了解 ZachXBT:令诈骗者闻风丧胆的加密罗宾汉
作者|Andy Greenberg
编译|吴说区块链
他刚刚解开了一桩价值 2.43 亿美元的比特币盗窃案,这可能是有史以来针对单个受害者的最大加密货币盗窃案。而他从未露过面。
8 月 19 日,一位二十多岁的男子,网名为 ZachXBT,正走进机场准备登机——具体哪个机场、他的真名以及家在哪里,他并不想透露——就在此时,他看到手机上收到一条提醒。比特币刚刚被转入了一家小型加密货币交易所,这是他常年在 Bitcoin 区块链上监控的众多交易所之一,目的是寻找非法洗钱的迹象。这个提醒引起了他的注意:这笔交易价值约 60 万美元,远远超过该服务上典型交易额的 10 倍。
当他到达登机口时,第二次提醒又告知他在同一交易所进行了一笔超过 100 万美元的交易。然后又有一笔 200 万美元的交易。站在登机队伍中,ZachXBT 迅速在手机上追踪这些资金,从一个 Bitcoin 地址追溯到另一个地址,标记出可疑的资金,并争分夺秒地寻找这些资金的来源,因为飞机起飞后的半小时内网络连接会中断,直到飞行 Wi-Fi 恢复。飞机起飞前,他已经确定这些资金来自一个自 2012 年以来一直未动的加密钱包——而这笔价值数亿的比特币正被迅速在交易所清算,支付着极高的交易费用,这并不是一位耐心的十年以上 Bitcoin 投资者所能接受的操作。
在 ZachXBT 看来,资金流动立刻看起来像是一起巨大的盗窃案。事实上,在他反复核实后,似乎有人从某位不幸的受害者手中偷走了价值约 2.43 亿美元的比特币,可能是有史以来最大的一次针对个人的加密货币盗窃案。“这是从单个受害者那里盗走的一个异常巨大的金额,”ZachXBT 对《连线》杂志说,“我必须确认我没看错。”
当他飞到 10,000 英尺以上并且 Wi-Fi 恢复后,ZachXBT 开始追踪更多被盗资金的流出情况,这些资金通过一个又一个交易所和币种兑换服务进行转移,似乎试图掩盖资金的路径。在接下来的几个小时里,他拼命地绘制出这些资金流动的分支图,盗贼通过十多个平台转移了这些比特币,显然是在试图隐藏其踪迹。
当他追踪这些资金回到比特币的失主时,ZachXBT 发现其中一部分资金最初来自已经倒闭的 Genesis 加密货币交易所。他通过 X 平台给该交易所的管理员发私信,请他们帮忙联系受害者,最终,受害者聘请他来追查这些被盗的资金。
当 ZachXBT 的航班降落时,他已经发现了三条主要的被盗资金线索,指向他认为的三名嫌疑人。他还在 X 上向超过 65 万名粉丝发布了一条信息,指出区块链上正在进行的盗窃事件。不久后,他收到了一条来自某个声称掌握盗贼身份线索的消息。接下来的一周,ZachXBT 昼夜不停地处理这个案件,每次睡眠不超过四五个小时,并定期与执法机构分享他的发现。他最终确认了这起盗窃案背后的两名嫌疑人——分别是二十出头的黑客 Malone Lam 和 Jeandiel Serrano。(ZachXBT 还确认了另一名嫌疑黑客,但《连线》杂志选择不公开他的名字,因为该人尚未被逮捕或指控。)他甚至获得了一段视频,据称显示其中一名嫌疑人的屏幕,记录了他们完成盗窃并庆祝巨额意外之财的时刻。在这场风驰电掣般的调查中,ZachXBT 甚至追踪到了嫌疑人在 Instagram 和 TikTok 上的活动,看到其中一人花费数百万美元购买豪车、私人飞机,甚至在夜店一晚花费高达 50 万美元。距离 ZachXBT 飞机上收到那条提醒不到一个月,三名嫌疑人中的两人就被逮捕并面临刑事指控。
