撰文:Andy Greenberg,Wired 編譯:Yangz,Techub News
8 月19 日,一匿名為ZachXBT 的二十多歲男子走進機場準備登機回家。至於是哪個機場,真實姓名以及家在哪裡,他不願多說。這時,他在手機上收到了一條鏈上警報,一筆比特幣剛剛被轉移到了一家小型加密貨幣交易所。這是他近日持續監控的眾多交易之一,而該警報成功引起了他的興趣,因為這是一筆價值約60 萬美元的交易,資金套現額度是該交易所一般交易額的10 倍。
當ZachXBT 抵達登機口時,又一條警報彈出,提示同一交易所上第二筆交易的價值超過100 萬美元,而緊接著又是一筆200 萬美元的交易。於是,ZachXBT 急忙用手機開始追踪,從一個比特幣地址追溯到了另一個比特幣地址,標記出可疑資金,並爭分奪秒地在飛機起飛和Wi-Fi 中斷前的半小時內尋找這筆資金的來源。在起飛前,他確定了這些資金來自同一錢包,而該錢包持有價值數億美元的比特幣,自2012 年以來從未發生過轉移,現在這九位數的資金正在以任何超10 年的比特幣Hodler 都無法接受的交易成本匆忙變現。
在ZachXBT 看來,這筆資金的快速流動就像是一場巨大的盜竊。事實上,當他仔細核對上述資訊後,ZachXBT 懷疑有人從受害者那裡竊取了價值約2.43 億美元的比特幣,而這可能是有史以來針對個人的最大的已知加密貨幣搶劫案。 ZachXBT 告訴《WIRED》:「我完全不敢相信這是從個人身上竊取的。」
當飛機飛到1 萬英尺以上的高空時,ZachXBT 連上了Wi-Fi,繼續追蹤更多被盜資金的流向。儘管竊盜者試圖透過十多個平台來混淆行踪,但ZachXBT 在接下來的幾個小時裡成功繪製了資金流向的分支圖。
當他沿著線索找到丟失比特幣的受害者時,ZachXBT 發現部分資金最初來自現已倒閉的加密貨幣交易所Genesis。於是,他在X 上直接給交易所管理員發送了訊息,請他們幫忙聯繫受害者,而受害者最終也請ZachXBT 幫助其追回了被盜資金。
航班降落後,ZachXBT 發現被盜資金有三條主線,他認為這三條主線分別指向三個可能的罪犯。此外,他還向X 上的65 萬多名粉絲發布了一條訊息,指出了正在發生的盜竊事件。很快,他就收到了一則訊息,消息來源稱已掌握了竊賊的身份線索。
在接下來的一周裡,ZachXBT 日以繼夜(每次睡眠時間不超過四五個小時)地調查此案,並定期與執法機構分享他的調查結果,最終確定了這起盜竊案的幕後嫌疑人,包括兩名二十出頭的年輕駭客Malone Lam 和Jeandiel Serrano。 (ZachXBT 也指認了另一名被指控的駭客,但《WIRED》並未公開此人的姓名,因為此人尚未被逮捕或起訴)。此外,ZachXBT 甚至還獲得了一段駭客在完成盜竊後慶祝的錄影。根據ZachXBT 在Instagram 和TikTok 上的調查,其中一名嫌疑人在成功盜竊後,在汽車、私人飛機上揮霍了數百萬美元,且每晚在俱樂部的花費高達50 萬美元。
在ZachXBT 手機收到警報後不到一個月,三名嫌疑人中就有兩人落網並受到了刑事指控。而在看到其中一名駭客的照片時,ZachXBT 稱自己感受到了腎上腺素的飆升,但很快這種感覺就過去了。 「我並沒有什麼特別的成就感,」ZachXBT 說,「我只是把它當作類似案件來處理。」
人民的加密貨幣私家偵探
如果說追蹤價值2.5 億美元的竊盜案對ZachXBT 來說就像是在網路上度過的又一天,那或許是因為他在過去三年裡已經將自己塑造成了世界上最多產的以加密貨幣為重點的獨立偵探。自2021 年作為業餘調查員開始工作以來,他已經追蹤了數十億美元的資金和騙局。根據他自己的統計,其數百次的調查直接幫助追回了價值約2.1 億美元的加密貨幣犯罪資金,此外,其還間接幫助受害者追回了2.25 億美元的被盜資金。 ZachXBT 斥責了在拉高拋售計畫中推廣各類代幣的KOL,追捕了大規模加密貨幣竊案背後的網路犯罪分子,並揭露了數十起北韓駭客入侵加密貨幣公司,甚至以員工身分潛入這些公司的事件。
