撰文:Andy Greenberg,Wired
编译:Yangz,Techub News
8 月 19 日,一匿名为 ZachXBT 的二十多岁男子走进机场准备登机回家。至于是哪个机场,真实姓名以及家在哪里,他不愿多说。这时,他在手机上收到了一条链上警报,一笔比特币刚刚被转移到了一家小型加密货币交易所。这是他近日持续监控的众多交易之一,而该警报成功引起了他的兴趣,因为这是一笔价值约 60 万美元的交易,资金套现额度是该交易所一般交易额的 10 倍。
在 ZachXBT 抵达登机口时,又一条警报弹出,提示同一交易所上第二笔交易的价值超过 100 万美元,而紧接着又是一笔 200 万美元的交易。于是,ZachXBT 急忙用手机开始追踪,从一个比特币地址追溯到了另一个比特币地址,标记出可疑资金,并争分夺秒地在飞机起飞和 Wi-Fi 中断前的半小时内寻找这笔资金的来源。在起飞前,他确定了这些资金来自同一钱包,而该钱包持有价值数亿美元的比特币,自 2012 年以来从未发生过转移,现在这九位数的资金正在以任何超 10 年的比特币 Hodler 都无法接受的交易成本匆忙变现。
在 ZachXBT 看来,这笔资金的快速流动就像是一场巨大的盗窃。事实上,当他仔细核对上述信息后,ZachXBT 怀疑有人从受害者那里窃取了价值约 2.43 亿美元的比特币,而这可能是有史以来针对个人的最大的已知加密货币抢劫案。ZachXBT 告诉《WIRED》:「我完全不敢相信这是从个人身上窃取的。」
当飞机飞到 1 万英尺以上的高空时,ZachXBT 连上了 Wi-Fi,继续追踪更多被盗资金的流向。尽管盗窃者试图通过十多个平台来混淆行踪,但 ZachXBT 在接下来的几个小时里成功绘制出了资金流向的分支图。
当他顺着线索找到丢失比特币的受害者时,ZachXBT 发现部分资金最初来自现已倒闭的加密货币交易所 Genesis。于是,他在 X 上直接给交易所管理员发送了消息,请他们帮助联系受害者,而受害者最终也请 ZachXBT 帮助其追回了被盗资金。
航班降落后,ZachXBT 发现被盗资金有三条主线,他认为这三条主线分别指向三个可能的罪犯。此外,他还向 X 上的 65 万多名粉丝发布了一条消息,指出了正在发生的盗窃事件。很快,他就收到了一条消息,消息来源称已掌握了窃贼的身份线索。
在接下来的一周里,ZachXBT 日以继夜(每次睡眠时间不超过四五个小时)地调查此案,并定期与执法机构分享他的调查结果,最终确定了这起盗窃案的幕后嫌疑人,包括两名二十出头的年轻黑客 Malone Lam 和 Jeandiel Serrano。(ZachXBT 还指认了另一名被指控的黑客,但《WIRED》并未公开此人的姓名,因为此人尚未被逮捕或起诉)。此外,ZachXBT 甚至还获得了一段黑客在完成盗窃后庆祝的录像。根据 ZachXBT 在 Instagram 和 TikTok 上的调查,其中一名嫌疑人在成功盗窃后,在汽车、私人飞机上挥霍了数百万美元,且每晚在俱乐部的花费高达 50 万美元。
在 ZachXBT 手机收到警报后不到一个月,三名嫌疑人中就有两人落网并受到了刑事指控。而在看到其中一名黑客的照片时,ZachXBT 称自己感受到了肾上腺素的飙升,但很快这种感觉就过去了。「我并没有什么特别的成就感,」ZachXBT 说,「我只是把它当作类似案件来处理。」
人民的加密货币私家侦探
如果说追踪价值 2.5 亿美元的盗窃案对 ZachXBT 来说就像是在互联网上度过的又一天,那或许是因为他在过去三年里已经将自己塑造成了世界上最多产的以加密货币为重点的独立侦探。自 2021 年作为业余调查员开始工作以来,他已经追踪了数十亿美元的资金和骗局。根据他自己的统计,其数百次的调查直接帮助追回了价值约 2.1 亿美元的加密货币犯罪资金,此外,其还间接帮助受害者追回了 2.25 亿美元的被盗资金。ZachXBT 斥责了在拉高抛售计划中推广各类代币的 KOL,追捕了大规模加密货币窃案背后的网络犯罪分子,并揭露了数十起朝鲜黑客入侵加密货币公司,甚至以员工身份潜入这些公司的事件。
