作者:Andy Greenberg,Wired雜誌;
編譯:0xxz@黃金財經
8 月19 日,一名20 多歲的男子(網名ZachXBT)走進機場準備登機回家——至於哪個機場、他的真名、家在哪裡,他都不願說——這時,他的手機上出現了一條警報。一筆比特幣剛剛被轉移到小型加密貨幣交易所,他一直在比特幣區塊鏈上監控這些交易所的交易,以尋找洗錢犯罪的跡象。這項警報引起了他的興趣:這筆交易價值約60 萬美元,金額是該交易所典型交易的10 倍。
當他到達登機口時,另一條ping 提醒他同一家交易所還有第二筆交易,價值超過100 萬美元。再然後是一筆200 萬美元的交易。在排隊登機時,ZachXBT 匆忙用手機追蹤這筆錢,從一個比特幣地址追溯到另一個比特幣地址,標記可疑資金,並在飛機起飛和機上Wi-Fi 上線之間的半小時網路中斷之前找到它們的來源。在飛機起飛前,他已經確定這筆錢來自一個加密錢包,錢包裡有價值數億美元的比特幣,自2012 年以來一直沒有動過——而這筆九位數的巨款現在正被匆忙清算,交易所的交易成本高昂,一個有耐心、十多年的比特幣投資者不會接受。
對ZachXBT 來說,這些資金流動看起來就像是一起大型竊盜案。事實上,當他再次核實他的發現時,似乎有人從不幸的受害者手中偷走了價值約2.43 億美元的比特幣,這可能是有史以來針對個人的最大加密貨幣盜竊案。 「從一個人身上偷走的金額如此之大,真是太不正常了,」ZachXBT 告訴《連線》雜誌。 “我必須確保我沒有瘋。”
當ZachXBT 飛到10,000 英尺高空並連接Wi-Fi 時,他開始追蹤更多被盜資金的流出情況,這些資金透過一個又一個交易所和貨幣兌換服務流出。在接下來的幾個小時裡,他迅速繪製出資金流向的分支圖,因為竊賊透過十幾個這樣的平台轉移貨幣,顯然是為了混淆他們的行蹤。
當他順著線索找到丟失比特幣的人時,ZachXBT 發現部分資金最初來自現已倒閉的Genesis 加密貨幣交易所。他在X 上直接給交易所的管理員發訊息,請他們幫他聯絡受害者,受害者最終會僱用他尋找被盜資金。
當飛機落地時,ZachXBT 發現被竊資金主要有三個線索,他認為這三個線索可能流向了三名罪犯。他還向X 上超過65 萬名粉絲發了一條訊息,指出區塊鏈上正在進行的盜竊。他很快收到了一條訊息,訊息來自一位自稱掌握了竊賊身分線索的訊息人士。
在接下來的一周裡,ZachXBT 日夜不停地調查此案,每天睡眠時間不超過四五個小時,並定期與執法機構分享他的調查結果,他確定了盜竊案背後的嫌疑人——兩名年輕的駭客,分別是Malone Lam 和Jeandiel Serrano,兩人都是二十出頭。 (ZachXBT 還確定了另一名駭客嫌疑人,WIRED 選擇不公開其姓名,因為該人尚未被捕或被指控。)他甚至獲得了一段視頻,他說這段視頻顯示了盜竊完成時的其中一個螢幕,他們正在慶祝這筆巨額意外之財。在旋風般的調查中,ZachXBT 甚至在Instagram 和TikTok 上追蹤嫌疑人,看到其中一人花費數百萬美元購買汽車、私人飛機和俱樂部,嫌疑人每晚的花費高達50 萬美元。
ZachXBT 製作的圖表細節展示了他如何識別涉嫌竊取2.43 億美元資金的其中一名嫌疑人Malone Lam,
其中包括社交媒體帖子,展示了Lam 在汽車、私人飛機、夜總會和價值50,000 美元的奢侈手袋禮物上的支出。圖片由ZachXBT 提供
