作者:Andy Greenberg
編譯:Ismay,BlockBeats
編者按:和 Ansem 對線、公佈 Murad 地址,曝光 U 商王逸聰、披露 SHAR 的項目方 deck,相信很多讀者最近都頻繁聽到 ZachXBT 這個名字。自 2021 年以來,鏈上偵探 ZachXBT 已幫助詐騙、被盜受害者追回近 5 億美元。上個月,他破獲瞭 2.43 億美元的盜竊案,這是有史以來針對個人的最大盜竊案。從區塊鏈的深處追蹤犯罪到揭露奢侈生活背後的巨額資金流轉,ZachXBT 憑借自己的智慧與執著,在短短幾年間幫助追回瞭數億美元的被盜資金。《連線》雜志的本篇文章將帶你走進這位加密貨幣「無面偵探」的神秘世界,揭示他如何與加密犯罪鬥智鬥勇,以及那些鮮為人知的幕後故事。
以下為原文內容:
8 月 19 日,一位二十多歲的年輕人,網名 ZachXBT,正準備登機回傢。他並不願透露是哪個機場、他的真名以及他住在哪裡。
這時,他的手機彈出瞭一條警報:一筆比特幣被轉移到一個小型的加密貨幣交易所。這是他長期監控的許多交易所之一,主要目的是尋找與犯罪洗錢相關的資金流動。這條警報引起瞭他的註意:這筆交易金額約為 60 萬美元,遠遠超過該交易所日常交易規模的 10 倍。
當他到達登機口時,手機又響起一條新的提醒:同一交易所上發生瞭另一筆超過 100 萬美元的交易。隨後又有一筆 200 萬美元的交易。
當 ZachXBT 排隊準備登機時,他迅速在手機上追蹤這些資金,倒查這些比特幣地址,並標記瞭可疑資金,試圖在飛機起飛後的半小時互聯網中斷之前查明資金來源。
在飛機升空前,他已經確定這筆資金來自一個自 2012 年起就未動用過的大額比特幣錢包,總金額達數億美元。而現在,這筆價值九位數的巨款正在被急於套現,並且支付瞭高額交易費用,這種做法顯然不是一個持幣十多年的投資者會接受的。
在 ZachXBT 看來,這種資金流動很明顯是一起巨額盜竊案。
經過進一步核實,他發現有人從一位受害者手中盜走瞭價值約 2.43 億美元的比特幣,可能是有史以來最大的一起針對個人的加密貨幣盜竊案。「這真的是一個非常異常的數額,竟然是從一個人那裡盜走的,」ZachXBT 對《連線》雜志說道,「我不得不確認自己沒有看錯。」
當飛機升至一萬英尺以上並且 Wi-Fi 恢復工作後,ZachXBT 開始追蹤更多被盜資金的流向。
這些資金通過一個又一個交易所和幣幣兌換服務平臺被轉移。在接下來的幾個小時裡,他加速繪制出這些資金流動的分支圖,發現黑客通過十幾個平臺試圖隱藏資金的蹤跡。
隨著他沿著這條線索追溯到比特幣的失主,ZachXBT 發現部分資金最初來自已經倒閉的 Genesis 加密貨幣交易所。他通過 X 平臺(原 Twitter)私信該交易所的管理員,請他們聯系受害者,最終該受害者聘請他追查被盜資金。
當他抵達目的地時,ZachXBT 已經發現被盜資金分成瞭三條主要的資金流,指向瞭他認為的三名嫌疑人。他還向自己在 X 平臺上超過 65 萬的粉絲發佈瞭一條消息,指出區塊鏈上正在進行的盜竊活動。
不久後,他收到瞭一名線人的消息,聲稱掌握有關黑客身份的線索。
接下來的一周,ZachXBT 日夜工作,每天隻睡四到五個小時,並定期將他的調查結果分享給執法機構。他最終確定瞭涉嫌盜竊的嫌疑人——兩名二十出頭的年輕黑客,名為 Malone Lam 和 Jeandiel Serrano。ZachXBT 還確認瞭另一名涉嫌黑客,但《連線》雜志選擇不公開他的姓名,因為該人尚未被逮捕或指控。
他甚至獲得瞭一段視頻,視頻顯示其中一人在完成盜竊後慶祝這筆巨額財富的得手。在他的快速調查中,ZachXBT 甚至還追蹤到這些嫌疑人的 Instagram 和 TikTok,看到其中一人揮霍數百萬美元,購買豪車、乘坐私人飛機,還在夜總會裡一晚消費高達 50 萬美元。
自從飛機上收到那條警報後,不到一個月的時間,三名嫌疑人中的兩人被逮捕並面臨刑事指控。
