前言:盜竊事件猖獗,令加密二字蒙塵。在成為比特幣史上最著名的盜竊案,當時世界上最大的加密貨幣交易所Mt.Gox被盜事件的受害者後,Kim Nilsson決定反擊,歷時三年,這場“比特幣大冒險”終於迎來了大結局。
今天,Bianews將為大家奉上一篇譯文,講述這段“悲傷又骯髒”的故事。(原文發於華爾街新聞)
Kim Nilsson沸騰了。
那是2014年,這位軟件工程師發現他查詢不到自己持有的比特幣。顯然有人犯下了一項罪行,而警察似乎無法調查,更不用說解決了。
代幣從一個名為Mt.Gox的比特幣交易所中流失,成百上千的投資者遭受嚴重打擊甚至破產。超過4億美元似乎在網絡空間中憑空消失了。
與許多受害者不同,Nilsson決定反擊,他與同樣遭到了比特幣盜竊,打算追蹤匪徒的一位律師和另一位夥伴合作。
接下來則是三年的互聯網追蹤之旅,直到去年夏天,結束於希臘海灘。
在一座擁有1000年曆史的修道院裡,聯邦調查局特工逮捕了一名俄羅斯男子,並指控他以最新匯率對價值約40億美元的比特幣進行了洗錢活動,這是加密貨幣為數不長的歷史中數額最大的罪行之一。
他在比特幣世界的中心發現了一項涉及數十億美元的盜竊和洗錢計劃,這表明,對投資者而言,這個基本上未受監管的數字化荒野是多麼危險。
他的工作——他稱之為“區塊鏈考古”——已經成為一項產業,一大批加密貨幣私人調查公司正在跟蹤資金流動,並對潛在的針對大型銀行、交易所和執法機構的犯罪行為進行調查。美國政府機構——包括聯邦調查局、中央情報局和國稅局——都有自己的加密貨幣調查員。
自比特幣問世以來的9年左右時間裡,以幣價峰值計算有超過150億美元的加密貨幣被盜,其中大部分是通過黑客手段竊取的,就像導致Mt. Gox崩潰的黑客行為一樣。
這一數字還不包括未公開的盜竊行為,也不包括用於購買被盜信用卡或支付黑客費用等其他非法活動的加密貨幣。
比特幣盜竊的問題由來已久,盜竊也是自從貨幣產生便存在的問題。這就催生了一個新的職業:像Kim Nilsson這樣的比特幣偵探。他是Mt. Gox交易所大規模黑客攻擊的受害者。
這些盜竊行為只是比特幣目前面臨的威脅之一。
比特幣承諾建立一個匿名的分佈式支付系統以取代銀行交易,但當人們在大型集中的交易所進行交易,收集詳細的用戶數據並提供給政府調查人員時,匿名就不存在了。另一方面,投機者造成了比特幣的價格波動,使得比特幣作為一種貨幣無法生存,作為一種投資也很危險。
此外還有犯罪問題:在政府監管不足以控制比特幣交易的情況下,竊賊們已經開發出了創造性的方法,不僅可以入侵交易所直接盜竊,還可以利用比特幣為各種其他計劃提供便利。信用卡竊賊出售被盜的卡換取比特幣;網絡安全研究人員稱,黑客——包括一些來自朝鮮的黑客——已經在從用比特幣支付的贖金中獲取數據。
監管機構現在迫切地希望將比特幣納入更多與傳統投資相同的規則中。
36歲的瑞典人Nilsson生活和工作在東京擁擠的高樓裡,對於他這樣的真正的比特幣信徒來說,這是一種墮落。
在金融危機後的樂觀情緒中,Nilsson與活躍在日本數字貨幣界的其他人士一同湧入了比特幣市場。比特幣是由一位名叫中本聰(Satoshi Nakamoto)的神秘編碼員創建的,它僅以被稱為區塊鏈的數字賬本中的一串代碼的形式存在於互聯網上,不屬於主流金融體系。
這個賬本是由分佈在世界各地的成千上萬的計算機維護的。它的交易是公開的,但背後的人卻不是。這種形式確保了一個人不能多次使用相同的比特幣支付商品或服務。而人們雖然可以看到比特幣在由字母串和數字標識的“地址”之間移動,卻看不見錢包主人的名字。
理論上,這個過程是去中心化的,每個比特幣持有者都負責跟蹤密碼。不需要可信的中介如銀行或信用卡公司來確保交易的有效性。
但實際上,很多比特幣交易是通過交易所進行的, 而不是直接使用區塊鏈的人。許多基本上不受監管的交易所的運作方式很像傳統的金融機構,將買家和賣家聯繫起來,並將他們的貨幣存入在線賬戶。交易所一旦遭到網絡攻擊,這些帳戶和用戶信息就會被洩露。
總部位於東京的Mt.Gox交易所,曾經是這類交易所中成立最早也是規模最大的一個。它提供了一個買賣比特幣的平臺,以及一項維護用戶加密數字錢包的服務,比特幣存儲在數字錢包中。
2012年,Nilsson從一個朋友那裡買下了人生第一枚比特幣。一年後,他開始從Mt. Gox購買加密貨幣,有了一些積蓄。
Nilsson下巴蓄著鬍子,穿著上世紀90年代的黑客——或匆忙趕往一場演唱會的歌迷一樣的深色衣服,他斷斷續續在東京生活了大約10年。
為了追尋比特幣失竊案的答案,Nilsson經營著樸素的業務
拍攝: SHIHO FUKA/華爾街新聞
