了至少 31 輛高端汽車。
到目前爲止,他們被指控盜竊的 2.43 億美元中,已有 7900 萬美元被查獲或凍結。ZachXBT 希望還能找到更多資金。檢察官稱,即使在這幾名黑客的奢侈消費狂潮之後,仍有超過 1 億美元未找到。根據公开記錄,ZachXBT 的第三名嫌疑人似乎住在康涅狄格州,但目前尚未受到任何指控。然而,記者 Brian Krebs 指出了一份刑事訴狀,描述了一夥男子涉嫌在 8 月下旬 2.43 億美元盜竊案發生四天後,劫持了一對 50 多歲的康涅狄格夫婦,並短暫綁架了他們,因爲劫車者“相信受害者的兒子有大量數字貨幣的訪問權限”——這表明,這對夫婦可能是 ZachXBT 追蹤到的第三名嫌疑人所涉及資金的父母。
對於 ZachXBT 來說,這次調查可能是一個轉折點。這是他第一次受僱於案件中的受害者,並且通過自己的技能獲得報酬,而不是像以往那樣依靠捐贈作爲志愿者工作。他表示,他可能會轉向更多這種有償工作,甚至創辦自己的調查公司。但他堅持認爲,自己並不是爲了通過揭露這些案件來致富。“我看到資金被查獲、資金返還給受害者、人們被逮捕,這就是我的目標。這是我想要實現的,”ZachXBT 說。“看到這些事情真正造福於人們,這才是讓我感到滿足的地方。”
他的合作者、加密錢包公司 MetaMask 的 Taylor Monahan 已經與他合作進行了數十項調查,她認爲 ZachXBT 依然主要是出於正義感驅動——這種正義感源於他自己曾是加密世界殘酷一面的受害者,並希望阻止其他人重蹈覆轍。“他經歷了許多人在這個領域都經歷過的相同經歷,那就是發生了糟糕的事情,而你身邊的人只會說,‘真倒黴’,”Monahan 說。“他本能地拒絕這種經歷,他想要改變它。”
海量資訊、精准解讀,盡在新浪財經APP
責任編輯:張靖笛
標題:了解 ZachXBT:令詐騙者聞風喪膽的加密羅賓漢
地址:https://www.utechfun.com/post/437706.html