當 ZachXBT 終於看到其中一名黑客的拘捕照時,他表示自己感到瞭一陣短暫的腎上腺素激增,但很快便恢復瞭平靜。「我並沒有特別的成就感,」ZachXBT 說道,「我隻是把它當作另一起普通的案件。」
比特幣盜竊案調查結果|ZachXBT 的置頂推文
為大眾服務的加密貨幣私人偵探
如果追蹤一起價值 2.5 億美元的盜竊案對 ZachXBT 來說就像在網上度過的平常一天,那麼這或許是因為在過去三年裡,他已成為全球最活躍的獨立加密貨幣偵探。
自 2021 年作為業餘調查員開始工作以來,他已追蹤到數十億美元的被盜資金和詐騙案件。根據他提供給《連線》雜志的一份表格統計,他的數百起調查直接促成瞭大約 2.1 億美元的犯罪加密貨幣資金被追回,另有約 2.25 億美元的資金在他間接幫助下為受害者追回。
他揭露瞭通過拉高出貨騙局推銷代幣的網紅,追蹤瞭大型加密貨幣盜竊案背後的網絡犯罪分子,並揭發瞭數十起朝鮮黑客入侵加密公司甚至以員工身份滲透的事件。
在整個過程中,他幾乎完全依靠加密貨幣捐贈來資助他的工作,包括來自加密貨幣組織的撥款和陌生人通過他社交媒體個人資料中列出的地址發送的貢獻款項,自 2021 年以來,已累計約 130 萬美元。「他是新一代的調查員,他為大眾服務,」曾與 ZachXBT 合作的美國特勤局分析師 Joe McGill 表示,「他的成功完全取決於他調查的成功。」
在追求成為一名加密貨幣「正義警察」的過程中,ZachXBT 始終小心翼翼地保持匿名。在網上,他隻以他的頭像形象出現——一隻穿著偵探風衣或有時是連帽衫的鴨嘴獸卡通形象。為瞭避免受到加密貨幣犯罪分子和騙子的報復,他從未公開過自己的真實面貌、姓名或具體年齡,並且隻有在《連線》雜志同意不追查這些個人身份信息的前提下,他才願意接受采訪。
ZachXBT 的 Twitter 主頁
特勤局分析師 McGill 回憶,在他們早期的電話會議中,ZachXBT 不僅關閉攝像頭,甚至還使用瞭變聲軟件,有時聲音像《南方公園》裡尖聲叫喊的角色;而其他時候,他又將聲音調得很低沉,仿佛來自恐怖電影中的角色。「一開始確實挺怪異的,」當時在加密追蹤公司 TRM Labs 工作的 McGill 說,「但我尊重他的隱私,因為這個匿名的人確實在做著非常出色的工作。」
加密貨幣調查員、Five I's 公司創始人 Nick Bax 表示,ZachXBT 幾乎每周都能揭露許多加密貨幣犯罪騙局和盜竊案,通常比執法機構的動作要快得多。Bax 半開玩笑地說,他甚至懷疑 ZachXBT 是不是機器人。
「他簡直像一臺機器,」Bax 說道。
去年的一次調查中,他們合作追蹤瞭 2021 年 AnubisDAO 加密項目中的 6000 萬美元盜竊案。Bax 周六晚上給瞭 ZachXBT 一份包含 500 筆交易的清單,每筆交易都需要手動分析,以及關聯的區塊鏈地址。「我以為這至少能讓他忙上幾天」,然而,第二天下午,ZachXBT 已經完成瞭所有交易的分析,並確定瞭哪些與盜竊案有關。「我非常震驚,」Bax 說道,「他肯定是連續 12 小時不間斷地坐在電腦前。」
ZachXBT 的許多調查結果都會毫無儀式感地發佈在他 X 平臺的賬戶上。
然而,隨著時間的推移,他的調查越來越多地引起瞭執法機構的關註——如今,他經常在公開發佈前與這些機構分享自己的調查結果,這些偵探工作的目標正在面臨越來越嚴重的後果。
「隨著 Zach 的影響力不斷擴大,這些案件帶來瞭財務和法律上的後果,」加密公司 MetaMask 的安全研究員 Taylor Monahan 說道,她是 ZachXBT 最親密的調查合作夥伴之一,曾參與瞭 2.43 億美元盜竊案的調查。「如果 Zach 現在發佈關於某人的帖子,並且揭露得很到位,那個人很有可能會被逮捕。」
從受害者到揭發者
那麼,ZachXBT 究竟是如何在沒有正式培訓或組織支持的情況下,甚至比執法部門的加密調查員更快、更準確地追蹤資金流向的呢?