當時這位比特幣買家並不知道,Mt. Gox正面臨著麻煩。黑客們在2011年獲得了這個交易所用戶的私鑰,並開始從加密錢包中竊取比特幣——在4年的時間裡,大約有63萬枚比特幣被盜。
Mt. Gox的所有者、旅居東京的法國人Mark Karpeles一直試圖隱瞞失竊,直到2014年初,Mt. Gox停止提款並申請破產。
這是比特幣短暫歷史上最大的一次崩潰,產生了成百上千的受害者。一名加州男子損失約4萬美元;芝加哥的一位投資者損失超過5萬美元。 Daniel Kelman是一名在布魯克林受過教育的律師,曾經居住在臺灣。他在Mt.Gox失竊案中損失了44.5枚比特幣,按照當前價格計算,約合40萬美元。此後他前往東京,試圖尋找竊賊的線索。
在一家位於高層大廈裡的酒吧舉行的一次比特幣聚會上,這位律師遇到了一名頭髮蓬亂的夏威夷人Jason Maurice。自稱“Wiz”的Maurice把同事Nilsson的名字告訴了他,說Nilsson有解決Mt. Gox盜竊案的編程天賦。
泰迪漢堡店是Maurice經常光顧的幾家夏威夷連鎖餐廳之一,在這家店吃晚飯時,兩人討論了一個計劃,希望找到失蹤的加密貨幣,並將他們的成功轉化為商業利益。
“你看過那些關於肯尼迪遇刺的紀錄片吧,20年後你還能看到它們嗎?”Kelman先生,這位律師對他的合夥人們說。“20年後就是我們了。”
Nilsson, Kelman和 Maurice用Maurice的外號WizSec命名了他們公司,並打出了“比特幣安全專家”的口號。這是一項並未得到廣泛認知的工作。
Nilsson說,“這項業務很快使我工作在技術前沿。”
在沒有錢購買新技術或辦公室的情況下,他在位於東京市中心的一棟高層建築內的650平方英尺的公寓裡進行著調查。
Nilsson家裡只有一臺家用電腦,是他為玩遊戲從網上購買配件自己組裝的,這電腦缺乏有效地搜索比特幣區塊鏈的計算能力,搜索可能會耗掉通宵。
因此,Nilsson開發了一個索引區塊鏈的程序,讓他能夠快速搜索每筆交易的流入、流出和地址。
儘管開始發現了一些盜竊模式,但它們很難破譯,因為區塊鏈無法識別每筆交易背後的人,而且也沒有將區塊鏈地址與真實的人連接起來的在線名簿。
幸運的是,他堅持了下來。Mt. Gox數據庫的部分內容被洩露,部分內容被傳到互聯網上,還有部分內容被記者找到。Nilsson獲得了洩露的數據——交易、取款、存款和用戶餘額的私人記錄。
Mark Karpeles經營著Mt. Gox,直到2014年比特幣交易所崩盤
拍攝:AKIO KON/彭博社
2014年5月,另一名程序員發佈了一份對洩露信息的分析。它發現,賬戶購買比特幣的方式似乎是自動的,而且是為了支撐Mt. Gox控股公司的價值。
重新追蹤這份報告時,Nilsson意識到,他可以利用這個數據庫找出與比特幣交易所相關的每一個比特幣錢包,然後追蹤它們的交易,從而計算出Mt. Gox損失了多少比特幣。
調查佔據了他的生活。他還在做他的全職工作,晚上在三個發光的屏幕前喝可樂。一個屏幕上有一行代碼,另一個屏幕上有一個記錄關鍵信息的電子表格,第三個屏幕上有筆記。
經過幾個月努力,Nilsson獲得了近200萬個與Mt. gox有關的地址——但不知道是誰使用了每個地址,也不知道是為了什麼目的。他需要內線的幫助。
當時,日本執法部門正在調查Mt. Gox,Mark Karpeles正在低調行事。Kelman曾通過Internet Relay Chat的比特幣頻道聯繫他,他知道Karpeles經常出現在這裡。“有一天我登上了IRC,我就開始指責Mark Karpeles挪用公款,”Kelman說。
為了洗刷罪名,Karpeles同意在另一家漢堡餐廳與Nilsson和Kelman會面。他確認了Nilsson整理的賬戶信息,並幫助他完善了Mt. Gox交易地址的完整列表。這兩位投資者說,他還告訴他們一件直到很久以後才被公開的事情:Mt. Gox上的可疑交易是Karpeles為了掩蓋不明身份的盜竊現象而開發的一個項目的成果。
Karpeles拒絕對此置評,但此前他否認了從Mt. Gox挪用資金。
Nilsson翻遍了剩下的數千個錢包,得出了雖然Mt. Gox應該擁有有大約90萬比特幣,但它只剩不到20萬的結論。
其實早在2011年,他就發現加密貨幣丟失了。“不管是不是有意為之,”他在2015年的博客文章寫到,“至少從2012年開始,Gox在技術上就已資不抵債。”
這些比特幣流向其他交易所後,有些似乎被換成了現金。Nilsson不知道是誰在偷或賣它們,但他覺得自己離線索又近了一步。
為了獲得更多信息, 2015年4月,他在WizSec博客上發佈了調查結果。他概述了他所知道的情況,以及他認為偷竊比特幣的人不是Karpeles。
“那是誰幹的?”
