“币圈名侦探”ZachXBT:冲在犯罪第一线,如何只身破获 2.43 亿美元盗窃案?
作者:Andy Greenberg
编译:Ismay,BlockBeats
编者按:和 Ansem 对线、公布 Murad 地址,曝光 U 商王逸聪、披露 SHAR 的项目方 deck,相信很多读者最近都频繁听到 ZachXBT 这个名字。自 2021 年以来,链上侦探 ZachXBT 已帮助诈骗、被盗受害者追回近 5 亿美元。上个月,他破获了 2.43 亿美元的盗窃案,这是有史以来针对个人的最大盗窃案。从区块链的深处追踪犯罪到揭露奢侈生活背后的巨额资金流转,ZachXBT 凭借自己的智慧与执着,在短短几年间帮助追回了数亿美元的被盗资金。《连线》杂志的本篇文章将带你走进这位加密货币「无面侦探」的神秘世界,揭示他如何与加密犯罪斗智斗勇,以及那些鲜为人知的幕后故事。
以下为原文内容:
8 月 19 日,一位二十多岁的年轻人,网名 ZachXBT,正准备登机回家。他并不愿透露是哪个机场、他的真名以及他住在哪里。
这时,他的手机弹出了一条警报:一笔比特币被转移到一个小型的加密货币交易所。这是他长期监控的许多交易所之一,主要目的是寻找与犯罪洗钱相关的资金流动。这条警报引起了他的注意:这笔交易金额约为 60 万美元,远远超过该交易所日常交易规模的 10 倍。
当他到达登机口时,手机又响起一条新的提醒:同一交易所上发生了另一笔超过 100 万美元的交易。随后又有一笔 200 万美元的交易。
当 ZachXBT 排队准备登机时,他迅速在手机上追踪这些资金,倒查这些比特币地址,并标记了可疑资金,试图在飞机起飞后的半小时互联网中断之前查明资金来源。
在飞机升空前,他已经确定这笔资金来自一个自 2012 年起就未动用过的大额比特币钱包,总金额达数亿美元。而现在,这笔价值九位数的巨款正在被急于套现,并且支付了高额交易费用,这种做法显然不是一个持币十多年的投资者会接受的。
在 ZachXBT 看来,这种资金流动很明显是一起巨额盗窃案。
经过进一步核实,他发现有人从一位受害者手中盗走了价值约 2.43 亿美元的比特币,可能是有史以来最大的一起针对个人的加密货币盗窃案。「这真的是一个非常异常的数额,竟然是从一个人那里盗走的,」ZachXBT 对《连线》杂志说道,「我不得不确认自己没有看错。」
当飞机升至一万英尺以上并且 Wi-Fi 恢复工作后,ZachXBT 开始追踪更多被盗资金的流向。
这些资金通过一个又一个交易所和币币兑换服务平台被转移。在接下来的几个小时里,他加速绘制出这些资金流动的分支图,发现黑客通过十几个平台试图隐藏资金的踪迹。
随着他沿着这条线索追溯到比特币的失主,ZachXBT 发现部分资金最初来自已经倒闭的 Genesis 加密货币交易所。他通过 X 平台(原 Twitter)私信该交易所的管理员,请他们联系受害者,最终该受害者聘请他追查被盗资金。
当他抵达目的地时,ZachXBT 已经发现被盗资金分成了三条主要的资金流,指向了他认为的三名嫌疑人。他还向自己在 X 平台上超过 65 万的粉丝发布了一条消息,指出区块链上正在进行的盗窃活动。
不久后,他收到了一名线人的消息,声称掌握有关黑客身份的线索。
接下来的一周,ZachXBT 日夜工作,每天只睡四到五个小时,并定期将他的调查结果分享给执法机构。他最终确定了涉嫌盗窃的嫌疑人——两名二十出头的年轻黑客,名为 Malone Lam 和 Jeandiel Serrano。ZachXBT 还确认了另一名涉嫌黑客,但《连线》杂志选择不公开他的姓名,因为该人尚未被逮捕或指控。
他甚至获得了一段视频,视频显示其中一人在完成盗窃后庆祝这笔巨额财富的得手。在他的快速调查中,ZachXBT 甚至还追踪到这些嫌疑人的 Instagram 和 TikTok,看到其中一人挥霍数百万美元,购买豪车、乘坐私人飞机,还在夜总会里一晚消费高达 50 万美元。
自从飞机上收到那条警报后,不到一个月的时间,三名嫌疑人中的两人被逮捕并面临刑事指控。