当 ZachXBT 看到其中一名嫌疑人的拘留照时,他说自己感到了一阵短暂的肾上腺素激增。但这种感觉很快消失了。“我并没有特别的成就感,”ZachXBT 说,“我只是把它当作其他案件一样处理。”
为大众服务的加密货币私家侦探
如果说追踪价值 2.5 亿美元的盗窃案对 ZachXBT 来说就像是普通的一天,那或许是因为过去三年里,他已经成为全球最活跃的独立加密货币侦探之一。自 2021 年开始业余调查以来,他已经追踪了数十亿美元的被盗资金和诈骗案件。根据他提供给《连线》杂志的电子表格统计,他的数百次调查直接帮助追回了约 2.1 亿美元的犯罪所得加密货币,另有 2.25 亿美元的被没收资金,他也在一定程度上间接帮助受害者追回了部分损失。他揭露了通过“拉高出货”骗局推广代币的网红,追踪了大规模加密货币盗窃案背后的网络犯罪分子,并揭示了朝鲜黑客多次攻击加密货币公司,甚至以员工身份渗透这些公司。
在这一切过程中,他几乎完全依赖加密货币捐款来维持运作,包括来自加密货币组织的资助和陌生人通过他在社交媒体上列出的地址捐赠的款项,自 2021 年以来累计约 130 万美元。“他是新一代的调查员,他为大众服务,”美国特勤局分析师 Joe McGill 说道,他曾与 ZachXBT 合作过。“他的成功完全取决于他调查的成功。”
在追求加密货币义务侦探这一事业的过程中,ZachXBT 也始终保持匿名。线上,他只以他的头像出现——一个身穿侦探风衣或有时穿着连帽衫的鸭嘴兽卡通形象。为了避免受到来自加密货币罪犯和骗子的报复,他从未公开露面,也未透露过他的真实姓名或确切年龄,并且只在我同意不调查他的身份信息的条件下接受了《连线》的采访。McGill 回忆,在他们早期的电话会议中,ZachXBT 不仅会关掉摄像头,甚至还会使用变声器应用,有时声音像个“南方公园里的角色”,而有时声音又被调低,听起来像是恐怖电影里的角色。“一开始感觉很奇怪,”当时在加密追踪公司 TRM Labs 工作的 McGill 说,“但我尊重他的隐私,因为这个匿名家伙做了非常出色的工作。”
加密货币调查公司 Five I’s 的创始人 Nick Bax 说,ZachXBT 频繁揭露加密货币犯罪骗局和盗窃案,速度通常比执法机构还快,以至于他半开玩笑地怀疑 ZachXBT 是不是某种机器人。“他就像一台机器。”Bax 回忆起去年他们合作调查 2021 年 AnubisDAO 加密项目 6000 万美元的盗窃案时,Bax 在周六晚上给了 ZachXBT 一份包含 500 笔交易的清单,每笔交易都需要手动分析并关联相关的区块链地址。“我以为这至少会让他忙上几天,”Bax 说。但到了第二天中午,ZachXBT 已经梳理完所有交易,并确定了哪些交易与盗窃案有关。“我当时很震惊,”Bax 说,“他肯定是连续坐在电脑前 12 个小时。”
ZachXBT 的许多调查结果都直接发布在他的 X 账号上。然而,随着时间的推移,他的调查发现越来越多地引起了执法机构的关注——如今他经常在发布前与多家执法机构分享他的发现。结果是,越来越多的犯罪分子因他的侦查工作而面临现实的后果。“随着 Zach 的影响力越来越大,随之而来的不仅是经济后果,还有法律后果,”加密货币公司 MetaMask 的安全研究员 Taylor Monahan 说,她是 ZachXBT 最亲密的合作伙伴之一,包括一起调查了那起 2.43 亿美元的盗窃案。“如果 Zach 现在发布了一篇关于某人的调查贴,而且内容扎实,那个人很可能就会被逮捕。”
