ADVERTISEMENT
8 月 19 日,一位二十多歲的年輕人,網路代號 ZachXBT,正走進機場準備搭機回家(至於是哪個機場、他的真實姓名、家在哪裡,他都不願透露),這時他看到手機上收到的的一個警報。一筆比特幣剛剛被轉移到一個小型加密貨幣交易所,他經常在比特幣區塊鏈上監控許多交易所的交易,以尋找犯罪洗錢的跡象。這筆交易引起了他的興趣:這筆交易價值約 60 萬美元,是該平台上一般交易規模的 10 倍以上。
當他到達登機口時,另一個警報提醒他同一交易所發生了第二筆價值超過 100 萬美元的交易,接著又來了一筆200萬美元的交易。當他排隊登機時,ZachXBT 匆忙地在手機上追蹤這筆錢,從一個比特幣地址回溯到另一個地址,標記可疑資金,並趕在飛機起飛後網路斷線的半小時內找到它們的來源。在他登機之前,他已經確定這筆錢來自一個加密貨幣錢包,該錢包自 2012 年以來一直持有價值數億美元的比特幣,而現在這筆巨額資金正在透過收取高額手續費的交易所被急速變現,這絕非一個耐心等待十多年的比特幣投資者會做的事。
ADVERTISEMENT
對 ZachXBT 來說,這些資金流向明顯像是一起大規模盜竊案。事實上,當他再次核實發現時,似乎有人從一位倒楣的受害者那裡偷走了約2.43億美元的比特幣,這可能是有史以來針對個人最大的加密貨幣盜竊案。「從一個人身上偷走這麼大的金額,實在太不尋常了,」ZachXBT 告訴《WIRED》雜誌。「我不得不確認自己是否看錯了。」
當 ZachXBT 的飛機飛到 10,000 英尺高空,可以使用無線網路時,他開始追蹤更多被盜資金的流出,這些資金正被一個接一個地透過交易所和幣種交換服務。在接下來的幾個小時裡,他努力繪製出資金流動的分支流向圖,因為竊賊們顯然試圖透過十幾個平台來轉移這些加密貨幣,以混淆他資金的流向。
當他循著這條線索追溯到比特幣的損失者時,ZachXBT 發現一部分資金最初來自現已倒閉的 Genesis 加密貨幣交易所。他直接在 X 平台上私訊該交易所的管理員,要求他們讓他與受害者取得聯繫,受害者最後聘請他追蹤被盜的資金。
ADVERTISEMENT
當他的航班降落時,ZachXBT 已經發現被盜資金分成了三條主要的資金流,指向了他認為的三名嫌疑人。他還向自己在 X 平台上超過 65 萬的粉絲發布了一條消息,指出區塊鏈上正在進行的盜竊活動。不久後,他收到了一名線人的消息,聲稱掌握有關竊賊身份的線索。
在接下來的一周裡,ZachXBT 日以繼夜地處理這個案件,每天只睡四到五個小時,並定期將他的調查結果分享給執法機構,最終確定了盜竊案背後的嫌疑人——兩名二十歲出頭的年輕駭客,Malone Lam 和 Jeandiel Serrano。(ZachXBT 還指認了另一名涉嫌駭客,但《WIRED》雜誌選擇不公開其姓名,因為此人尚未被逮捕或起訴。)他甚至獲得了一段影片紀錄,據稱顯示了其中一人在完成盜竊並慶祝這筆巨額收穫時的螢幕畫面。在他旋風般的調查中,ZachXBT 甚至在 Instagram 和 TikTok 上追蹤了這些嫌疑人,看著其中一人將數百萬美元揮霍在汽車、私人飛機和夜總會上,據稱他在夜總會一晚就花了 50 萬美元。
ADVERTISEMENT
在 ZachXBT 的手機收到警報後不到一個月,三名嫌疑人中的兩名就被逮捕並受到刑事指控。
當 ZachXBT 終於看到其中一名駭客的嫌犯照片時,他說他感到一陣短暫的腎上腺素激增。但這種感覺很快就消失了。「我並沒有感到特別的成就感,」ZachXBT 說。「我只是把它當作任何其他案件一樣處理。」
ADVERTISEMENT
為人民服務的加密貨幣私家偵探