当 ZachXBT 终于看到其中一名黑客的拘捕照时,他表示自己感到了一阵短暂的肾上腺素激增,但很快便恢复了平静。「我并没有特别的成就感,」ZachXBT 说道,「我只是把它当作另一起普通的案件。」
比特币盗窃案调查结果|ZachXBT 的置顶推文
为大众服务的加密货币私人侦探
如果追踪一起价值 2.5 亿美元的盗窃案对 ZachXBT 来说就像在网上度过的平常一天,那么这或许是因为在过去三年里,他已成为全球最活跃的独立加密货币侦探。
自 2021 年作为业余调查员开始工作以来,他已追踪到数十亿美元的被盗资金和诈骗案件。根据他提供给《连线》杂志的一份表格统计,他的数百起调查直接促成了大约 2.1 亿美元的犯罪加密货币资金被追回,另有约 2.25 亿美元的资金在他间接帮助下为受害者追回。
他揭露了通过拉高出货骗局推销代币的网红,追踪了大型加密货币盗窃案背后的网络犯罪分子,并揭发了数十起朝鲜黑客入侵加密公司甚至以员工身份渗透的事件。
在整个过程中,他几乎完全依靠加密货币捐赠来资助他的工作,包括来自加密货币组织的拨款和陌生人通过他社交媒体个人资料中列出的地址发送的贡献款项,自 2021 年以来,已累计约 130 万美元。「他是新一代的调查员,他为大众服务,」曾与 ZachXBT 合作的美国特勤局分析师 Joe McGill 表示,「他的成功完全取决于他调查的成功。」
在追求成为一名加密货币「正义警察」的过程中,ZachXBT 始终小心翼翼地保持匿名。在网上,他只以他的头像形象出现——一只穿着侦探风衣或有时是连帽衫的鸭嘴兽卡通形象。为了避免受到加密货币犯罪分子和骗子的报复,他从未公开过自己的真实面貌、姓名或具体年龄,并且只有在《连线》杂志同意不追查这些个人身份信息的前提下,他才愿意接受采访。
ZachXBT 的 Twitter 主页
特勤局分析师 McGill 回忆,在他们早期的电话会议中,ZachXBT 不仅关闭摄像头,甚至还使用了变声软件,有时声音像《南方公园》里尖声叫喊的角色;而其他时候,他又将声音调得很低沉,仿佛来自恐怖电影中的角色。「一开始确实挺怪异的,」当时在加密追踪公司 TRM Labs 工作的 McGill 说,「但我尊重他的隐私,因为这个匿名的人确实在做着非常出色的工作。」
加密货币调查员、Five I's 公司创始人 Nick Bax 表示,ZachXBT 几乎每周都能揭露许多加密货币犯罪骗局和盗窃案,通常比执法机构的动作要快得多。Bax 半开玩笑地说,他甚至怀疑 ZachXBT 是不是机器人。
「他简直像一台机器,」Bax 说道。
去年的一次调查中,他们合作追踪了 2021 年 AnubisDAO 加密项目中的 6000 万美元盗窃案。Bax 周六晚上给了 ZachXBT 一份包含 500 笔交易的清单,每笔交易都需要手动分析,以及关联的区块链地址。「我以为这至少能让他忙上几天」,然而,第二天下午,ZachXBT 已经完成了所有交易的分析,并确定了哪些与盗窃案有关。「我非常震惊,」Bax 说道,「他肯定是连续 12 小时不间断地坐在电脑前。」
ZachXBT 的许多调查结果都会毫无仪式感地发布在他 X 平台的账户上。
然而,随着时间的推移,他的调查越来越多地引起了执法机构的关注——如今,他经常在公开发布前与这些机构分享自己的调查结果,这些侦探工作的目标正在面临越来越严重的后果。
「随着 Zach 的影响力不断扩大,这些案件带来了财务和法律上的后果,」加密公司 MetaMask 的安全研究员 Taylor Monahan 说道,她是 ZachXBT 最亲密的调查合作伙伴之一,曾参与了 2.43 亿美元盗窃案的调查。「如果 Zach 现在发布关于某人的帖子,并且揭露得很到位,那个人很有可能会被逮捕。」
从受害者到揭发者
那么,ZachXBT 究竟是如何在没有正式培训或组织支持的情况下,甚至比执法部门的加密调查员更快、更准确地追踪资金流向的呢?