在飛機上ZachXBT 的手機收到警報後不到一個月,三名涉嫌盜竊的嫌疑人中就有兩人被逮捕並受到刑事指控。
當ZachXBT 終於看到其中一名駭客的臉部照片時,他說他感到一陣腎上腺素激增。但這種感覺很快就過去了。 「我並沒有感受到任何特別的成就感,」ZachXBT 說。 “我只是把它當成其他案件來對待。”
為人民服務的加密私家偵探
如果說追蹤2.5 億美元的竊盜案對ZachXBT 來說就像是網路上的又一天,那也許是因為他在過去三年中已成為世界上最多產的獨立加密貨幣偵探。自2021 年開始從事業餘調查員的工作以來,他已經追蹤了數十億美元的被盜資金和騙局。根據他自己的統計(他在電子表格中為《連線》雜誌進行了細分),他的數百次調查直接導致追回了價值約2.1 億美元的犯罪加密貨幣收益,以及另外2.25 億美元的被扣押資金,他至少以某種非直接的方式幫助受害者追回了這些資金。他點名那些在拉升拋售計畫中推廣代幣的網紅,追捕大規模加密貨幣搶劫案背後的網路犯罪分子,並揭露了數十起北韓駭客入侵加密貨幣公司甚至以員工身分滲透這些公司的事件。
在整個過程中,他的資金幾乎全部來自加密貨幣捐贈,形式包括加密貨幣組織的資助和陌生人的付款,陌生人將捐款發送到他在社交媒體資料中列出的地址,自2021 年以來累計約130 萬美元。 「他是新一代的調查員。他為人民服務,」與ZachXBT 合作的特勤局分析師喬·麥吉爾(Joe McGill) 說。 “他的成功完全與他的調查成功息息相關。”
ZachXBT 在從事加密貨幣義警職業的同時,也一直戴著面具。在網路上,他只以自己的頭像出現,一種穿著偵探風衣或連帽衫的鴨嘴獸卡通形象。為了避免遭到加密貨幣罪犯和騙子世界中眾多敵人的報復,他從未公開露面,也從未透露過自己的真實姓名或確切年齡,只有在我不試圖挖掘這些身份信息的情況下,他才會接受《連線》的訪問。
McGill 說,在他們早期的一些電話會議中,ZachXBT 不僅會關閉攝像頭,還會使用變聲器應用程序,有時聽起來像一個高音調的“南方公園”角色,就像McGill 說的那樣,或者在其他場合,他會降低自己的音調,直到讓他想起恐怖電影中的某些東西。 「一開始,這很奇怪,」當時在加密追蹤公司TRM Labs 工作的McGill 說。 “但我尊重他的隱私,因為這個匿名的人做得非常出色。”
加密貨幣調查員、Five I’s 公司創始人尼克·巴克斯(Nick Bax) 表示,ZachXBT 幾乎每週都會揭露大量加密犯罪騙局和盜竊行為,其行動速度往往比執法機構快得多,以至於巴克斯曾半開玩笑地懷疑他是否可能是某種機器人。
「他就是一台機器,」巴克斯說。
作為去年一項調查的一部分,他們合作追蹤了2021 年加密項目AnubisDAO 發生的6,000 萬美元竊盜案。週六晚上,Bax 向ZachXBT 提供了500 筆交易的清單,每筆交易都需要手動分析,以及所有關聯的區塊鏈地址。 「我估計這會讓他忙上幾天,」Bax 說。然而,到了第二天下午早些時候,ZachXBT 已經查看了每一筆交易,並確定了哪些交易與竊盜案有關。 “我很震驚,”Bax 說。 “他肯定連續12 個小時都在電腦前。”
ZachXBT 的許多調查結果都被毫不客氣地發佈在他位於X 的帳戶上。然而,隨著時間的推移,他的調查結果越來越受到執法機構的關注——他現在經常在發布之前與其中一些機構分享他的調查結果。結果為偵探工作的目標帶來了實際且日益嚴重的後果。加密貨幣公司MetaMask 的安全研究員Taylor Monahan 表示:「隨著Zach 的勢力越來越大,他面臨的經濟和法律後果也越來越多,」ZachXBT 在調查方面最親密的合作者之一,包括2.43億美元的竊盜案。 「如果Zach 現在發布關於某人的帖子,而且是正面的帖子,那麼那個人就會被逮捕。”