如果追蹤一起價值 2.5 億美元的盜竊案對 ZachXBT 來說就像在網上度過的平常一天,那麼這或許是因為在過去三年裡,他已成為全球最活躍的獨立加密貨幣偵探。自 2021 年作為業餘調查員開始工作以來,他已追蹤到數十億美元的被盜資金和詐騙案件。根據他提供給《WIRED》雜誌的一份表格統計,他的數百起調查直接促成了大約 2.1 億美元的犯罪加密貨幣資金被追回,另有約 2.25 億美元的資金在他間接幫助下為受害者追回。他揭露了參與「拉高出貨」騙局的網紅,追捕了大型加密貨幣搶劫案背後的網路犯罪分子,並揭露了數十起北韓駭客入侵加密貨幣公司甚至滲透到這些公司擔任員工的事件。
在所有這些過程中,他的資金幾乎完全來自加密貨幣捐款,包括加密貨幣組織的贈款和陌生人向他在社群媒體個人資料中列出的地址發送的捐款,自 2021 年以來總計約 130 萬美元。「他是新一代的調查員。他為人民工作,」特勤局分析師 Joe McGill 說,他曾與 ZachXBT 合作過。「他的成功完全取決於他調查的成功。」
隨著 ZachXBT 將加密貨幣義俠作為自己的職業,他也始終戴著面具。在網路上,他只以自己的頭像出現,這是一個穿著偵探風衣或有時穿著連帽衫的鴨嘴獸卡通人物。為了避免遭到加密貨幣犯罪分子和騙子等眾多敵人的報復,他從未公開露面,也從未透露過自己的真實姓名或確切年齡,並且只在記者承諾不試圖挖掘他的身份訊息的條件下才接受《WIRED》雜誌的採訪。
McGill 說,在他們早期的一些視訊會議中,ZachXBT 不僅會關閉攝影鏡頭,甚至還會使用變聲應用程式,有時聽起來像一個音調很高的「南方公園角色」,有時則會把聲音調得很低沉,讓他想起恐怖電影。「一開始確實很奇怪,」當時在加密貨幣追蹤公司TRM Labs工作的McGill說,「但我尊重他的隱私,因為這個匿名人士正在做著非常出色的工作。」
加密貨幣調查員、Five I's 公司創始人 Nick Bax 說,ZachXBT 幾乎每週都會揭露大量的加密貨幣犯罪騙局和盜竊案,而且往往比執法機構的速度快得多,以至於Bax半開玩笑地懷疑他可能是某種機器人。
「他就是一台機器,」Bax 說。
去年,在他們合作調查一起針對AnubisDAO加密貨幣項目的6000萬美元盜竊案時,Bax在一個週六晚上給了ZachXBT一份500筆交易的清單,每筆交易都需要手動分析以及查看所有相關的區塊鏈地址。「我以為這至少要讓他忙上幾天,」Bax說。但到了第二天下午早些時候,ZachXBT已經檢查了每一筆交易,並確認了哪些與盜竊案有關。「我震驚了,」Bax說,「他一定連續坐在電腦前工作了12個小時。」
ZachXBT 許多調查結果都被毫不客氣地發布到他在 X 平台上的帳號上。然而,隨著時間的推移,他的發現越來越受到執法機構的關注——現在他經常在公開發布前就與多個執法機構分享調查結果。其結果是,那些成為他偵探工作目標的人面臨著真實且日益嚴重的後果。「隨著 Zach 的影響力越來越大,已經出現了財務和法律上的後果,」加密貨幣公司 MetaMask 的安全研究員 Taylor Monahan 說,她也是 ZachXBT 最密切的調查合作夥伴之一,包括 這起2.43 億美元盜竊案。「如果 Zach 現在發表一則關於某人的推文,而且內容屬實,那個人就會被逮捕。」
從受害者到揭發者