对此,他自己也不太确定。「这个问题挺难的,我也不知道为什么我这么擅长,」ZachXBT 在电话采访中告诉《连线》杂志。他认为这与自己愿意不分昼夜地工作有关——毕竟加密货币市场从不休市——以及多年深入研究加密货币区块链所积累的经验。「你看的区块链越多,当你吃饭、睡觉甚至呼吸都在研究它,随着时间的推移,一切就会开始变得更加清晰,」他说。「你能开始发现那些关联。我可以看一个钱包,在几秒钟内判断它是不是坏人。」
ZachXBT 表示,他对区块链的熟悉源于他多年作为加密货币爱好者和交易者的经历——以及他自己也曾是加密经济中众多陷阱的受害者之一。
大约在 2017 年,他天真地花了数千美元购买各种加密代币,但这些代币最终都大幅贬值——通常是因为所谓的 rug pull,即代币的创建者突然抛售手中的代币,导致其他投资者手中的资产变得一文不值。「当时我买入时想着,『这将改变世界。』我买入后一直持有,从未卖出,」ZachXBT 说,结果是,「我成了那个被骗的人。」
到 2018 年,不仅他所有的投资都大幅缩水,ZachXBT 使用的 Electrum 加密钱包还因恶意软件更新被黑客入侵,他又损失了近 1.5 万美元。
直到那时,他才决定退一步重新思考自己的策略。他不再单纯地买入并持有代币,而是开始分析加密货币的区块链——几乎所有区块链都是公开可见的,任何能够解读不同地址所属者的人都可以查看——通过这种方式,他观察到一些更大、更成功的投资者是如何交易代币和比特币的,并试图模仿他们的操作。
通过这些区块链分析,到 2020 年,他对追踪加密货币交易已经相当熟悉,能够发现普通投资者看不到的正在进行中的骗局。
他看到一些网红向成千上万的粉丝公开宣传某个加密资产,推高其价格,然后通过区块链追踪他们的资金,发现他们实际上是在宣传后立刻出售自己持有的代币,这往往是典型的「拉高出货」骗局。
「这更像是一个举报者的角色,」ZachXBT 说。「我注意到这些活动时会想到,『这让我想起了 2017 年和 2018 年我上当受骗的经历,为什么不发个帖子揭露它呢?』然后这件事就开始引起广泛关注了。」
NFT 热潮兴起时,ZachXBT 同样开始仔细审查像 Bored Bunny 和 Billionaire Dogs Club 这样的 NFT 项目,揭示资金的真实流向。这些 NFT 卖家仅凭几张卡通图片就能募集到数百万美元,声称这些 NFT 将带来如参加独家活动或俱乐部的特权。
然而,ZachXBT 通过区块链分析发现,这些卖家只是将资金分散并装进自己的口袋。有时,他甚至通过加密货币追踪发现某些 NFT 卖家实际上是之前一个已被证明是骗局的项目的「重新包装」。
在某些情况下,ZachXBT 发布的关于 NFT 卖家的帖子确实吓退了买家,阻止了一些可疑的 NFT 卖家继续出售他们的产品。但随着时间的推移,他对不断揭露这种透明度较高、重复上演的骗局感到厌倦,同时也对缺乏更实质性结果感到沮丧:他曝光的 NFT 项目中,没有任何人因此面临刑事指控。
时间来到 2022 年初,ZachXBT 开始注意到一群黑客正在入侵一些知名加密货币用户的 Twitter 账户,并发布钓鱼链接,指向用以掏空用户钱包的以太坊智能合约,导致数千万美元的盗窃。
每当有受害者痛苦地发帖称自己的储蓄被盗时,ZachXBT 会主动联系他们,然后仔细追踪他们失去的资金。他将这些区块链线索与自己在年轻加密货币窃贼经常出没的 Discord 和 Telegram 频道中发展起来的消息来源相结合,最终找到了几个可能与该钓鱼活动有关的青少年在线昵称,他们在网上炫耀自己盗取的大笔财富。