對此,他自己也不太確定。「這個問題挺難的,我也不知道為什麼我這麼擅長,」ZachXBT 在電話采訪中告訴《連線》雜志。他認為這與自己願意不分晝夜地工作有關——畢竟加密貨幣市場從不休市——以及多年深入研究加密貨幣區塊鏈所積累的經驗。「你看的區塊鏈越多,當你吃飯、睡覺甚至呼吸都在研究它,隨著時間的推移,一切就會開始變得更加清晰,」他說。「你能開始發現那些關聯。我可以看一個錢包,在幾秒鐘內判斷它是不是壞人。」
ZachXBT 表示,他對區塊鏈的熟悉源於他多年作為加密貨幣愛好者和交易者的經歷——以及他自己也曾是加密經濟中眾多陷阱的受害者之一。
大約在 2017 年,他天真地花瞭數千美元購買各種加密代幣,但這些代幣最終都大幅貶值——通常是因為所謂的 rug pull,即代幣的創建者突然拋售手中的代幣,導致其他投資者手中的資產變得一文不值。「當時我買入時想著,『這將改變世界。』我買入後一直持有,從未賣出,」ZachXBT 說,結果是,「我成瞭那個被騙的人。」
到 2018 年,不僅他所有的投資都大幅縮水,ZachXBT 使用的 Electrum 加密錢包還因惡意軟件更新被黑客入侵,他又損失瞭近 1.5 萬美元。
直到那時,他才決定退一步重新思考自己的策略。他不再單純地買入並持有代幣,而是開始分析加密貨幣的區塊鏈——幾乎所有區塊鏈都是公開可見的,任何能夠解讀不同地址所屬者的人都可以查看——通過這種方式,他觀察到一些更大、更成功的投資者是如何交易代幣和比特幣的,並試圖模仿他們的操作。
通過這些區塊鏈分析,到 2020 年,他對追蹤加密貨幣交易已經相當熟悉,能夠發現普通投資者看不到的正在進行中的騙局。
他看到一些網紅向成千上萬的粉絲公開宣傳某個加密資產,推高其價格,然後通過區塊鏈追蹤他們的資金,發現他們實際上是在宣傳後立刻出售自己持有的代幣,這往往是典型的「拉高出貨」騙局。
「這更像是一個舉報者的角色,」ZachXBT 說。「我註意到這些活動時會想到,『這讓我想起瞭 2017 年和 2018 年我上當受騙的經歷,為什麼不發個帖子揭露它呢?』然後這件事就開始引起廣泛關註瞭。」
NFT 熱潮興起時,ZachXBT 同樣開始仔細審查像 Bored Bunny 和 Billionaire Dogs Club 這樣的 NFT 項目,揭示資金的真實流向。這些 NFT 賣傢僅憑幾張卡通圖片就能募集到數百萬美元,聲稱這些 NFT 將帶來如參加獨傢活動或俱樂部的特權。
然而,ZachXBT 通過區塊鏈分析發現,這些賣傢隻是將資金分散並裝進自己的口袋。有時,他甚至通過加密貨幣追蹤發現某些 NFT 賣傢實際上是之前一個已被證明是騙局的項目的「重新包裝」。
在某些情況下,ZachXBT 發佈的關於 NFT 賣傢的帖子確實嚇退瞭買傢,阻止瞭一些可疑的 NFT 賣傢繼續出售他們的產品。但隨著時間的推移,他對不斷揭露這種透明度較高、重復上演的騙局感到厭倦,同時也對缺乏更實質性結果感到沮喪:他曝光的 NFT 項目中,沒有任何人因此面臨刑事指控。
時間來到 2022 年初,ZachXBT 開始註意到一群黑客正在入侵一些知名加密貨幣用戶的 Twitter 賬戶,並發佈釣魚鏈接,指向用以掏空用戶錢包的以太坊智能合約,導致數千萬美元的盜竊。
每當有受害者痛苦地發帖稱自己的儲蓄被盜時,ZachXBT 會主動聯系他們,然後仔細追蹤他們失去的資金。他將這些區塊鏈線索與自己在年輕加密貨幣竊賊經常出沒的 Discord 和 Telegram 頻道中發展起來的消息來源相結合,最終找到瞭幾個可能與該釣魚活動有關的青少年在線昵稱,他們在網上炫耀自己盜取的大筆財富。