在所有追蹤過程中,ZachXBT 收到的「報酬」幾乎全部來自加密貨幣捐贈,形式包括加密貨幣組織的贈款,以及陌生人向他在社群媒體資料中列出的地址匯款,自2021 年以來,大約有130 萬美元。 「他是新一代的調查員。他為人民工作,」曾與ZachXBT 合作過的特勤局分析師Joe McGill 說。 「他的成功完全與他自身的能力息息相關」。
然而,在ZachXBT 從事加密貨幣義警的同時,他也一直戴著面具。在網路上,他只以穿著偵探風衣或連帽衫的鴨嘴獸卡通形象示人。為了避免在加密貨幣世界中遭遇眾多敵人和欺詐者的報復,他從不公開露面,也不透露自己的真實姓名或確切年齡,而且只願意在我不試圖挖掘這些身份細節的條件下接受采訪。
McGill 回憶道,在他們早期的一些電話會議上,ZachXBT 不僅會關閉攝像頭,甚至還會使用變聲軟體,有時聽起來像高亢的“南方公園角色”,有時則會加深音調,讓人聯想到恐怖片中的聲音。 「一開始感覺很奇怪,」當時還在加密貨幣安全公司TRM Labs 工作的McGill 表示,「但我尊重他的隱私,因為這位匿名者的工作非常出色。」
此外,加密貨幣調查員、Five I’s公司創始人Nick Bax 表示,ZachXBT 幾乎每週都會揭露許多加密貨幣犯罪騙局和盜竊行為,其工作速度往往遠遠超過執法機構,以至於Bax 曾半開玩笑地評論道:「他就是一台機器。」
在去年的一次調查中,他們合作追蹤了2021 年一個名為AnubisDAO 的加密貨幣項目的6000 萬美元失竊案,作為調查的一部分,Bax 在一個週六晚上給了ZachXBT 一份500 筆交易的清單,每筆交易都需要連同所有相關的區塊鏈位址進行人工分析。 “我想這至少能讓他忙上幾天,”Bax 說。但第二天下午,ZachXBT 就完成了每一筆交易,並確定了哪些交易與這起竊案有關。 「我很震驚,」Bax 說,「他肯定連續12 個小時都伏在電腦前。」
ZachXBT 的許多調查結果都會被毫無保留地發佈到他的 X 帳戶上。然而,隨著時間的推移,他的調查結果也越來越受到執法機構的關注(他現在經常在發布之前與其中一些機構分享他的調查結果)。 「隨著Zach 的勢力越來越大,也帶來了經濟和法律後果,」加密貨幣公司MetaMask 的安全研究員、ZachXBT 在調查方面最親密的合作者之一Taylor Monahan 說,「如果Zach 現在發布關於某人的帖子,而且大概率是準確的,那麼那人就會被逮捕。
從受害者到吹哨人
那麼,ZachXBT 是如何在沒有任何正規訓練或組織支持的情況下,成功超越甚至執法部門的專業加密貨幣調查人員的呢?其實,連他自己也不太清楚。 「這個問題很難回答。我也不知道自己為什麼這麼厲害,」ZachXBT 在接受WIRED 電話採訪時說。他認為這是因為他願意日以繼夜地工作,畢竟加密貨幣市場不會休市,而且多年來他一直在研究這些龐大的交易帳本,因此對加密貨幣區塊鏈的分析非常熟悉。他說:「你越是關注區塊鏈,甚至吃、睡、呼吸都不與其分離,那麼,隨著時間的推移,你就會變得越來越敏銳。」「你可以開始發現這些聯繫,可以查看一個錢包,並在幾秒鐘內對其進行剖析,判斷出它是否是一個不良行為者。
ZachXBT 說,他對區塊鏈的熟悉來自於他多年來作為加密貨幣愛好者和交易者的經驗,他自己也是加密貨幣經濟中一些陷阱的受害者。 ZachXBT 表示,大約在2017 年,自己天真地購買了價值數千美元的代幣,而這些代幣最終都因「Rug Pull」變得分文不值。 ZachXBT 說,「我當時買進的時候想的是,『這將改變我的人生』。然後,我堅定持有,從未賣出,」但結果是,「我是被騙的那個人」。
到2018 年,ZachXBT 所有投資的代幣都崩了盤,而他使用的加密貨幣錢包Electrum 也被駭客用惡意軟體攻擊了,損失又多了近1.5 萬美元。
這時,ZachXBT 決定退一步,重新思考自己的方法。他不再簡單地購買並持有代幣,而是開始分析鏈上數據,了解規模更大、更成功的投資者是如何交易代幣的,並嘗試模仿。
到2020 年,ZachXBT 對追蹤加密貨幣交易已經足夠熟悉,能夠發現普通投資者看不到的正在進行的騙局。他會看到KOL 向其數十萬粉絲公開宣傳某種資產,哄抬價格,然後緊接著出售自己持有的資產。 「這更像是吹哨人,」ZachXBT 說,「我會注意到這些活動,然後想,『這讓我想起了我在2017 年和2018 年上當的事。為什麼不發個帖子說說呢? ’然後就一發不可收拾。