從受害者到吹哨人
那麼,在沒有接受過正式培訓或組織支持的情況下,ZachXBT 是如何成功超越執法部門的加密調查員的呢?就連他自己也不確定。 「這是一個很難回答的問題。我不知道我為什麼這麼擅長,」ZachXBT 在接受《連線》電話採訪時表示。他將其歸因於願意全天候工作——畢竟加密市場永遠不會關閉——以及對加密貨幣區塊鏈分析的熟悉,而這些熟悉來自於多年來對這些龐大的交易帳本的鑽研。 「你對區塊鏈的了解越多,就像你吃飯、睡覺和呼吸時一樣,隨著時間的推移,它就會開始變得更有意義,」他說。 “你可以開始發現這些聯繫。我可以查看錢包,對其進行分析,並在幾秒鐘內告訴你它是否是一個壞人。”
ZachXBT 表示,他對區塊鏈的熟悉源自於他多年作為加密貨幣愛好者和交易員的經驗,他本人也是加密貨幣經濟中許多陷阱的受害者,這些陷阱針對不謹慎的投資者。他說,大約在2017 年,他天真地購買了價值數千美元的加密代幣,這些代幣最終都貶值了,通常是由於所謂的“rug pulls”,即加密代幣的創造者拋售其持有的代幣,而其他投資者只剩下毫無價值的資產。 「我買入時想著『這將改變世界』。我只是持有它,從未出售,」ZachXBT 說。結果,他說,“我成了被騙的人。”
到2018 年,不僅所有這些投資都化為烏有,而且ZachXBT 使用的Electrum 加密錢包也遭到惡意軟體更新攻擊。他又損失了近15,000 美元。
直到那時,他才決定退一步重新考慮自己的做法。他不再簡單地購買和持有代幣,而是開始分析加密貨幣的區塊鏈(幾乎所有區塊鏈都是公開可見的,任何人都可以破解不同地址的所有者),以了解規模更大、更成功的投資者如何交易代幣和硬幣,然後試著模仿他們的舉動。
透過區塊鏈分析,他在2020 年已經足夠熟悉追蹤加密交易,能夠發現普通投資者無法察覺的正在進行的騙局。他會看到一位網紅向數十萬粉絲公開推廣加密資產,抬高其價格,然後在區塊鏈上跟踪他們的資金,發現他們實際上在隨後立即出售自己的資產,這似乎是一種典型的拉升拋售計畫。 「這更像是一個告密者,」ZachXBT 說。 「我會注意到這種活動,然後想,『這讓我想起了我在2017 年和2018 年所經歷的事情。為什麼不發個帖子呢?』然後這件事開始爆發。”
當NFT 熱潮在那年晚些時候開始時,ZachXBT 也開始仔細研究Bored Bunny 和Billionaire Dogs Club 等NFT 項目,以了解流入這些項目的資金真正流向了哪裡。其中一些NFT 賣家僅憑卡通.jpg 圖像就能籌集數百萬美元,並承諾用這些圖像創建的NFT 將帶來諸如參加獨家活動或俱樂部等福利。相反,ZachXBT 透過區塊鏈分析發現,賣家只是在分割資金並將其中飽私囊。有時,他甚至會透過加密追蹤發現,NFT 賣家實際上是一個早期專案的品牌重塑,而該專案已經被證明是一個騙局。
在某些情況下,ZachXBT 關於NFT 賣家的貼文確實成功嚇跑了買家,並阻止了可疑的NFT 經銷商出售他們的商品。但隨著時間的推移,他厭倦了一次又一次地揭露同樣往往透明的騙局,並對缺乏更具體的結果感到沮喪:與他揭露的NFT 項目有關的人沒有受到刑事指控。