那麼,ZachXBT 究竟是如何做到在沒有接受過任何正式培訓或組織支持的情況下,超越甚至執法部門的加密貨幣調查員的呢?就連他自己也不是很確定。「這是一個很難回答的問題。我不知道自己為什麼這麼厲害,」ZachXBT 在接受《WIRED》雜誌的電話採訪時說。他將此歸功於他願意全天候工作——畢竟加密貨幣市場從不休市——以及多年來仔細研究這些龐大的交易分類帳,進而熟悉了加密貨幣區塊鏈的分析。「你看得越多,就像吃飯、睡覺、呼吸一樣,隨著時間的推移,它就會變得越來越有意義,」他說。「你就能夠開始注意到這些聯繫。我可以查看一個錢包,並在幾秒鐘內分析它,告訴你它是否屬於一個壞人。」
ZachXBT 說,他對區塊鏈的熟悉來自於他多年來作為加密貨幣愛好者和交易者的經驗——以及他自己也曾是加密貨幣經濟中,許多針對粗心投資者陷阱的受害者。他說,大約在 2017 年,他天真地購買了價值數千美元的加密貨幣,這些代幣最終都變得一文不值——通常是由於所謂的「拉地毯」騙局,即加密貨幣代幣的創造者拋售他們的持股,而所有其他投資者都只剩下毫無價值的資產。「我當時買進的時候想,『這將改變世界。』我只是持有它,從未賣出,」ZachXBT 說。結果,他說,「我就是那個被騙的人。」
到 2018 年,他不僅所有這些投資都化為烏有,而且 ZachXBT 使用的 Electrum 加密貨幣錢包還遭到惡意軟體更新的駭客攻擊。他又損失了近 1.5 萬美元。
直到那時,他才決定退一步,重新思考自己的策略。他不再只是簡單地買進並持有代幣,而是開始分析加密貨幣的區塊鏈——幾乎所有區塊鏈都公開可見,任何人都可以解讀不同地址的所有者——以了解更大、更成功的投資者是如何交易代幣和硬幣的,然後嘗試模仿他們的操作。
由於進行了區塊鏈分析,到 2020 年,他已經非常熟悉加密貨幣交易的追蹤,能夠發現一般投資者看不到的正在進行的騙局。他會看到一個網紅公開向他們的數十萬粉絲推廣某種加密貨幣資產,推高其價格,然後在區塊鏈上追蹤他們的資金,發現他們實際上是在隨後立即拋售自己的持股,這通常看起來像是典型的「拉高出貨」騙局。「這更像是做一個吹哨者,」ZachXBT 說。「我會注意到這種活動,然後想,『這讓我想起 2017 年和 2018 年我上當受騙的經歷。何不發文揭露呢?』然後這件事就開始引起轟動。」
當 NFT 熱潮在同年晚些時候興起時,ZachXBT 開始類似地審視 Bored Bunny 和 Billionaire Dogs Club 等 NFT 項目,揭示這些資金的真正去向。一些 NFT 賣家僅憑幾張卡通 jpg 圖片就籌集到數百萬資金,承諾這些 NFT 會帶來專屬活動或俱樂部等特權。然而,透過區塊鏈分析,ZachXBT 可以看到賣家只是在瓜分和私吞這些資金。有時,他甚至透過加密貨幣追蹤發現,某個 NFT 賣家實際上是一個先前已被證實是騙局的項目的重新包裝。
在某些情況下,ZachXBT 關於 NFT 賣家發文確實成功嚇退了買家,阻止了可疑的 NFT 交易商售出他們的商品。但隨著時間推移,他對揭露這些經常很明顯的騙局感到厭倦,也對缺乏更具體的結果感到沮喪:他揭露的 NFT 項目相關人員沒有一個面臨刑事指控。
然後,在 2022 年初,他開始注意到一群駭客在劫持知名加密貨幣使用者的推特帳號,發表透往以太坊智慧型合約的釣魚連結,這些合約被設計用來掏空使用者的錢包,導致數千萬美元的損失。每當有受害者發文哀嘆儲蓄被盜,ZachXBT 就會與他們聯繫,然後仔細追蹤他們損失的資金。他將這些區塊鏈線索與他在年輕加密貨幣盜賊常出沒的 Discord 和 Telegram 頻道中發展的消息來源相結合,這讓他找到了幾個似乎是這場釣魚活動背後主謀的青少年的網路代號,這些人正在炫耀他們的巨額收穫。
到這時,ZachXBT 在加密貨幣地下世界已經臭名昭著,以至於他認為是嫌疑人之一的人甚至在炫耀購買鑲鑽 Audemars Piguet 手錶的推特發文中包含了一個明顯是在嘲諷「mr xbt」的內容。ZachXBT 在一個奢侈手錶 Discord 頻道中找到了這個手錶的賣家,說服這位以近 5 萬美元售出該手錶的賣家提供了這名青少年的送貨地址和真實姓名。