在所有追踪过程中,ZachXBT 收到的「报酬」几乎全部来自加密货币捐赠,形式包括加密货币组织的赠款,以及陌生人向他在社交媒体资料中列出的地址汇款,自 2021 年以来,大约有 130 万美元。「他是新一代的调查员。他为人民工作,」曾与 ZachXBT 合作过的特勤局分析师 Joe McGill 说。「他的成功完全与他自身的能力息息相关」。
然而,在 ZachXBT 从事加密货币义警的同时,他也一直戴着面具。在网络上,他只以穿着侦探风衣或连帽衫的鸭嘴兽卡通形象示人。为了避免在加密货币世界中遭遇众多敌人和欺诈者的报复,他从不公开露面,也不透露自己的真实姓名或确切年龄,而且只愿意在我不试图挖掘这些身份细节的条件下接受采访。
McGill 回忆道,在他们早期的一些电话会议上,ZachXBT 不仅会关闭摄像头,甚至还会使用变声软件,有时听起来像高亢的「南方公园角色」,有时则会加深音调,让人联想到恐怖片中的声音。「一开始感觉很奇怪,」当时还在加密货币安全公司 TRM Labs 工作的 McGill 表示,「但我尊重他的隐私,因为这位匿名者的工作非常出色。」
此外,加密货币调查员、Five I's公司创始人 Nick Bax 表示,ZachXBT 几乎每周都会揭露许多加密货币犯罪骗局和盗窃行为,其工作速度往往远远超过执法机构,以至于 Bax 曾半开玩笑地评论道:「他就是一台机器。」
在去年的一次调查中,他们合作追踪了 2021 年一个名为 AnubisDAO 的加密货币项目的 6000 万美元失窃案,作为调查的一部分,Bax 在一个周六晚上给了 ZachXBT 一份 500 笔交易的清单,每笔交易都需要连同所有相关的区块链地址进行人工分析。「我想这至少能让他忙上几天,」Bax 说。但第二天下午,ZachXBT 就完成了每一笔交易,并确定了哪些交易与盗窃案有关。「我很震惊,」Bax 说,「他肯定连续 12 个小时都伏在电脑前。」
ZachXBT 的许多调查结果都会被毫无保留地发布到他的X 账户上。然而,随着时间的推移,他的调查结果也越来越受到执法机构的关注(他现在经常在发布之前与其中一些机构分享他的调查结果)。「随着 Zach 的势力越来越大,也带来了经济和法律后果,」加密货币公司 MetaMask 的安全研究员、ZachXBT 在调查方面最亲密的合作者之一 Taylor Monahan 说,「如果 Zach 现在发布关于某人的帖子,而且大概率是准确的,那么那人就会被逮捕。」
从受害者到吹哨人
那么,ZachXBT 是如何在没有任何正规培训或组织支持的情况下,成功超越甚至执法部门的专业加密货币调查人员的呢?其实,连他自己也不太清楚。「这个问题很难回答。我也不知道自己为什么这么厉害,」ZachXBT 在接受 WIRED 电话采访时说。他认为这是因为他愿意夜以继日地工作,毕竟加密货币市场不会休市,而且多年来他一直在研究这些庞大的交易账本,因此对加密货币区块链的分析非常熟悉。他说:「你越是关注区块链,甚至吃、睡、呼吸都不与其分离,那么,随着时间的推移,你就会变得越来越敏锐。」「你可以开始发现这些联系,可以查看一个钱包,并在几秒钟内对其进行剖析,判断出它是否是一个不良行为者。」
ZachXBT 说,他对区块链的熟悉来自于他多年来作为加密货币爱好者和交易者的经验,而且他自己也是加密货币经济中一些陷阱的受害者。ZachXBT 表示,大约在 2017 年,自己天真地购买了价值数千美元的代币,而这些代币最终都因「Rug Pull」变得分文不值。ZachXBT 说,「我当时买进的时候想的是,『这将改变我的人生』。然后,我坚定持有,从未卖出,」但结果是,「我是被骗的那个人」。
到 2018 年,ZachXBT 所有投资的代币都崩了盘,而他使用的加密货币钱包 Electrum 也被黑客用恶意软件攻击了,损失又多了近 1.5 万美元。
这时,ZachXBT 决定退一步,重新思考自己的方法。他不再简单地购买并持有代币,而是开始分析链上数据,了解规模更大、更成功的投资者是如何交易代币的,并尝试进行模仿。
到 2020 年,ZachXBT 对追踪加密货币交易已经足够熟悉,能够发现普通投资者看不到的正在进行的骗局。他会看到 KOL 向其数十万粉丝公开宣传某种资产,哄抬价格,然后紧接着出售自己持有的资产。「这更像是吹哨人,」ZachXBT 说,「我会注意到这些活动,然后想,『这让我想起了我在 2017 年和 2018 年上当的事。为什么不发个帖子说说呢?』然后就一发不可收拾。」