然後,在2022 年初,他開始注意到一群駭客正在接管知名加密貨幣用戶的Twitter 帳戶,並發布指向以太坊智能合約的釣魚鏈接,旨在竊取用戶的錢包,導致數千萬美元的盜竊。每當有悲痛欲絕的受害者發布他們的積蓄被盜的消息時,ZachXBT 就會與他們聯繫,然後一絲不苟地追蹤他們損失的資金。他將這些區塊鏈線索與他開始在年輕加密貨幣竊賊經常光顧的Discord 和Telegram 頻道中開發的消息來源結合起來,這使他找到了一些青少年的線上帳號,他們似乎是釣魚活動的幕後黑手,並吹噓自己的巨額收益。
此時,ZachXBT 在加密貨幣黑社會中已經很著名,他認為是嫌疑犯的一個人甚至在Twitter 帖子中對“mr xbt”進行了嘲諷,吹噓他買了一塊鑲有鑽石的愛彼手錶。 ZachXBT 在一個奢侈手錶Discord 頻道中找到了手錶賣家,並說服賣家交出了這位青少年的送貨地址和真實姓名,這位賣家以近50,000 美元的價格出售了這塊手錶。
似乎沒有公開記錄證明這些涉嫌盜竊的人是否被捕——可能是因為嫌疑人是未成年人,而且指控要么被封存,要么從未提出過。但ZachXBT 發現了一份沒收通知,顯示2022 年10 月,即ZachXBT 在X 上發布他的調查結果一個月後,聯邦調查局從他確定的青少年嫌疑人手中沒收了價值超過20 萬美元的加密資產——以及鑽石手錶。
同年,ZachXBT 使用類似技術,透過另一場網路釣魚活動追蹤到另外價值250 萬美元的NFT,這些NFT 被盜原因據稱是兩名法國駭客。在那起案件中,法國檢察官幾個月後逮捕了五名嫌疑人,據法新社報道,他們特別讚揚ZachXBT 在X 上發布的帖子,感謝他們協助調查兩名涉嫌頭目的行為。 ZachXBT 說:“看到執法部門根據我分享的內容採取行動,我感到非常有成就感。這讓我覺得,也許我所做的事情真的發現了一些事情。”
自首次引起執法部門關注以來的兩年間,ZachXBT 的調查規模(在某些情況下,其後果)呈爆炸性增長。 2023 年2 月,他追查到從加密項目Platypus 竊取的近900 萬美元資金,並在幾個小時內確定了其中一名涉嫌盜竊者的身份;一周多後,法國警方逮捕了兩名嫌疑人。儘管對這兩人的指控最終被撤銷,但警方追回了數百萬美元的資金,Platypus 在推文中對ZachXBT 表示感謝。同年晚些時候,他追蹤到加密公司Uranium Finance 的2500 萬美元盜竊案,其中大部分似乎是透過購買稀有的萬智牌卡牌洗白的。據參與此案的其他調查人員向《連線》雜誌透露,當名為Scattered Spider 的網路犯罪集團對拉斯維加斯的凱撒娛樂公司(Caesar’s Entertainment) 發動勒索軟體攻擊,向該公司勒索1500 萬美元時,ZachXBT幫助追蹤並追回了其中的1,200 萬美元資金。
大約在同一時間,ZachXBT 公佈了大量調查結果,調查了北韓駭客實施的25 起加密貨幣竊盜案,總額超過2 億美元,其中約700 萬美元是由他幫助凍結的。大約一半的駭客攻擊從未公開過。他隨後又進行了另一項調查,揭露了大約30 名北韓IT 工作者組成的網絡,他們滲透到科技公司並獲得加密貨幣支付。在一個案例中,其中一名似乎與北韓有聯繫的科技工作者受僱於NFT 公司Munchables,並成功從該公司竊取了價值6,200 萬美元的加密資產。當ZachXBT 幫助識別和標記資金時,對竊賊的關注使得這筆錢很難變現,以至於他們乾脆把錢還了回去。
“你知道那是多少錢嗎?”