从受害者到举报人
那么,ZachXBT 是如何在没有正式培训或组织支持的情况下,甚至比执法部门的加密调查人员更快地追踪并揭露加密犯罪的呢?连他自己也不完全清楚。“这是个难回答的问题。我也不知道我为什么这么擅长,”ZachXBT 在电话采访中告诉《连线》杂志。他将这归因于自己愿意全天候工作——毕竟,加密货币市场从不关闭——以及通过多年来不断深入研究加密货币区块链交易账本而积累的熟练度。“你越是花时间研究区块链,当你吃饭、睡觉甚至呼吸时都在看它,随着时间推移,它就会变得越来越清晰,”他说,“你开始能察觉到那些联系。我可以看一个钱包,然后在几秒钟内判断它是否是坏人。”
ZachXBT 说,他对区块链的熟悉源于他多年的加密货币爱好者和交易者的经验——以及作为一个不幸的投资者自己也曾落入加密经济的陷阱。大约在 2017 年,他天真地购买了价值数千美元的加密货币代币,结果这些代币的价值都大幅下跌——通常是因为所谓的“拉高出货”骗局,即代币的创建者在拉高价格后抛售自己的持有,剩下的投资者只能持有一文不值的资产。“我当时想,‘这将改变世界。’我持有这些代币,从来没卖出,”ZachXBT 说。结果是,“我就是那个被骗的人。”
到 2018 年,不仅这些投资全都崩溃了,ZachXBT 使用的一个 Electrum 加密钱包还因为恶意软件更新被黑客入侵,他又损失了接近 1.5 万美元。在那一刻,他决定退一步,重新审视自己的策略。他不再仅仅是买入并持有代币,而是开始分析加密货币的区块链——几乎所有区块链交易对任何能解读不同地址所有者的人都是公开可见的——以观察那些更大、更成功的投资者是如何交易代币和币种的,并试图模仿他们的操作。
通过这种区块链分析,到了 2020 年,他已经足够熟练,能够发现普通投资者看不出来的正在进行中的骗局。他会看到某个网红向成千上万的粉丝公开推广某种加密资产,拉高价格,然后在区块链上跟踪他们的资金,发现他们实际上是在推广之后立即卖掉自己的持有,这通常是一种典型的“拉高出货”骗局。“这更像是在做一个举报人,”ZachXBT 说。“我会注意到这种活动,然后想,‘这让我想起了 2017 年和 2018 年我上当时的情形。为什么不发个帖子揭露它呢?’结果这些帖子就火了。”
当 NFT 热潮在同年晚些时候掀起时,ZachXBT 开始以类似的方式审视 NFT 项目,比如 Bored Bunny 和 Billionaire Dogs Club,以揭示流入这些项目的资金实际去了哪里。这些 NFT 卖家通常仅凭几张卡通 .jpg 图片就能筹集数百万资金,承诺购买者可以获得像参加独家活动或俱乐部会员这样的福利。然而,ZachXBT 通过区块链分析发现,卖家只是在分赃并将资金装入自己的口袋。有时,他甚至通过加密追踪发现,一个 NFT 卖家实际上是之前一个已经证明是骗局的项目换了个新品牌重新出现。
在 ZachXBT 发布的关于 NFT 卖家的帖子中,确实有几次成功吓退了买家,阻止了一些不法 NFT 商贩继续出售他们的产品。但随着时间推移,他对这些反复上演的、通常显而易见的骗局感到厌倦,并且对缺乏更实质性的成果感到沮丧:他曝光的那些 NFT 项目,没有任何相关人员面临刑事指控。
