作者:Andy Greenberg

編譯:Ismay,BlockBeats

編按:和Ansem 對線、公佈Murad 地址,曝光U 商王逸聰、披露SHAR 的項目方deck,相信很多讀者最近都頻繁聽到ZachXBT 這個名字。自2021 年以來,鏈上偵探ZachXBT 已幫助詐騙、被盜受害者追回近5 億美元。上個月,他破獲了2.43 億美元的竊盜案,這是有史以​​來針對個人的最大竊案。從區塊鏈的深處追蹤犯罪到揭露奢華生活背後的巨額資金流轉,ZachXBT 憑藉自己的智慧與執著,在短短幾年間幫助追回了數億美元的被盜資金。 《連線》雜誌的這篇文章將帶你走進這位加密貨幣「無面偵探」的神秘世界,揭示他如何與加密犯罪鬥智斗勇,以及那些鮮為人知的幕後故事。

以下為原文內容:

8 月19 日,一位二十多歲的年輕人,網名ZachXBT,正準備登機回家。他並不願透露是哪個機場、他的真名以及他住在哪裡。

這時,他的手機彈出了一條警報:一筆比特幣被轉移到一個小型的加密貨幣交易所。這是他長期監控的許多交易所之一,主要目的是尋找與犯罪洗錢相關的資金流動。這項警報引起了他的注意:這筆交易金額約為60 萬美元,遠遠超過該交易所日常交易規模的10 倍。

當他到達登機口時,手機又響起一條新的提醒:同一交易所上又發生了超過100 萬美元的交易。隨後又有一筆200 萬美元的交易。

當ZachXBT 排隊準備登機時,他迅速在手機上追蹤這些資金,倒查這些比特幣地址,並標記了可疑資金,試圖在飛機起飛後的半小時網路中斷之前查明資金來源。

在飛機升空前,他已經確定這筆資金來自一個自2012 年起就未動用過的大額比特幣錢包,總金額達數億美元。而現在,這筆價值九位數的巨額資金正在被急於套現,並且支付了高額交易費用,這種做法顯然不是一個持幣十多年的投資者會接受的。

在ZachXBT 看來,這種資金流動很明顯是一起巨額竊盜案。

經過進一步核實,他發現有人從一位受害者手中盜走了價值約2.43 億美元的比特幣,可能是有史以來最大的一起針對個人的加密貨幣盜竊案。 「這真的是一個非常異常的數額,竟然是從一個人那裡盜走的,」ZachXBT 對《連線》雜誌說道,「我不得不確認自己沒有看錯。」

當飛機升至一萬英尺以上並且Wi-Fi 恢復工作後,ZachXBT 開始追蹤更多被盜資金的流向。

這些資金透過一個又一個交易所和幣幣兌換服務平台被轉移。在接下來的幾個小時裡,他加速繪製出這些資金流動的分支圖,發現駭客透過十幾個平台試圖隱藏資金的痕跡。

隨著他沿著這條線索追溯到比特幣的失主,ZachXBT 發現部分資金最初來自已經倒閉的Genesis 加密貨幣交易所。他透過X 平台(原Twitter)私訊該交易所的管理員,請他們聯絡受害者,最後受害者聘請他追蹤被盜資金。

當他抵達目的地時,ZachXBT 已經發現被盜資金分成了三個主要的資金流,指向了他認為的三名嫌疑人。他還向自己在X 平台上超過65 萬的粉絲發布了一條訊息,指出區塊鏈上正在進行的盜竊活動。

不久後,他收到了一名線人的消息,聲稱掌握駭客身分的線索。

接下來的一周,ZachXBT 日夜工作,每天只睡四到五個小時,並定期將他的調查結果分享給執法機構。他最終確定了涉嫌盜竊的嫌疑犯——兩名二十出頭的年輕駭客,名為Malone Lam 和Jeandiel Serrano。 ZachXBT 還確認了另一名涉嫌駭客,但《連線》雜誌選擇不公開他的姓名,因為該人尚未被逮捕或指控。

他甚至獲得了一段視頻,視頻顯示其中一人在完成盜竊後慶祝這筆巨額財富的得手。在他的快速調查中,ZachXBT 甚至還追蹤到這些嫌疑人的Instagram 和TikTok,看到其中一人揮霍數百萬美元,購買豪華汽車、乘坐私人飛機,還在夜總會裡一晚消費高達50 萬美元。

自從飛機上收到那條警報後,不到一個月的時間,三名嫌疑犯中的兩人被逮捕並面臨刑事指控。

當ZachXBT 終於看到其中一名駭客的拘捕照時,他表示自己感到了一陣短暫的腎上腺素激增,但很快便恢復了平靜。 「我並沒有特別的成就感,」ZachXBT 說道,「我只是把它當作另一起普通的案件。」

「幣圈名偵探」ZachXBT:衝在犯罪第一線,如何隻身破獲 2.43 億美元竊盜案?