此时,ZachXBT 已经在加密货币的地下世界名声大噪,甚至有一名他认为是嫌疑人的人,在 Twitter 上发帖炫耀自己购买了一款镶钻的 Audemars Piguet 腕表时,还嘲讽性地提到了「mr xbt」。
ZachXBT 通过一个奢侈手表的 Discord 频道追踪到了这款手表的卖家,成功说服这名卖家交出了购买这款价值近 5 万美元腕表的青少年的收货地址和真实姓名。
没有公开记录显示这些所谓的窃贼是否被逮捕——可能是因为嫌疑人是未成年人,指控要么已被封存,要么从未提出。但 ZachXBT 找到了一份没收通知,显示 2022 年 10 月,即他在 X 平台发布调查结果一个月后,FBI 从他识别出的青少年嫌疑人处没收了价值超过 20 万美元的加密资产以及那块钻石手表。
同年,ZachXBT 使用类似的技术,追踪到另一场网络钓鱼活动中被盗的价值 250 万美元的 NFT,目标嫌疑人是一对法国黑客。几个月后,法国检察官逮捕了五名嫌疑人,据法新社报道,他们明确提到 ZachXBT 在 X 平台发布的帖子帮助了对两名主要嫌疑人的调查。「看到执法部门根据我分享的信息采取行动,这让我非常有成就感,」ZachXBT 说。「这让我意识到,也许我所做的事情真的有了些成效。」
自从两年前首次引起执法部门的关注以来,ZachXBT 的调查规模——以及某些情况下的结果——都急剧扩大。
2023 年 2 月,他追踪到了加密项目 Platypus 被盗的近 900 万美元资金,并在短短几个小时内识别出其中一名嫌疑人;仅仅一周多后,法国警方逮捕了两名嫌疑人。尽管对这两人的指控最终被撤销,但警方成功追回了数百万美元的资金,Platypus 也在推文中向 ZachXBT 表达了感谢。
同年,他追踪到加密公司 Uranium Finance 被盗的 2500 万美元,其中大部分似乎通过购买稀有的《万智牌》卡片进行了洗钱。当臭名昭著的网络犯罪组织「Scattered Spider」对拉斯维加斯的凯撒娱乐公司发动勒索软件攻击,并从该公司勒索到 1500 万美元时,ZachXBT 帮助追踪并追回了其中的 1200 万美元,其他参与该案件调查的人员向《连线》透露了这一消息。
大约在同一时间,ZachXBT 公布了一项重大调查结果,揭露了朝鲜黑客实施的 25 起加密货币盗窃案,总金额超过 2 亿美元,其中约 700 万美元在他的帮助下被冻结。这些黑客行动中,有大约一半此前从未被公开过。
他随后跟进了一项调查,揭露了一个由约 30 名朝鲜 IT 工作者组成的网络,他们渗透进了科技公司,并以加密货币形式获得报酬。在其中一个案例中,一名疑似与朝鲜有关的技术人员被 NFT 公司 Munchables 雇佣,成功窃取了 6200 万美元的加密资产。当 ZachXBT 帮助识别并标记这笔资金后,窃贼由于无法轻易将钱变现,最终被迫将其归还。
「你知道那是多少钱吗?」
回到开头那起盗窃案,当 ZachXBT 在机场收到提示,发现 8 月 19 日发生的单个受害者被盗走 2.43 亿美元的线索时,这是他所追踪过的最大盗窃案之一。
从国际航班回到家后,他连续数天追踪这些分散的资金流,同时在社交媒体上监控三名嫌疑人的动向,其中两人使用网名 Greavys 和 Box。特别是 Greavys,真名是 Malone Lam,似乎身处迈阿密。他在网上发布的内容和照片显示自己与豪华房产、钻石手表、私人飞机以及豪车为伴,其中包括一辆 Lamborghini Revuelto 和一辆 Pagani Huayra,后者的售价通常超过 300 万美元。