公開記錄似乎並未顯示這些涉嫌盜竊者是否被逮捕——可能是因為嫌疑人是未成年人,相關指控要嘛被封存,要嘛根本就沒有提出。但 ZachXBT 發現了一份沒收通知,顯示在 2022 年 10 月,也就是 ZachXBT 在 X 平台發布調查結果的一個月後,FBI 從他確認的青少年嫌疑人那裡沒收了價值超過 20 萬美元的加密資產——以及那塊鑲鑽手錶。
同年,ZachXBT 使用類似的技術追蹤了另一起透過不同釣魚活動竊取的價值 250 萬美元的 NFT,最終鎖定了兩名疑似法國駭客。在那個案件中,法國檢察官幾個月後逮捕了五名嫌疑人,據法新社報導,檢方特別表明 ZachXBT 在 X 平台上發表的推文幫助了他們對兩名疑似主謀的調查。「看到執法部門對我分享的訊息採取行動,這讓我感到非常滿足,」ZachXBT 說。「這讓我覺得我做的事情可能真的有意義。」
在 ZachXBT 首次引起執法部門關注後的兩年裡,他調查的規模——以及在某些情況下,產生的後果——都出現了爆炸式增長。2023 年 2 月,他追蹤了從加密貨幣項目 Platypus 被盜的近 900 萬美元資金,並在短短幾小時內就確認了其中一名嫌疑人;法國警方在一週多後逮捕了兩名嫌疑人。儘管對這兩人的指控最終被撤銷,但警方追回了數百萬美元的資金,Platypus 也在推特上向 ZachXBT 表示感謝。同年稍晚,他追蹤了從加密貨幣公司 Uranium Finance 被盜的 2500 萬美元資金,其中大部分似乎是透過購買稀有的《魔法風雲會》卡牌洗錢的。據參與此案並接受《WIRED》雜誌採訪的其他調查人員透露,當名為 Scattered Spider 的網路犯罪集團對拉斯維加斯的凱撒娛樂集團發動勒索軟體攻擊,並向該公司勒索 1500 萬美元時,ZachXBT 協助追蹤並追回了 1200 萬美元的資金。
大約在同一時間,ZachXBT 發表了一系列大規模調查的結果,這些調查涉及北韓駭客實施的 25 起加密貨幣盜竊案,涉案總金額超過 2 億美元,其中約 700 萬美元在他協助下被凍結了。這些駭客攻擊中事件大約有一半之前從未被公開披露。他接著又進行了另一項調查,揭露了一個由約 30 名北韓 IT 人員組成的網路,他們滲透到科技公司,並以加密貨幣的形式獲得報酬。在其中一個案例中,一名似乎與北韓有關聯的科技工作者受僱於 NFT 公司 Munchables,並成功從該公司竊取了價值 6200 萬美元的加密貨幣資產。當 ZachXBT 協助辨識和標記這些資金時,竊賊成為眾矢之的,導致這些錢難以變現,他們只好乖乖歸還。
「你知道那是多少錢嗎?」
即便如此,當 ZachXBT 在 8 月 19 日於機場收到簡訊提醒,讓他開始追蹤從單一受害者那裡盜走的 2.43 億美元資金時,這仍然是他追查過的最大盜竊案之一。
當他結束國際航班回到家後,他繼續追蹤這些分支資金,同時監控社群媒體,尋找他的三名嫌疑人的蹤跡,其中兩人分別使用 Greavys 和 Box 的代號。特別是 Greavys——他的真名是 Malone Lam,似乎住在邁阿密——他一直在發布和出現在豪宅、鑽石手錶、噴氣式飛機和跑車的照片中,包括 Lamborghini Revuelto 和 Pagani Huayra,後者通常售價超過 300 萬美元。ZachXBT 發現了一些網紅的貼文,Greavys 送給他們每人價值 3 萬到 5 萬美元的柏金包和愛馬仕包包,還有一些夜總會裡服務生拿著的電子標牌照片,上面寫著「誰想要柏金包」,並標記了他的名字。