比特幣竊盜案調查結果|ZachXBT 的置頂推文

為大眾服務的加密貨幣私家偵探

如果追蹤一起價值2.5 億美元的竊盜案對ZachXBT 來說就像在網路上度過的平常一天,那麼這或許是因為在過去三年裡,他已成為全球最活躍的獨立加密貨幣偵探。

自2021 年作為業餘調查員開始工作以來,他已追蹤到數十億美元的被盜資金和詐騙案件。根據他提供給《連線》雜誌的一份表格統計,他的數百起調查直接促成了約2.1 億美元的犯罪加密貨幣資金被追回,另有約2.25 億美元的資金在他間接幫助下為受害者追回。

他揭露了透過拉高出貨騙局推銷代幣的網紅,追蹤了大型加密貨幣竊盜案背後的網路犯罪分子,並揭露了數十起北韓駭客入侵加密公司甚至以員工身分滲透的事件。

在整個過程中,他幾乎完全依靠加密貨幣捐贈來資助他的工作,包括來自加密貨幣組織的撥款和陌生人透過他社交媒體個人資料中列出的地址發送的貢獻款項,自2021 年以來,已累計約130 萬美元。 「他是新一代的調查員,他為大眾服務,」曾與ZachXBT 合作的美國特勤局分析師Joe McGill 表示,「他的成功完全取決於他調查的成功。」

在追求成為加密貨幣「正義警察」的過程中,ZachXBT 始終小心翼翼地保持匿名。在網路上,他只以他的頭像形像出現——一隻穿著偵探風衣或有時是連帽衫的鴨嘴獸卡通形象。為了避免受到加密貨幣犯罪分子和騙子的報復,他從未公開過自己的真實面貌、姓名或具體年齡,並且只有在《連線》雜誌同意不追查這些個人身份信息的前提下,他才願意接受採訪。

「幣圈名偵探」ZachXBT:衝在犯罪第一線,如何隻身破獲 2.43 億美元竊盜案?

 ZachXBT 的Twitter 首頁

特勤局分析師McGill 回憶,在他們早期的電話會議中,ZachXBT 不僅關閉攝像頭,甚至還使用了變聲軟體,有時聲音像《南方公園》裡尖聲叫喊的角色;而其他時候,他又將聲音調得很低沉,彷彿來自恐怖電影中的角色。 「一開始確實挺怪異的,」當時在加密追蹤公司TRM Labs 工作的McGill 說,「但我尊重他的隱私,因為這個匿名的人確實在做著非​​常出色的工作。」

加密貨幣調查員、Five I's 公司創始人Nick Bax 表示,ZachXBT 幾乎每週都能揭露許多加密貨幣犯罪騙局和盜竊案,通常比執法機構的行動快得多。 Bax 半開玩笑地說,他甚至懷疑ZachXBT 是不是機器人。

「他簡直像一台機器,」Bax 說。

去年的一次調查中,他們合作追蹤了2021 年AnubisDAO 加密項目中的6,000 萬美元竊盜案。 Bax 週六晚上給了ZachXBT 一份包含500 筆交易的清單,每筆交易都需要手動分析,以及關聯的區塊鏈位址。 「我以為這至少能讓他忙上幾天」,然而,第二天下午,ZachXBT 已經完成了所有交易的分析,並確定了哪些與盜竊案有關。 「我非常震驚,」Bax 說道,「他肯定是連續12 小時不間斷地坐在電腦前。」

ZachXBT 的許多調查結果都會毫無儀式感地發佈在他X 平台的帳戶上。

然而,隨著時間的推移,他的調查越來越引起了執法機構的關注——如今,他經常在公開發布前與這些機構分享自己的調查結果,這些偵探工作的目標正在面臨越來越嚴重的後果。

「隨著Zach 的影響力不斷擴大,這些案件帶來了財務和法律上的後果,」加密公司MetaMask 的安全研究員Taylor Monahan 說道,她是ZachXBT 最親密的調查合作夥伴之一,曾參與了2.43 億美元竊盜案的調查。 「如果Zach 現在發布關於某人的帖子,並且揭露得很到位,那個人很有可能會被逮捕。」

從受害者到揭發者

那麼,ZachXBT 究竟是如何在沒有正式訓練或組織支持的情況下,甚至比執法部門的加密調查員更快、更準確地追蹤資金流向的呢?