當年晚些時候,當NFT 熱潮掀起時,ZachXBT 也開始對Bored Bunny 和Billionaire Dogs Club 等NFT 項目進行類似的審查,以顯示流入這些項目的資金的真正去向。其中一些NFT 賣家僅憑卡通.jpg 圖片就籌集了數百萬美元,並承諾透過這些圖片創建的NFT 可以獲得參加獨家活動或俱樂部等特權。然而,ZachXBT 可透過區塊鏈分析發現,這些賣家只是在分割和私吞資金。有時,一些新的NFT 項目實際上只是某個已被證明是騙局的早期項目的另一個面具。
在某種程度上,ZachXBT 發布的關於NFT 專案方的貼文確實幫助部分買家閉了坑。但隨著時間的推移,ZachXBT 對一次又一次揭露同樣的、往往是透明的騙局感到厭倦,並對缺乏更具體的結果感到沮喪。在他揭露這些NFT 騙局後,沒有一個人面臨刑事指控。
隨後,在2022 年初,他開始注意到駭客攻占知名加密貨幣用戶Twitter 帳戶,並發布釣魚鏈接,導致數千萬美元被盜的現象。每當一名悲痛欲絕的受害者發文表示自己的存款被盜,ZachXBT 就會與他們取得聯繫,然後一絲不苟地追蹤他們遺失的資金。他將這些區塊鏈線索與他在年輕駭客經常光顧的Discord 和Telegram 頻道中的消息來源結合起來,找到了幾個時常吹噓自己獲取巨額財富的青少年的帳號。
此時,ZachXBT 已被加密貨幣黑道圈盯上,某位年輕駭客甚至在Twitter 貼文中公開對其嘲諷,吹噓自己買了一塊愛彼鑲鑽腕錶。而ZachXBT 也不慣著,緊接著就在一個豪華手錶Discord 頻道中找到了手錶賣家,並說服賣家交出這名少年的送貨地址和真實姓名。
然而,似乎沒有公開記錄顯示這些被指控的嫌疑人是否被捕。也許是出於對未成年人保護,這些指控可能被封存了,也可能從未提起訴訟。但ZachXBT 找到的一份沒收通知顯示,2022 年10 月,也就是ZachXBT 在X 上發布他的發現一個月後,聯邦調查局從他指認的少年嫌疑人那裡沒收了價值20 多萬美元的加密資產,當然還有那隻鑽石手錶。
同年,ZachXBT 使用類似的技術追蹤到了一起價值250 萬美元的NFT 網路釣魚竊案,而所有證據指向一對法國駭客。在這起案件中,法國檢察官在幾個月後逮捕了五名嫌疑人,而據法新社報道,法國檢察官特別感謝了ZachXBT 的貢獻。 「看到執法部門根據我分享的資訊採取行動,讓我很有成就感。」ZachXBT 表示,「這讓我覺得,也許我一直在做的事情真的是有意義的」。
在首次獲得執法部門關注後的兩年裡,ZachXBT 的調查規模爆炸性增長,成果斐然。 2023 年2 月,他追蹤加密貨幣項目Platypus 被盜的近900 萬美元資金,並在數小時內確定了其中一名盜竊者的身份;一周多後,法國警方逮捕了兩名嫌疑人。雖然對這兩人的指控最終被撤銷,但警方追回了數百萬美元的資金,Platypus 也在推特上向ZachXBT 表示了感謝。
同年晚些時候,他追蹤了加密貨幣公司Uranium Finance 的2500 萬美元失竊案,其中大部分的資金似乎是透過購買稀有的Magic: The Gathering cards 洗錢。據參與此案並接受WIRED 採訪的其他調查人員稱,當名為Scattered Spider 的網路犯罪團夥對拉斯維加斯的凱撒娛樂公司(Caesar’s Entertainment)發動勒索軟體攻擊,勒索該公司1500 萬美元時, ZachXBT 協助追蹤並追回了其中的1,200 萬美元。
大約在同一時間,ZachXBT 也公佈了對北韓駭客實施的25 起加密貨幣竊盜案的大量調查結果,總竊盜資金超過2 億美元,其中約700 萬美元是他幫助凍結的,而且其中約有一半的駭客行為從未被公開披露過。在這次調查之後,他又進行了另一次調查,揭露了一個由大約30 名朝鮮IT 人員組成的網絡,他們潛入科技公司,並以加密貨幣獲得報酬。在其中一起案例中,一名似乎與北韓有關的技術人員受僱於NFT 公司Munchables,並設法從該公司竊取了6,200 萬美元的加密貨幣資產。當ZachXBT 幫助識別並標記這些資金時,因變現困難,該駭客乾脆直接把錢退了回去。