「他們似乎除了開派對和偷錢什麼也不做,」ZachXBT 說。
幾天之內,他說服了在飛機上第一次私訊他的消息來源向他發送了一段影片,影片中是三名似乎參與盜竊案的駭客之間的螢幕共享畫面。他們不知道的是,其中一名駭客在螢幕共享期間與另一群朋友重新分享了他的螢幕——而其中一人似乎錄製了下來。ZachXBT 說,在這段 90 分鐘的影片中,三名駭客多次直呼彼此的名字。在另一時刻,其中一人還短暫地閃現了他的 Windows 主螢幕,也暴露了他的姓氏。
這段影片甚至捕捉到了這些駭客在成功完成這起金額高達九位數的盜竊案後欣喜若狂的反應。「我的天啊!我的天啊!2.43 億美元!太棒了!」其中一人在錄音中說道。「我要瘋了!哦!我們成功了。我們成功了。我要瘋了。你知道那是多少錢嗎?」
9 月 18 日下午晚些時候,在 ZachXBT 開始調查將近一個月後,Lam 在邁阿密一處每月租金 6.8 萬美元的海濱出租屋被捕。Box——他的真名是 Jeandiel Serrano——在洛杉磯機場被拘留,當時他正與女友結束馬爾地夫的度假之旅飛回家。據檢察官稱,他在被捕時戴著一塊價值 50 萬美元的手錶,在洛杉磯附近租了一棟每月租金超過 4 萬美元的房子,並在豪華汽車上花費了 100 萬美元。第二天,對 Lam 和 Serrano 的電信欺詐和洗錢指控被公開。根據法庭文件,兩名駭客都向執法人員承認,他們參與了多起加密貨幣盜竊案。Lam 特別承認,他用這些盜竊所得購買了至少 31 輛高檔汽車。
到目前為止,他們涉嫌盜竊的 2.43 億美元中,已有 7900 萬美元被扣押或凍結。ZachXBT 希望還能找到更多的錢。檢察官表示,即使在這些駭客揮霍之後,仍有超過 1 億美元下落不明。
根據公開記錄,ZachXBT 的第三名嫌疑人似乎住在康乃狄克州,他尚未受到任何犯罪指控。然而,記者 Brian Krebs 指出,一份刑事訴狀描述了一群男子在 8 月下旬 2.43 億美元盜竊案發生四天後,涉嫌在康乃狄克州劫持了一對 50 多歲夫婦的藍寶堅尼,並短暫的綁架了他們,因為劫匪「認為受害者的兒子可以獲得大量數位貨幣」——這表明受害者可能是 ZachXBT 追蹤到的第三名被盜資金接收者的父母。
對 ZachXBT 來說,這次調查可能是一個轉折點。他第一次被案件中的受害者聘用,並憑藉自己的技能獲得報酬,而不是像以前那樣依靠捐款作為義工來工作。他說,他可能會轉型做更多這種有償工作,甚至可能成立自己的調查公司。
但他堅稱,他仍然不是為了從他的揭露中致富。「我看到資金被扣押,錢被歸還給受害者,人們被逮捕,這就是我的目標。這就是我開始做這件事的目的,」ZachXBT 說。「看到它正在造福人們,這就是我獲得滿足感的原因。」
他的合作者、加密貨幣錢包公司 MetaMask 的 Taylor Monahan 已經與他合作進行了數十起調查,她認為 ZachXBT 仍然很大程度上是由正義感驅使的——這種正義感源於他曾經是加密貨幣世界殘酷性的受害者,並希望防止其他人遭受同樣的命運。
「他與這個領域的許多人都有過同樣的經歷,那就是發生了不好的事情,你周圍的每個人都會說,『你真倒楣』,」Monahan 說。「他本能地拒絕這種經歷。他想要改變它。」
- 延伸閱讀:巴西「比特幣大王」被捕,侵吞客戶價值3億美元比特幣、7000人血本無歸
- 延伸閱讀:比特幣ATM詐騙猖獗,2024年上半年損失已達6500萬美元
- 延伸閱讀:世界上並非每個國家都允許加密貨幣合法流通,19個國家明確禁止加密貨幣
- 資料來源:wired
ADVERTISEMENT