此時,ZachXBT 已經在加密貨幣的地下世界名聲大噪,甚至有一名他認為是嫌疑人的人,在 Twitter 上發帖炫耀自己購買瞭一款鑲鉆的 Audemars Piguet 腕表時,還嘲諷性地提到瞭「mr xbt」。
ZachXBT 通過一個奢侈手表的 Discord 頻道追蹤到瞭這款手表的賣傢,成功說服這名賣傢交出瞭購買這款價值近 5 萬美元腕表的青少年的收貨地址和真實姓名。
沒有公開記錄顯示這些所謂的竊賊是否被逮捕——可能是因為嫌疑人是未成年人,指控要麼已被封存,要麼從未提出。但 ZachXBT 找到瞭一份沒收通知,顯示 2022 年 10 月,即他在 X 平臺發佈調查結果一個月後,FBI 從他識別出的青少年嫌疑人處沒收瞭價值超過 20 萬美元的加密資產以及那塊鉆石手表。
同年,ZachXBT 使用類似的技術,追蹤到另一場網絡釣魚活動中被盜的價值 250 萬美元的 NFT,目標嫌疑人是一對法國黑客。幾個月後,法國檢察官逮捕瞭五名嫌疑人,據法新社報道,他們明確提到 ZachXBT 在 X 平臺發佈的帖子幫助瞭對兩名主要嫌疑人的調查。「看到執法部門根據我分享的信息采取行動,這讓我非常有成就感,」ZachXBT 說。「這讓我意識到,也許我所做的事情真的有瞭些成效。」
自從兩年前首次引起執法部門的關註以來,ZachXBT 的調查規模——以及某些情況下的結果——都急劇擴大。
2023 年 2 月,他追蹤到瞭加密項目 Platypus 被盜的近 900 萬美元資金,並在短短幾個小時內識別出其中一名嫌疑人;僅僅一周多後,法國警方逮捕瞭兩名嫌疑人。盡管對這兩人的指控最終被撤銷,但警方成功追回瞭數百萬美元的資金,Platypus 也在推文中向 ZachXBT 表達瞭感謝。
同年,他追蹤到加密公司 Uranium Finance 被盜的 2500 萬美元,其中大部分似乎通過購買稀有的《萬智牌》卡片進行瞭洗錢。當臭名昭著的網絡犯罪組織「Scattered Spider」對拉斯維加斯的凱撒娛樂公司發動勒索軟件攻擊,並從該公司勒索到 1500 萬美元時,ZachXBT 幫助追蹤並追回瞭其中的 1200 萬美元,其他參與該案件調查的人員向《連線》透露瞭這一消息。
大約在同一時間,ZachXBT 公佈瞭一項重大調查結果,揭露瞭朝鮮黑客實施的 25 起加密貨幣盜竊案,總金額超過 2 億美元,其中約 700 萬美元在他的幫助下被凍結。這些黑客行動中,有大約一半此前從未被公開過。
他隨後跟進瞭一項調查,揭露瞭一個由約 30 名朝鮮 IT 工作者組成的網絡,他們滲透進瞭科技公司,並以加密貨幣形式獲得報酬。在其中一個案例中,一名疑似與朝鮮有關的技術人員被 NFT 公司 Munchables 雇傭,成功竊取瞭 6200 萬美元的加密資產。當 ZachXBT 幫助識別並標記這筆資金後,竊賊由於無法輕易將錢變現,最終被迫將其歸還。
「你知道那是多少錢嗎?」
回到開頭那起盜竊案,當 ZachXBT 在機場收到提示,發現 8 月 19 日發生的單個受害者被盜走 2.43 億美元的線索時,這是他所追蹤過的最大盜竊案之一。
從國際航班回到傢後,他連續數天追蹤這些分散的資金流,同時在社交媒體上監控三名嫌疑人的動向,其中兩人使用網名 Greavys 和 Box。特別是 Greavys,真名是 Malone Lam,似乎身處邁阿密。他在網上發佈的內容和照片顯示自己與豪華房產、鉆石手表、私人飛機以及豪車為伴,其中包括一輛 Lamborghini Revuelto 和一輛 Pagani Huayra,後者的售價通常超過 300 萬美元。