「你知道那是多少錢嗎?」
即便如此,ZachXBT 8 月19 日遇上的,單一受害者被竊取2.43 億美元的事件仍是他追蹤過的最大竊案之一。當他乘坐國際航班回到家後,他繼續跟踪了這些分支資金好幾天,同時監控社交媒體,尋找三名嫌疑人的踪跡,其中兩名嫌疑人的頭銜是Greavys 和Box。尤其是Greavys(真名為Malone Lam,似乎居住於邁阿密),發布並出現在了許多豪華房地產、鑽石手錶、私人飛機和跑車的照片中,包括一輛蘭博基尼Revuelto 和一輛帕加尼Huayra,後者的售價通常超過300 萬美元。此外,ZachXBT 還發現了一些KOL 發布的帖子,稱Greavys 向其贈送了愛馬仕Birkin 包包(每個價值在3 萬到5 萬美元之間)。貼文的配圖顯示,在一家夜總會裡,服務生們舉著燈牌,上面寫著「WHO WANT A BIRK」,並標註了Greavys 的名字。
沒過幾天,ZachXBT 說服了在飛行途中第一次給他發私信的那個線人,讓他給他發送了一段視頻,視頻中是三個似乎參與了盜竊的黑客的屏幕共享。他們不知道,其中一名被指控的駭客在螢幕共享過程中與另一群朋友重新共享了自己的螢幕,而且其中一人似乎還錄製了這段影片。 ZachXBT 說,在這段90 分鐘的影片中,有三名駭客多次直呼對方的名字。還有一次,三人中的一人還短暫地切回了他的Windows 主螢幕,顯示了他的姓氏。
這段影片甚至還捕捉到了這些駭客在完成九位數盜竊後瘋狂的反應。 「OMG!OMG!2.43 億美元!Yes!」其中一人在錄音中說道。 「我們成功了!我們成功了!我簡直不敢相信,你知道那是多少錢嗎?」
9 月18 日下午晚些時候,也就是ZachXBT 開始調查不到一個月的時候,Lam 在邁阿密的一處海濱高檔租房被捕,每月的租金為68,000 美元。而Box(真名Jeandiel Serrano)在洛杉磯機場被拘留,當時他正和女友從馬爾地夫度假搭飛機回家。據檢察官稱,他被捕時戴著一塊價值50 萬美元的手錶,在洛杉磯附近租了一棟月租金超過4 萬美元的房子,還花了100 萬美元購入豪車。第二天,針對Lam 和Serrano 的電信詐騙和洗錢指控被公佈。根據法庭文件,兩名駭客都曾向執法調查人員供認,他們參與了多起加密貨幣竊盜案。 Lam 承認,他們從中獲得的利潤資助他購買了不少於31 輛豪華汽車。
到目前為止,在他們涉嫌盜竊的2.43 億美元中,已有7,900 萬美元被扣押或凍結。 ZachXBT 希望還能找到更多的錢。檢察官表示,即使在這些駭客瘋狂消費之後,仍有超過1 億美元下落不明。
根據公開記錄,ZachXBT 發現的第三名嫌疑人似乎住在康乃狄克州,但尚未受到任何犯罪指控。不過,記者Brian Krebs 指出,一份刑事申訴書描述了在8 月底2.43 億美元失竊案發生四天后,一夥男子涉嫌劫持了康涅狄格州一對五十多歲的夫婦的蘭博基尼跑車,並短暫綁架了他們,計劃從兒子手中劫取大量加密貨幣資產。也就是說,這名兒子很可能就是ZachXBT 追蹤到的第三名資金接收者。
對ZachXBT 來說,這次調查可能是其職業生涯的轉捩點。這是他第一次被受害者聘用,並獲得報酬,而不是作為志工憑著捐贈展開調查。他說,他可能會轉型做更多有薪工作,甚至成立自己的調查公司。但他堅持表示自己不會為了財富才進行調查。 「我想看到的是,被盜資金被沒收並歸還,竊盜者被捕落網,這就是我的目標,是我打算做的事情,」ZachXBT 說。 「看到人們從中受益,就是我的幸福感來源」。
與ZachXBT 合作進行數十起調查的Taylor Monahan 表示,ZachXBT 在很大程度上是受正義感的驅使,而這種正義感來自於他自己曾經也是加密貨幣世界殘酷行為的受害者,並希望幫助其他人則免遭同樣的境遇。 「他和這個領域的許多人都有過同樣糟糕的經歷,周圍的人都會自認倒霉,」Monahan 說,「但他從內心拒絕這種經歷。他想改變這種狀況」。