對此,他自己也不太確定。 「這個問題挺難的,我也不知道為什麼我這麼擅長,」ZachXBT 在電話採訪中告訴《連線》雜誌。他認為這與自己願意不分晝夜地工作有關——畢竟加密貨幣市場從不休市——以及多年深入研究加密貨幣區塊鏈所累積的經驗。 「你看的區塊鏈越多,當你吃飯、睡覺甚至呼吸都在研究它,隨著時間的推移,一切就會開始變得更加清晰,」他說。 「你能開始發現那些關聯。我可以看一個錢包,在幾秒鐘內判斷它是不是壞人。」

ZachXBT 表示,他對區塊鏈的熟悉源於他多年作為加密貨幣愛好者和交易者的經歷——以及他自己也曾是加密經濟中眾多陷阱的受害者之一。

大約在2017 年,他天真地花了數千美元購買各種加密代幣,但這些代幣最終都大幅貶值——通常是因為所謂的rug pull,即代幣的創建者突然拋售手中的代幣,導致其他投資者手中的資產變得一文不值。 「當時我買入時想著,『這將改變世界。』我買入後一直持有,從未賣出,」ZachXBT 說,結果是,「我成了那個被騙的人。」

到了2018 年,不僅他所有的投資都大幅縮水,ZachXBT 使用的Electrum 加密錢包還因惡意軟體更新而被駭客入侵,他又損失近15,000 美元。

直到那時,他才決定退一步重新思考自己的策略。他不再單純地買入並持有代幣,而是開始分析加密貨幣的區塊鏈——幾乎所有區塊鏈都是公開可見的,任何能夠解讀不同地址所屬者的人都可以查看——透過這種方式,他觀察到一些更大、更成功的投資者是如何交易代幣和比特幣的,並試圖模仿他們的營運。

透過這些區塊鏈分析,到2020 年,他對追蹤加密貨幣交易已經相當熟悉,能夠發現普通投資者看不到的正在進行中的騙局。

他看到一些網紅向成千上萬的粉絲公開宣傳某個加密資產,推高其價格,然後透過區塊鏈追蹤他們的資金,發現他們實際上是在宣傳後立刻出售自己持有的代幣,這往往是典型的「拉高出貨」騙局。

「這更像是一個舉報者的角色,」ZachXBT 說。 「我注意到這些活動時會想到,『這讓我想起了2017 年和2018 年我上當受騙的經歷,為什麼不發個帖子揭露它呢?』然後這件事就開始引起廣泛關注了。」

NFT 熱潮興起時,ZachXBT 同樣開始仔細審查像Bored Bunny 和Billionaire Dogs Club 這樣的NFT 項目,揭示資金的真實流向。這些NFT 賣家僅憑幾張卡通圖片就能募集到數百萬美元,聲稱這些NFT 將帶來如參加獨家活動或俱樂部的特權。

然而,ZachXBT 透過區塊鏈分析發現,這些賣家只是將資金分散並裝進自己的口袋。有時,他甚至透過加密貨幣追蹤發現某些NFT 賣家實際上是先前已被證明是騙局的項目的「重新包裝」。

在某些情況下,ZachXBT 發布的關於NFT 賣家的貼文確實嚇退了買家,阻止了一些可疑的NFT 賣家繼續出售他們的產品。但隨著時間的推移,他對不斷揭露這種透明度較高、重複上演的騙局感到厭倦,同時也對缺乏更實質結果感到沮喪:他曝光的NFT 項目中,沒有任何人因此面臨刑事指控。

時間來到2022 年初,ZachXBT 開始注意到一群駭客正在入侵一些知名加密貨幣用戶的Twitter 帳戶,並發布釣魚鏈接,指向用以掏空用戶錢包的以太坊智能合約,導致數千萬美元的盜竊。