即便如此,當ZachXBT 在機場收到簡訊提醒,得知8 月19 日一名受害者被盜的2.43 億美元時,這仍然是他追查過的最大盜竊案之一。
搭乘國際航班回國後,他繼續追蹤這些資金流出,同時在社群媒體上監視三名嫌疑人的蹤跡,其中兩人的網名是Greavys 和Box。 Greavys 的真名是Malone Lam,似乎在邁阿密,他發布了豪華房地產、鑽石手錶、噴射機和跑車的照片,並出現在照片中,其中包括蘭博基尼Revuelto 和帕加尼Huayra,後者的售價通常超過300萬美元。 ZachXBT 發現了一些網紅的帖子,Greavys 曾向這些網紅贈送價值30,000 至50,000 美元的鉑金包和愛馬仕包,以及夜總會服務員手持的電子標誌的照片,上面寫著“誰想要鉑金包”,並附有他的名字。
「看起來他們所做的就是聚會和偷錢,」ZachXBT 說。
幾天之內,他說服了在飛行期間給他發私信的人,讓他給他發送一段視頻,視頻中是三名黑客的屏幕共享視頻,這三名黑客似乎參與了此次盜竊。他們不知道的是,其中一名駭客在螢幕共享期間將自己的螢幕重新分享給了另一組朋友——其中一名似乎還錄了下來。 ZachXBT 表示,在這段90 分鐘的影片中,有三名駭客多次直呼對方的名字。在另一個時刻,三人中的一人還短暫地閃現了他的Windows 主螢幕,並透露了他的姓氏。
影片甚至捕捉了駭客成功竊取九位數資金後瘋狂的反應。 「天哪!天哪!2.43 億美元!是的!」其中一人在錄音中說道。 「我要瘋了!喲!我們完了。我們完了。我要瘋了。你知道那是多少錢嗎?」
9 月18 日下午晚些時候,在ZachXBT 開始調查後不到一個月,Lam 在邁阿密一處海濱出租物業被捕,他每月支付68,000 美元。 Box 的真名是Jeandiel Serrano,他與女友從馬爾地夫度假回家時在洛杉磯機場被拘留。據檢察官稱,他被捕時戴著一塊價值50 萬美元的手錶,在洛杉磯附近租了一套每月租金超過4 萬美元的房子,並花了100 萬美元購買豪華汽車。第二天,對Lam 和Serrano 的電信詐欺和洗錢指控被公佈。根據法庭文件,兩名駭客都向執法調查人員承認他們參與了多起加密貨幣竊盜案。 Lam 特別承認,從中獲利購買了不少於31 輛高端汽車。
到目前為止,他們涉嫌竊取的2.43 億美元中,有7,900 萬美元已被扣押或凍結。 ZachXBT 希望更多的錢能被找到。檢察官表示,即使這些涉嫌駭客大肆揮霍之後,仍有超過1 億美元下落不明。
根據公開記錄,ZachXBT 的第三名嫌疑人似乎住在康乃狄克州,尚未受到任何罪行指控。然而,記者Brian Krebs 指出,一份刑事起訴書描述了一群男子在8 月底2.43 億美元被盜四天后,劫持了一對50 多歲的康涅狄格州夫婦的蘭博基尼汽車,並短暫綁架了他們,因為劫車者「認為受害者的兒子擁有大量數位貨幣」——這表明受害者可能是ZachXBT 追蹤到的資金的第三名涉嫌接收者的父母。
對ZachXBT 來說,這次調查可能是個轉捩點。這是他第一次受僱於案件中的受害者,並因其技能而獲得報酬,而不是作為志工接受捐贈。他說他可能會轉型做更多有薪工作,甚至創辦自己的調查公司。
但他堅稱自己仍然不是為了透過揭露真相而致富。 「我看到錢被沒收,錢被歸還給受害者,人們被逮捕,這就是我的目標。這就是我打算做的事情,」ZachXBT 說。 “看到它造福人民。這就是我的滿足感。”
他的合作夥伴、加密錢包公司MetaMask 的泰勒·莫納漢(Taylor Monahan) 已與ZachXBT 合作開展了數十項調查,她表示,她相信ZachXBT 很大程度上仍然受到正義感的驅使—— 這種正義感源自於他自己曾經是加密世界殘酷行為的受害者,並希望防止其他人遭遇同樣的結局。
「他和這個領域的許多人都有過同樣的經歷,那就是發生了一些糟糕的事情,你周圍的每個人都說,『你真倒霉’,』」莫納漢說。 “他本能地拒絕這種經歷。他想改變它。”