当年晚些时候,当 NFT 热潮掀起时,ZachXBT 也开始对 Bored Bunny 和 Billionaire Dogs Club 等 NFT 项目进行类似的审查,以显示流入这些项目的资金的真正去向。其中一些 NFT 卖家仅凭卡通 .jpg 图片就筹集到了数百万美元,并承诺通过这些图片创建的 NFT 可以获得参加独家活动或俱乐部等特权。然而,ZachXBT 可通过区块链分析发现,这些卖家只是在瓜分和私吞资金。有时,一些新的 NFT 项目实际上只是某个已被证明是骗局的早期项目的另一幅面具。
在一定程度上,ZachXBT 发布的关于 NFT 项目方的帖子确实帮助部分买家闭了坑。但随着时间的推移,ZachXBT 对一次又一次揭露同样的、往往是透明的骗局感到厌倦,并对缺乏更具体的结果感到沮丧。在他揭露这些 NFT 骗局后,没有一人面临刑事指控。
随后,在 2022 年初,他开始注意到黑客攻占知名加密货币用户 Twitter 账户,并发布钓鱼链接,导致数千万美元被盗的的现象。每当一名悲痛欲绝的受害者发帖称自己的存款被盗,ZachXBT 就会与他们取得联系,然后一丝不苟地追踪他们丢失的资金。他将这些区块链线索与他在年轻黑客们经常光顾的 Discord 和 Telegram 频道中的消息来源结合起来,找到了几个时常吹嘘自己获取巨额财富的青少年的账号。
此时,ZachXBT 已被加密货币黑道圈子盯上,某位年轻黑客甚至在 Twitter 帖子中公开对其嘲讽,吹嘘自己买了一块爱彼镶钻腕表。而 ZachXBT 也不惯着,紧接着就在一个豪华手表 Discord 频道中找到了手表卖家,并说服卖家交出这名少年的送货地址和真实姓名。
然而,似乎没有公开记录显示这些被指控的嫌疑人是否被捕。也许是出于对未成年人保护,这些指控可能被封存了,也可能从未提起诉讼。但 ZachXBT 找到的一份没收通知显示,2022 年 10 月,也就是 ZachXBT 在 X 上发布他的发现一个月后,联邦调查局从他指认的少年嫌疑人那里没收了价值 20 多万美元的加密资产,当然还有那块钻石手表。
同年,ZachXBT 使用类似的技术追踪到了一起价值 250 万美元的 NFT 网络钓鱼盗窃案,而所有证据指向一对法国黑客。在这起案件中,法国检察官在几个月后逮捕了五名嫌疑人,而据法新社报道,法国检察官特别感谢了 ZachXBT 的贡献。「看到执法部门根据我分享的信息采取行动,让我很有成就感。」ZachXBT 表示,「这让我觉得,也许我一直在做的事情真的是有意义的」。
在首次获得执法部门关注后的两年里,ZachXBT 的调查规模爆炸式增长,成果斐然。2023 年 2 月,他追踪到加密货币项目 Platypus 被盗的近 900 万美元资金,并在数小时内确定了其中一名盗窃者的身份;一周多后,法国警方逮捕了两名嫌疑人。虽然对这两人的指控最终被撤销,但警方追回了数百万美元的资金,Platypus 也在推特上向 ZachXBT 表示了感谢。
同年晚些时候,他追踪了加密货币公司 Uranium Finance 的 2500 万美元失窃案,其中大部分资金似乎是通过购买稀有的 Magic: The Gathering cards 洗钱的。据参与此案并接受 WIRED 采访的其他调查人员称,当名为 Scattered Spider 的网络犯罪团伙对拉斯维加斯的凯撒娱乐公司(Caesar's Entertainment)发动勒索软件攻击,勒索该公司 1500 万美元时,ZachXBT 协助追踪并追回了其中的1200 万美元。
大约在同一时间,ZachXBT 还公布了对朝鲜黑客实施的 25 起加密货币盗窃案的大量调查结果,总盗窃资金超过 2 亿美元,其中约 700 万美元是他帮助冻结的,而且其中约有一半的黑客行为从未被公开披露过。在这次调查之后,他又进行了另一次调查,揭露了一个由大约 30 名朝鲜 IT 人员组成的网络,他们潜入科技公司,并以加密货币获得报酬。在其中一起案例中,一名似乎与朝鲜有关的技术人员受雇于 NFT 公司 Munchables,并设法从该公司窃取了 6200 万美元的加密货币资产。当 ZachXBT 帮助识别并标记这些资金时,因变现困难,该黑客干脆直接把钱退了回去。