每當有受害者痛苦地發文表示自己的儲蓄被盜時,ZachXBT 會主動聯繫他們,然後仔細追蹤他們失去的資金。他將這些區塊鏈線索與自己在年輕加密貨幣竊賊經常出沒的Discord 和Telegram 頻道中發展起來的消息來源相結合,最終找到了幾個可能與該釣魚活動有關的青少年在線暱稱,他們在網上炫耀自己盜取的大筆財富。

此時,ZachXBT 已經在加密貨幣的地下世界名聲大噪,甚至有一名他認為是嫌疑人的人,在Twitter 上發帖炫耀自己購買了一款鑲鑽的Audemars Piguet 腕錶時,還嘲諷性地提到了“mr xbt”。

ZachXBT 透過一個奢華手錶的Discord 頻道追蹤到了這款手錶的賣家,成功說服這位賣家交出了購買這款價值近5 萬美元腕錶的青少年的收貨地址和真實姓名。

沒有公開記錄顯示這些所謂的竊賊是否被逮捕——可能是因為嫌疑人是未成年人,指控要么已被封存,要么從未提出。但ZachXBT 找到了一份沒收通知,顯示2022 年10 月,即他在X 平台發布調查結果一個月後,FBI 從他識別出的青少年嫌疑人處沒收了價值超過20 萬美元的加密資產以及那塊鑽石手錶。

同年,ZachXBT 使用類似的技術,追蹤另一場網路釣魚活動中被盜的價值250 萬美元的NFT,目標嫌疑犯是一對法國駭客。幾個月後,法國檢察官逮捕了五名嫌疑人,據法新社報道,他們明確提到ZachXBT 在X 平台發布的帖子幫助了對兩名主要嫌疑人的調查。 「看到執法部門根據我分享的資訊採取行動,這讓我非常有成就感,」ZachXBT 說。 「這讓我意識到,也許我所做的事情真的有了些成效。」

自從兩年前首次引起執法部門的關注以來,ZachXBT 的調查規模——以及某些情況下的結果——都急劇擴大。

2023 年2 月,他追蹤了加密項目Platypus 被盜的近900 萬美元資金,並在短短幾個小時內識別出其中一名嫌疑人;僅僅一周多後,法國警方逮捕了兩名嫌疑人。儘管對這兩人的指控最終被撤銷,但警方成功追回了數百萬美元的資金,Platypus 也在推文中向ZachXBT 表達了感謝。

同年,他追蹤加密公司Uranium Finance 被盜的2500 萬美元,其中大部分似乎透過購買稀有的《萬智牌》卡片進行了洗錢。當臭名昭著的網路犯罪組織「Scattered Spider」對拉斯維加斯的凱撒娛樂公司發動勒索軟體攻擊,並從該公司勒索到1500 萬美元時,ZachXBT 幫助追蹤並追回了其中的1200 萬美元,其他參與該案件調查的人員向《連線》透露了這一消息。

大約在同一時間,ZachXBT 公佈了一項重大調查結果,揭露了北韓駭客實施的25 起加密貨幣竊盜案,總金額超過2 億美元,其中約700 萬美元在他的幫助下被凍結。這些駭客行動中,有大約一半以前從未被公開過。

他隨後跟進了一項調查,揭露了一個由約30 名朝鮮IT 工作者組成的網絡,他們滲透進了科技公司,並以加密貨幣形式獲得報酬。在其中一個案例中,一名疑似與北韓有關的技術人員被NFT 公司Munchables 僱用,成功竊取了6,200 萬美元的加密資產。當ZachXBT 幫助識別並標記這筆資金後,竊賊由於無法輕易將錢變現,最終被迫將其歸還。

「你知道那是多少錢嗎?」

回到開頭那起竊盜案,當ZachXBT 在機場收到提示,發現8 月19 日發生的單一受害者被盜走2.43 億美元的線索時,這是他所追蹤的最大竊盜案之一。

從國際航班回到家後,他連續數天追蹤這些分散的資金流,同時在社群媒體上監控三名嫌疑人的動向,其中兩人使用網名Greavys 和Box。特別是Greavys,真名是Malone Lam,似乎身處邁阿密。他在網路上發布的內容和照片顯示自己與豪華房產、鑽石手錶、私人飛機以及豪車為伴,其中包括一輛Lamborghini Revuelto 和一輛Pagani Huayra,後者的售價通常超過300 萬美元。