ZachXBT 还发现,Greavys 曾送给一些网红价值 3 万到 5 万美元的 Birkin 和 Hermès 包包,并在夜店里出现了服务员举着写有「WHO WANT A BIRK」(谁想要个 Birkin 包)的电子标牌,标记着他的名字。
「看起来他们除了狂欢和偷钱,什么都不干,」ZachXBT 说道。
几天内,ZachXBT 说服了在他飞行途中第一次给他发私信的线人,向他提供了一段三名疑似参与盗窃的黑客之间的屏幕共享视频。这些黑客毫不知情,其中一名嫌疑人在共享屏幕时,又与另一群朋友共享了他的屏幕,而其中一位朋友似乎录下了这段视频。
在这段 90 分钟的视频中,ZachXBT 表示,三名黑客多次互相用他们的名字称呼对方。而在另一个片段中,其中一名男子还短暂展示了自己的 Windows 主屏幕,意外暴露了他的姓氏。
视频甚至捕捉到了这几名黑客得手后兴奋狂喜的时刻。「天啊!天啊!2.43 亿美元!太棒了!」其中一人在视频中喊道,「我要疯了!我们搞定了,我们搞定了。我快要爆炸了。你知道那是多少钱吗?」
9 月 18 日下午晚些时候,距离 ZachXBT 开始调查还不到一个月,Lam 在迈阿密的一处海滨出租物业中被捕,他每月为此支付 6.8 万美元。Box——真名为 Jeandiel Serrano——在洛杉矶机场被逮捕,当时他正与女友从马尔代夫度假返回。据检方称,他被捕时戴着一块价值 50 万美元的手表,租住在洛杉矶附近的一处房产,每月房租超过 4 万美元,并且花费了 100 万美元购买豪车。
第二天,针对 Lam 和 Serrano 的电汇欺诈和洗钱指控被解封,根据法庭文件,两名黑客都向执法调查人员承认参与了多起加密货币盗窃案。Lam 特别承认,这些犯罪所得为他购买了不下 31 辆高端汽车。
目前为止,2.43 亿美元中已有 7900 万美元被查封或冻结,ZachXBT 希望还能找到更多被盗资金。检察官表示,即使在嫌疑人挥霍一番后,仍有超过 1 亿美元下落不明。
ZachXBT 的第三名嫌疑人,目前根据公开记录显示可能居住在康涅狄格州,但尚未被指控任何犯罪。然而,记者 Brian Krebs 指出一份刑事诉状,描述了一群男子在 8 月底 2.43 亿美元盗窃案发生四天后,涉嫌在康涅狄格州抢劫了一对五十多岁的夫妇并短暂绑架了他们,因为这些劫匪「相信受害者的儿子拥有大量数字货币的访问权限」,这暗示受害者可能是 ZachXBT 追踪到的第三名涉嫌资金接收者的父母。
对 ZachXBT 来说,这次调查可能是一个转折点。这是他第一次由受害者聘用并获得报酬,而不是作为志愿者靠捐赠来工作。他表示,未来可能会更多地从事这样的有偿工作,甚至考虑创办自己的调查公司。
但 ZachXBT 坚称,他并不是为了通过揭露这些事件致富。「我看到资金被查封、归还给受害者、嫌疑人被逮捕,这就是我的目标,这也是我最初的目的,」ZachXBT 说。「看到这些事情对人们有所帮助,这才是我获得满足感的来源。」
他的合作伙伴 Taylor Monahan 来自加密钱包公司 MetaMask,现已与他合作了数十项调查。她认为 ZachXBT 依然主要受到正义感的驱使——这种正义感源于他曾经也是加密货币世界的受害者,想要防止其他人遭遇同样的结局。
「他和这个领域的许多人有着相同的经历,那就是发生了不好的事情,而身边的人都只会说『这真倒霉』,」Monahan 说。「他本能地拒绝接受这种经历,并且想要改变这一切。」
Monahan 说,「他和这个领域的许多人有着相同的经历:当遇到不幸的事情时,周围的人只会说『真倒霉』,但他本能地拒绝接受这种无奈的回应,决心改变这一切。」