然后,在 2022 年初,他注意到一群黑客开始入侵知名加密用户的 Twitter 账户,发布指向 Ethereum 智能合约的网络钓鱼链接,导致数千万美元的资金被盗。每当某个受害者发帖表示他们的存款被盗时,ZachXBT 都会联系他们,并仔细追踪他们失去的资金。他将区块链线索与他在年轻加密货币小偷常用的 Discord 和 Telegram 频道中发展起来的消息来源相结合,最终锁定了一些似乎参与网络钓鱼活动的青少年的在线网名,这些人还在吹嘘他们的巨额战利品。
此时,ZachXBT 已在加密圈中臭名昭著,以至于有一位他认为是嫌疑人的人在 Twitter 上炫耀自己购买了一块镶满钻石的 Audemars Piguet 手表时,还故意嘲讽“mr xbt”。ZachXBT 找到了手表卖家,卖家在一个奢侈手表的 Discord 频道中,最终他说服了卖家提供青少年的收货地址和真实姓名。没有公开记录显示这些嫌疑人是否被逮捕,可能是因为嫌疑人是未成年人,相关指控已被封存或从未提出。但 ZachXBT 找到了一份没收通知,显示在他于 2022 年 9 月在 X 上发布发现后一个月,FBI 在 10 月没收了这名青少年嫌疑人持有的价值超过 20 万美元的加密货币资产以及那块钻石手表。
同年,ZachXBT 使用类似的技术追踪了另一场网络钓鱼活动中被盗的价值 250 万美元的 NFT,这起案件涉及两名法国黑客。据报道,几个月后,法国检察官逮捕了五名嫌疑人,并根据法新社的消息,特别感谢了 ZachXBT 在 X 上发布的帖子对调查两名主要嫌疑人的帮助。“看到执法机构对我分享的内容采取行动,这让我非常有成就感,”ZachXBT 说,“这让我觉得,或许我一直在做的事情确实有些意义。”
自从两年前首次引起执法机构的注意以来,ZachXBT 调查的规模——以及在某些情况下的后果——迅速扩大。2023 年 2 月,他追踪到加密项目 Platypus 被盗的近 900 万美元资金,并在数小时内识别出了一名嫌疑人;法国警方在一周多后逮捕了两名嫌疑人。尽管对这两人的指控最终被撤销,但警方追回了数百万美元的资金,Platypus 也在推特上感谢了 ZachXBT。同年晚些时候,他追踪到加密公司 Uranium Finance 被盗的 2500 万美元资金,其中很大一部分似乎被用来购买稀有的《万智牌》卡片。当网络犯罪组织“散落的蜘蛛”对拉斯维加斯的 Caesars Entertainment 发动勒索软件攻击,向该公司勒索了 1500 万美元时,据其他参与调查并与《连线》杂志沟通的调查人员称,ZachXBT 帮助追踪并追回了 1200 万美元的资金。
大约在同一时间,ZachXBT 发布了一系列关于朝鲜黑客进行的 25 起加密货币盗窃案的调查结果,总金额超过 2 亿美元,其中约 700 万美元的资金在他的帮助下被冻结。约有一半的黑客攻击事件此前从未被公开披露。他紧接着又进行了一项调查,揭露了一个由大约 30 名朝鲜 IT 工作者组成的网络,这些工人渗透进了科技公司,并通过加密货币获得报酬。在其中一起案例中,一名看似与朝鲜有关的技术人员成功在 NFT 公司 Munchables 任职,并从公司盗取了 6200 万美元的加密资产。当 ZachXBT 帮助识别并标记这些资金时,窃贼发现资金难以变现,最终不得不将其归还。
“你知道那是多少钱吗?”