「你知道那是多少钱吗?」
即便如此,ZachXBT 8 月 19 日遇上的,单个受害者被窃取 2.43 亿美元的事件仍是他追踪过的最大盗窃案之一。当他乘坐国际航班回到家后,他继续跟踪了这些分支资金好几天,同时监控社交媒体,寻找三名嫌疑人的踪迹,其中两名嫌疑人的头衔是 Greavys 和 Box。尤其是 Greavys(真名为 Malone Lam,似乎居住于迈阿密),发布并出现在了许多豪华房地产、钻石手表、私人飞机和跑车的照片中,包括一辆兰博基尼 Revuelto 和一辆帕加尼 Huayra,后者的售价通常超过 300 万美元。此外,ZachXBT 还发现了一些 KOL 发布的帖子,称 Greavys 向其赠送了爱马仕 Birkin 包包(每个价值在 3 万到 5 万美元之间)。帖子的配图显示,在一家夜总会里,服务员们举着灯牌,上面写着「WHO WANT A BIRK」,并标注了 Greavys 的名字。
没过几天,ZachXBT 就说服了在飞行途中第一次给他发私信的那个线人,让他给他发送了一段视频,视频中是三个似乎参与了盗窃的黑客的屏幕共享。他们不知道,其中一名被指控的黑客在屏幕共享过程中与另一群朋友重新共享了自己的屏幕,而且其中一人似乎还录制了这段视频。ZachXBT 说,在这段 90 分钟的视频中,三名黑客多次直呼对方的名字。还有一次,三人中的一人还短暂地切回了他的 Windows 主屏幕,显示了他的姓氏。
这段视频甚至还捕捉到了这些黑客在完成九位数盗窃后疯狂的反应。「OMG!OMG!2.43 亿美元!Yes!」其中一人在录音中说道。「我们成功了!我们成功了!我简直不敢相信,你知道那是多少钱吗?」
9 月 18 日下午晚些时候,也就是 ZachXBT 开始调查还不到一个月的时候,Lam 在迈阿密的一处海滨高档租房被捕,每月的租金为 68000 美元。而 Box(真名 Jeandiel Serrano)在洛杉矶机场被拘留,当时他正和女友从马尔代夫度假乘飞机回家。据检察官称,他被捕时戴着一块价值 50 万美元的手表,在洛杉矶附近租了一栋月租金超过 4 万美元的房子,还花了 100 万美元购入豪车。第二天,针对 Lam 和 Serrano 的电信诈骗和洗钱指控被公布。根据法庭文件,两名黑客都曾向执法调查人员供认,他们参与了多起加密货币盗窃案。Lam 承认,他们从中获得的利润资助他购买了不少于 31 辆豪华汽车。
到目前为止,在他们涉嫌盗窃的 2.43 亿美元中,已有 7900 万美元被扣押或冻结。ZachXBT 希望还能找到更多的钱。检察官表示,即使在这些黑客疯狂消费之后,仍有超过 1 亿美元下落不明。
根据公开记录,ZachXBT 发现的第三名嫌疑人似乎住在康涅狄格州,但尚未受到任何犯罪指控。不过,记者 Brian Krebs 指出,一份刑事申诉书描述了在 8 月底 2.43 亿美元失窃案发生四天后,一伙男子涉嫌劫持了康涅狄格州一对五十多岁的夫妇的兰博基尼跑车,并短暂绑架了他们,计划从其儿子手中劫取大量加密货币资产。也就是说,这名儿子很可能就是 ZachXBT 追踪到的第三名资金接收者。
对 ZachXBT 来说,这次调查可能是其职业生涯的一个转折点。这是他第一次被受害者聘用,并获得报酬,而不是作为志愿者凭着捐赠而展开调查。他说,他可能会转型做更多有偿工作,甚至成立自己的调查公司。但他坚持表示自己不会为了财富才开展调查。「我想看到的是,被盗资金被没收并归还,盗窃者被捕落网,这就是我的目标,是我打算做的事情,」ZachXBT 说。「看到人们从中受益,就是我的幸福感源泉」。
已与 ZachXBT 合作开展数十起调查的 Taylor Monahan 表示,ZachXBT 在很大程度上是受正义感的驱使,而这种正义感来自于他自己曾经也是加密货币世界残酷行为的受害者,并希望帮助其他人免遭同样的境遇。「他和这个领域的许多人都有过同样糟糕的经历,周围的人都会自认倒霉,」Monahan 说,「但他从内心拒绝这种经历。他想改变这种状况」。