不久之後,Nilsson得到了一個意外的消息。在加密界被稱為“調查員”的美國國稅局特工Gary Alford,確認了暗網“絲綢之路(Silk Road)”的所有者。
這令Nilsson不舒服,他進入比特幣市場的部分原因就是為了避開監管機構。
“很明顯,在我所處的圈子裡,被國稅局幫助是一種恥辱”,“稅務員並不受歡迎”。
但Kelman和Nilsson認為,政府方憑藉其廣泛的影響力、強大的資金和技術,或許能夠提供幫助。
“就像一條單行道,” Kelman說,“我們給了他們一切。” Kelman認為Alford的介入只是保證“你們都在正確的軌道上”。
Kim Nilsson和Jason Maurice,在Mark Karpeles東京的家裡製作蘋果派
拍攝:Mark Karpeles
Nilsson加倍努力,他追蹤了從Mt. Gox流入其他交易所的加密貨幣流,其中包括一家名為BTC-E的交易所。而在追查中,他發現了一些意想不到的東西:Mt. Gox比特幣錢包裡,藏著從其他交易所偷來的比特幣。
Nilsson用Mt. Gox數據洩露事件的信息對其中的一些交易進行了交叉引用。他看到從Mt. Gox偷來的一些加密貨幣被存入了其他Mt. Gox賬戶,其中一個賬戶收到一筆現金存款,並附了一張寫著“WME”的紙條。
Nilsson知道,持有WME賬戶的人就持有被盜的Mt. Gox加密貨幣。他只需要弄清楚那個人是誰。從那之後,Nilsson從區塊鏈的分析轉向了老式的全網搜索調查。
通過調查,Nilsson發現一名在莫斯科經營貨幣兌換業務的WME人員,他在2011年時曾在Bitcointalk.org網站上寫道,“你好,我從事交易已經超過10年了,現在我開始從事比特幣交易,我可以用它交易一切。”
“我傾向於大額交易。”WME補充道。
Nilsson還更深入地發現WME錢包與加密貨幣交易所BTC-E有關聯。
Mt. Gox的一些比特幣最終流入BTC-E賬戶,卻似乎從沒有被交易,留在了與BTC-E管理員相關聯的錢包裡。BTC-E會與盜竊案有關嗎?
下一步就是找出WME。
這看起來非常難,一般犯罪分子在每筆交易中會使用不同的錢包,並小心翼翼,從不留下假名與真實身份相關聯的信息,這使其很難被抓獲。
而WME顯然很不小心,Nilsson表示WME的身份處理是“很粗心的”,這就提供了線索。
首先是將WME與特定賬戶聯繫起來。Nilsson發現了一篇2012年的帖子,一個名為“WME”的用戶聲稱被另一個交易平臺騙了錢:“這是一份針對CryptoXchange公司的詐騙報告,他從我這裡偷走了10萬多美元,並拒絕歸還。”
為了支持自己的案子,WME發了一些自己和CryptoXchange公司之間的一些信息交流,還附上了他的律師寫給公司的一封信。在一條信息的底部,CryptoXchange告訴WME他的錢存放在一個名為“VINNIK ALEXANDER”的賬戶。
Nilsson驚呆了,“我甚至不相信這是一個真實的名字,”他表示,“我以為是化名什麼的,為什麼有人會在網上發佈自己的真實姓名和銀行信息?”