尽管如此,当 ZachXBT 在机场收到 8 月 19 日发生的价值 2.43 亿美元的加密货币盗窃案的提醒时,这仍是他追查过的最大盗窃案之一。国际航班回家后,他连续几天继续追踪这些资金流动,同时监控社交媒体上他三名嫌疑人的动向,其中两人分别使用 Greavys 和 Box 作为网名。特别是 Greavys——真名是 Malone Lam,看起来在迈阿密活动——在社交媒体上频频出现在豪华房地产、钻石手表、私人飞机和包括 Lamborghini Revuelto 和 Pagani Huayra 在内的豪车照片中,后者的售价通常超过 300 万美元。ZachXBT 还发现了 Greavys 赠送价值 3 万到 5 万美元不等的 Birkin 和 Hermès 包的网红帖子,以及夜店里的服务员举着带有 Greavys 名字的霓虹灯牌,上面写着“WHO WANT A BIRK”(谁要 Birkin 包)。ZachXBT 说:“看起来他们的生活就是狂欢和偷钱。”
几天之内,ZachXBT 说服了在他航班上发私信给他的消息来源,向他提供了三名黑客屏幕共享的录屏视频。这三名黑客在与一群朋友共享屏幕时,其中一名黑客不知情地重新共享了他的屏幕,而朋友中的一人似乎录下了视频。ZachXBT 说,在这段 90 分钟的视频中,三名黑客多次以真实姓名互相称呼。在另一个片段中,其中一人还短暂地展示了他的 Windows 主屏幕,暴露了他的姓氏。
视频甚至记录了这些黑客在成功实施九位数盗窃后疯狂反应的瞬间。“哦我的天!哦我的天!2.43 亿美元!是的!”其中一人在录音中说道。“我要疯了!我们完成了!我们完成了!我要疯了。你知道那是多少钱吗?”9 月 18 日下午,距离 ZachXBT 开始调查不到一个月,Lam 在迈阿密的一处月租 6.8 万美元的水边出租房被捕。Box——真名 Jeandiel Serrano——在洛杉矶机场被捕,当时他正从马尔代夫度假回家,和女朋友一起。据检方称,Serrano 被捕时戴着一块价值 50 万美元的手表,租住在洛杉矶附近一栋月租超过 4 万美元的房子里,还花费 100 万美元购买豪车。第二天,针对 Lam 和 Serrano 的电信欺诈和洗钱指控被公开。根据法庭文件,两名黑客都向执法调查人员承认参与了多起加密货币盗窃案。Lam 还特别承认,这些盗窃的收益为他购买了至少 31 辆高端汽车。
到目前为止,他们被指控盗窃的 2.43 亿美元中,已有 7900 万美元被查获或冻结。ZachXBT 希望还能找到更多资金。检察官称,即使在这几名黑客的奢侈消费狂潮之后,仍有超过 1 亿美元未找到。根据公开记录,ZachXBT 的第三名嫌疑人似乎住在康涅狄格州,但目前尚未受到任何指控。然而,记者 Brian Krebs 指出了一份刑事诉状,描述了一伙男子涉嫌在 8 月下旬 2.43 亿美元盗窃案发生四天后,劫持了一对 50 多岁的康涅狄格夫妇,并短暂绑架了他们,因为劫车者“相信受害者的儿子有大量数字货币的访问权限”——这表明,这对夫妇可能是 ZachXBT 追踪到的第三名嫌疑人所涉及资金的父母。
对于 ZachXBT 来说,这次调查可能是一个转折点。这是他第一次受雇于案件中的受害者,并且通过自己的技能获得报酬,而不是像以往那样依靠捐赠作为志愿者工作。他表示,他可能会转向更多这种有偿工作,甚至创办自己的调查公司。但他坚持认为,自己并不是为了通过揭露这些案件来致富。“我看到资金被查获、资金返还给受害者、人们被逮捕,这就是我的目标。这是我想要实现的,”ZachXBT 说。“看到这些事情真正造福于人们,这才是让我感到满足的地方。”
他的合作者、加密钱包公司 MetaMask 的 Taylor Monahan 已经与他合作进行了数十项调查,她认为 ZachXBT 依然主要是出于正义感驱动——这种正义感源于他自己曾是加密世界残酷一面的受害者,并希望阻止其他人重蹈覆辙。“他经历了许多人在这个领域都经历过的相同经历,那就是发生了糟糕的事情,而你身边的人只会说,‘真倒霉’,”Monahan 说。“他本能地拒绝这种经历,他想要改变它。”