ZachXBT 還發現,Greavys 曾送給一些網紅價值 3 萬到 5 萬美元的 Birkin 和 Hermès 包包,並在夜店裡出現瞭服務員舉著寫有「WHO WANT A BIRK」(誰想要個 Birkin 包)的電子標牌,標記著他的名字。
「看起來他們除瞭狂歡和偷錢,什麼都不幹,」ZachXBT 說道。
幾天內,ZachXBT 說服瞭在他飛行途中第一次給他發私信的線人,向他提供瞭一段三名疑似參與盜竊的黑客之間的屏幕共享視頻。這些黑客毫不知情,其中一名嫌疑人在共享屏幕時,又與另一群朋友共享瞭他的屏幕,而其中一位朋友似乎錄下瞭這段視頻。
在這段 90 分鐘的視頻中,ZachXBT 表示,三名黑客多次互相用他們的名字稱呼對方。而在另一個片段中,其中一名男子還短暫展示瞭自己的 Windows 主屏幕,意外暴露瞭他的姓氏。
視頻甚至捕捉到瞭這幾名黑客得手後興奮狂喜的時刻。「天啊!天啊!2.43 億美元!太棒瞭!」其中一人在視頻中喊道,「我要瘋瞭!我們搞定瞭,我們搞定瞭。我快要爆炸瞭。你知道那是多少錢嗎?」
9 月 18 日下午晚些時候,距離 ZachXBT 開始調查還不到一個月,Lam 在邁阿密的一處海濱出租物業中被捕,他每月為此支付 6.8 萬美元。Box——真名為 Jeandiel Serrano——在洛杉磯機場被逮捕,當時他正與女友從馬爾代夫度假返回。據檢方稱,他被捕時戴著一塊價值 50 萬美元的手表,租住在洛杉磯附近的一處房產,每月房租超過 4 萬美元,並且花費瞭 100 萬美元購買豪車。
第二天,針對 Lam 和 Serrano 的電匯欺詐和洗錢指控被解封,根據法庭文件,兩名黑客都向執法調查人員承認參與瞭多起加密貨幣盜竊案。Lam 特別承認,這些犯罪所得為他購買瞭不下 31 輛高端汽車。
目前為止,2.43 億美元中已有 7900 萬美元被查封或凍結,ZachXBT 希望還能找到更多被盜資金。檢察官表示,即使在嫌疑人揮霍一番後,仍有超過 1 億美元下落不明。
ZachXBT 的第三名嫌疑人,目前根據公開記錄顯示可能居住在康涅狄格州,但尚未被指控任何犯罪。然而,記者 Brian Krebs 指出一份刑事訴狀,描述瞭一群男子在 8 月底 2.43 億美元盜竊案發生四天後,涉嫌在康涅狄格州搶劫瞭一對五十多歲的夫婦並短暫綁架瞭他們,因為這些劫匪「相信受害者的兒子擁有大量數字貨幣的訪問權限」,這暗示受害者可能是 ZachXBT 追蹤到的第三名涉嫌資金接收者的父母。
對 ZachXBT 來說,這次調查可能是一個轉折點。這是他第一次由受害者聘用並獲得報酬,而不是作為志願者靠捐贈來工作。他表示,未來可能會更多地從事這樣的有償工作,甚至考慮創辦自己的調查公司。
但 ZachXBT 堅稱,他並不是為瞭通過揭露這些事件致富。「我看到資金被查封、歸還給受害者、嫌疑人被逮捕,這就是我的目標,這也是我最初的目的,」ZachXBT 說。「看到這些事情對人們有所幫助,這才是我獲得滿足感的來源。」
他的合作夥伴 Taylor Monahan 來自加密錢包公司 MetaMask,現已與他合作瞭數十項調查。她認為 ZachXBT 依然主要受到正義感的驅使——這種正義感源於他曾經也是加密貨幣世界的受害者,想要防止其他人遭遇同樣的結局。
「他和這個領域的許多人有著相同的經歷,那就是發生瞭不好的事情,而身邊的人都隻會說『這真倒黴』,」Monahan 說。「他本能地拒絕接受這種經歷,並且想要改變這一切。」
Monahan 說,「他和這個領域的許多人有著相同的經歷:當遇到不幸的事情時,周圍的人隻會說『真倒黴』,但他本能地拒絕接受這種無奈的回應,決心改變這一切。」