ZachXBT 還發現,Greavys 曾經送給一些網紅價值3 萬到5 萬美元的Birkin 和Hermès 包包,並在夜店裡出現了服務生舉著寫有「WHO WANT A BIRK」(誰想要個Birkin 包)的電子標牌,標記著他的名字。

「看起來他們除了狂歡和偷錢,什麼都不乾,」ZachXBT 說。

幾天內,ZachXBT 說服了在他飛行途中第一次給他發私信的線人,向他提供了一段三名疑似參與盜竊的黑客之間的屏幕共享視頻。這些駭客毫不知情,其中一名嫌疑人在共享螢幕時,又與另一群朋友共享了他的螢幕,而其中一位朋友似乎錄下了這段影片。

在這段90 分鐘的影片中,ZachXBT 表示,三名駭客多次互相用他們的名字稱呼對方。而在另一個片段中,其中一名男子也短暫展示了自己的Windows 主螢幕,意外地暴露了他的姓氏。

影片甚至捕捉了這幾名駭客得手後興奮狂喜的時刻。 「天啊!天啊!2.43 億美元!太棒了!」其中一人在影片中喊道,「我要瘋了!我們搞定了,我們搞定了。我快要爆炸了。你知道那是多少錢嗎?

9 月18 日下午晚些時候,距離ZachXBT 開始調查還不到一個月,Lam 在邁阿密的一處海濱出租物業中被捕,他每月為此支付6.8 萬美元。 Box——真名為Jeandiel Serrano——在洛杉磯機場被逮捕,當時他正與女友從馬爾地夫度假返回。據檢方稱,他被捕時戴著一塊價值50 萬美元的手錶,租住在洛杉磯附近的一處房產,每月房租超過4 萬美元,並且花費了100 萬美元購買豪車。

第二天,針對Lam 和Serrano 的電匯詐欺和洗錢指控被解封,根據法庭文件,兩名駭客都向執法調查人員承認參與了多起加密貨幣竊盜案。 Lam 特別承認,這些犯罪所得為他購買了不下31 輛高端汽車。

目前為止,2.43 億美元中已有7,900 萬美元被查封或凍結,ZachXBT 希望還能找到更多被竊資金。檢察官表示,即使嫌犯揮霍一番後,仍有超過1 億美元下落不明。

ZachXBT 的第三名嫌疑人,目前根據公開記錄顯示可能居住在康乃狄克州,但尚未被指控任何犯罪。然而,記者Brian Krebs 指出刑事訴狀,描述了一群男子在8 月底2.43 億美元盜竊案發生四天后,涉嫌在康涅狄格州搶劫了一對五十多歲的夫婦並短暫綁架了他們,因為這些劫匪「相信受害者的兒子擁有大量數位貨幣的訪問權限」,這暗示受害者可能是ZachXBT 追蹤到的第三名涉嫌資金接收者的父母。

對ZachXBT 來說,這次調查可能是個轉捩點。這是他第一次由受害者聘用並獲得報酬,而不是作為志工靠捐贈來工作。他表示,未來可能會更多地從事這樣的有薪工作,甚至考慮創辦自己的調查公司。

但ZachXBT 堅稱,他並不是為了透過揭露這些事件致富。 「我看到資金被查封、歸還給受害者、嫌疑人被逮捕,這就是我的目標,這也是我最初的目的,」ZachXBT 說。 「看到這些事情對人們有所幫助,這才是我獲得滿足感的來源。」

他的合作夥伴Taylor Monahan 來自加密錢包公司MetaMask,現已與他合作了數十項調查。她認為ZachXBT 仍然主要受到正義感的驅使——這種正義感源於他曾經也是加密貨幣世界的受害者,想要防止其他人遭遇同樣的結局。

“他和這個領域的許多人有著相同的經歷,那就是發生了不好的事情,而身邊的人都只會說‘這真倒霉’,”Monahan 說。 「他本能地拒絕接受這種經歷,並且想要改變這一切。」

Monahan 說,「他和這個領域的許多人有著相同的經歷:當遇到不幸的事情時,周圍的人只會說‘真倒霉’,但他本能地拒絕接受這種無奈的回應,決心改變這一切。