Nilsson把這個名字傳給了國稅局的代理阿爾福德。那時是2016年夏天。
Nilsson已經在此案上工作了兩年。
俄羅斯被指控利用比特幣進行洗錢活動的Alexander Vinnik在希臘海灘被捕。
拍攝: COSTAS BALTAS/路透社
當時他不知道的是,遠在大洋彼岸的BTC-E是政府調查人員的目標。在肯尼迪時代的一家聯邦法院內,特工和檢察官利用美國司法部享有的傳訊權、技術水平和預算,來到了Nilsson所在的地方。
網絡安全研究人員表示,BTC-E是全球罪犯首選的交易平臺。該公司在歐洲的銀行關係允許客戶購買比特幣或將其兌換成歐元和盧布。一位私營部門的區塊鏈調查人員估計,到2016年,在所有加密貨幣刑事案件中,有60%到70%涉及到BTC-E。
美國國稅局調查員Tigran Gambaryan說:“沒有人知道BTC-E是誰。也沒有人知道它幕後的人是誰。我們認為可能是在保加利亞,或者塞浦路斯。”Gambaryan現在是Vinnik調查的主要負責人。
Gambaryan先生說,代理商所知道的是BTC-E是當時最大的比特幣交易所之一,而且它不詢問任何關於“用戶身份”的問題。Alford則拒絕發表評論。
法庭文件顯示,聯邦調查人員還發現了一個“WME”賬戶,裡面有被盜的Mt. Gox硬幣,與BTC-E有關。
代理人追蹤區塊鏈交易和傳喚銀行記錄。他們確定,在2013年至2015年期間,一個與BTC-E和一名俄羅斯公民有關的賬戶參與了向塞浦路斯和拉脫維亞銀行的現金轉賬,這些地區的洗錢者將這些銀行用作向歐洲大陸銀行轉賬的主要渠道。
2016年末,檢察官有足夠的證據起訴Vinnik。
由於俄羅斯一般不會將網絡罪犯驅逐出境,美國特工想辦法在其他地方逮捕他。他們在2017年1月提交了一份密封的聯邦起訴書,指控Vinnik和未具名的同夥通過BTC-E洗錢約40億美元。當Vinnik先生在希臘度假時,聯邦調查局和當地警方已經做好了將其逮捕的準備。
7月25日,便衣警察在海灘上包圍了Vinnik,並逮捕了他。據一名希臘執法官員援引法庭文件稱,他們繳獲了兩臺筆記本電腦、兩臺平板電腦、五部手機和一臺路由器——這可能是瞭解BTC-E的重要證據。
Vinnik先生的未來尚不明朗。美國正試圖引渡他,但俄羅斯反對,並表示希望他能回到莫斯科面對一宗涉案金額9500歐元的欺詐案。
Kim Nilsson在他的東京辦事處顯示了表明被盜虛擬貨幣流動的圖表。
拍攝:SHIHO FUKADA/華爾街新聞
在希臘的法庭聽證會上,Vinnik的俄羅斯律師否認了這些指控。他說,Vinnik不是BTC-E的僱員,並聲稱他在與美國在全球金融體系中的主導地位作鬥爭。這位律師呼籲希臘人和俄羅斯人擁有共同的東正教傳統,稱他們不能把“同一宗教的兄弟”送到美國。Vinnik花了整個驅逐聽證會的時間來閱讀聖經。
7月30日,一個由希臘法官組成的小組同意將Vinnik引渡到俄羅斯,不過希臘不同的法院也裁定Vinnik應該被引渡到美國或法國。如果Vinnik在希臘的避難申請失敗,那麼將由司法部長決定將他送往何處。
這次逮捕是數字貨幣犯罪世界中規模最大的一次。但當他們突襲Vinnik時,特工們知道逮捕俄羅斯人不太可能阻止BTC-E。參與調查的人士說,目前尚不清楚Vinnik是否是BTC-E的領導人,亦或是否是行動中至關重要的人物。事實上,他們和Nilsson說,其策劃者可能仍在前蘇聯集團的某個地方,擁有豐富的比特幣,而且仍在運營。
Vinnik被捕後沒幾天,BTC-E就以新名字重新上線。其最新的運營商(其身份無法確定)保留了BTC-E的客戶名單和許多技術元素,但該網站的管理層與之前不同。本月早些時候,這些運營商宣佈將關閉該交易所。記者無法聯繫到他們。
知情人士說,聯邦檢察官認為Vinnik是BTC-E幾個目標中的第一個。
Nilsson對Vinnik被捕感到高興,但仍感到沮喪。他覺得他找到了騙他的人,但他的錢被困在Mt. Gox的破產程序。Nilsson希望比特幣能讓他避開政府、金融機構和騙子。而現實正相反,他和他的幾枚比特幣都捲入了其中。
“這是一個悲傷又骯髒的故事。”他說。
閱讀更多 灰產圈高端社群 的文章
