當前位置:
首頁 > 科技 > BTC「驚天大劫案」真相揭迷,「數字偵探」Nilsson歷時三年追查全復盤

BTC「驚天大劫案」真相揭迷,「數字偵探」Nilsson歷時三年追查全復盤

鏈得得App註:2018年8月25日,日本交易所Mt.Gox開啟債權人申請系統,債權人有望得到BTC賠償。這讓曾經的比特幣被盜第一案又重新拉回了人們的視線。

MT.Gox的中譯名又叫門頭溝,總部位於日本東京,早在2010年就開始參與比特幣交易,是最早參與這項業務的平台之一,比特幣交易量曾佔據全球的80%。2014年2月,MT.Gox宣布停止交易並隨後申請破產,導致其倒閉的直接原因:由於受到黑客攻擊,總計744000個比特幣失竊,而且這一損失多年都未被發現,並且除了交易所75萬個比特幣之外,門頭溝表示平台自身的10萬個比特幣也被盜,被盜金額總計85萬枚比特幣。

一時間針對MT.Gox事件眾說紛紜,官方表示主要原因由於黑客入侵,但是有分析人士認為是交易所本身監守自盜。但最終受害者依舊是MT.Gox事件中損失了比特幣的用戶。

MT.Gox事件的受害人之一Kim Nilsson,從2014年比特幣被盜案件開始,進行了歷時三年的調查研究,長期關注MT.Gox事件,並成立了 WizSec 公司專門分析了失竊比特幣的流向,他認為"門頭溝"失竊比特幣幾經周轉,大部分都去了 BTC-e 交易所。本文綜合自華爾街日報,從MT.Gox事件開始,還原了Kim Nilsson長達三年調查比特幣被盜案的始末。


MT.Gox交易所一場詭異的比特幣盜竊案

在找尋Mt. Gox失竊案的真相期間,Kim Nilsson只能進行最基本的操作

故事的開始,源於一場詭異的比特幣盜竊案。

在2014年,居住在日本的一名普通軟體工程師Kim Nilsson坐在電腦前怒火中燒。

他發現自己名下的比特幣無法從MT.Gox交易所中取出。這顯然是蓄意犯罪,但在當時警方也無能為力,因為在當時的情況下警方甚至無法理解發生了什麼情況,更何況去解決問題了。

Nilsson丟失的比特幣本該存在一家宣布破產的比特幣交易所Mt.Gox。該交易所價值超過4億美元的比特幣不翼而飛,數以百計的投資者即便沒有心碎欲絕,也倍感失落。

和許多受害者不同,Nilsson決心反擊,他同一位律師以及另一個損失比特幣的受害者合作,追查比特幣的失蹤詳情。去年夏天,他們歷時三年的一宗網路追蹤在希臘的一處沙灘畫上了句號。在一座千年歷史的古老修道院,美國聯邦調查局(FBI)探員逮捕了一名俄羅斯男子,指控他利用比特幣洗錢,以新近交易所交易價估算,洗錢規模約為40億美元。這是加密數字貨幣短暫歷史上涉案金額最高的一宗刑事案件。

從比特幣堅定的擁護者搖身一變成網路偵探,Nilsson與比特幣親密接觸的經歷正是一部濃縮的加密數字貨幣發展史。這些年隨著市值和應用的爆發,整個行業正在混亂中走向成熟。Nilsson揭露的那宗網路盜竊和洗錢案涉資數十億美元,它就發生在比特幣世界。MT.Gox事件向我們展示了,對投資者而言,這個無警方和政府管制的數字蠻荒之地有多麼危險。

Nilsson稱自己的工作是「區塊鏈考古「,這已經成為一門行當。現在湧現了一批針對數字貨幣的私人調查公司,它們追蹤資金流,為大銀行、交易所和執法機關等機構探查其中可能存在什麼網路犯罪活動。這些公司有自己的數字貨幣調查員,服務客戶包括FBI、美國中情局(CIA)和國稅局(IRS)。

比特幣問世約九年來,以巔峰期價格估算,失竊的比特幣合計市值超過150億美元,其中不少都來自導致Mt.Gox崩盤的那次事件。這一統計數字還不包括未曾公開的失竊比特幣,以及轉售被盜信用卡或者支付環節遭到黑客攻擊等其他不法活動中涉及的比特幣。

因為有望成為去中心化的匿名支付系統,讓銀行成為過時的歷史遺物,比特幣已經令金融界為之興奮。但它正面臨眾多威脅,偷竊只是冰山一角。

只要用戶在中心化的大交易所交易,匿名就無從談起,因為這類交易所都收集詳細的用戶數據,向政府的調查員提供這些數據。在投機者的推動下,比特幣價格遭遇巨大的波動,這讓比特幣無法成為真正的貨幣,淪為有危險的投資。

犯罪隨之而生。由於幾乎毫無政府監管,也沒有任何方式能撤銷比特幣的教育,竊賊們創造了新的手段,不但能深入交易所的腹地,還能利用比特幣,促成形形色色的騙局。網路安全研究者指出,盜賊竊取了信用卡之後將卡轉售,換來比特幣,而包括部分朝鮮人在內,一些黑客則是盜取用戶的數據,勒索比特幣贖金。監管機構現在希望,將適用於傳統投資的監管法規用來管治比特幣。

對Nilsson這類比特幣的真正信徒來說,這意味著比特幣的衰落。


Kim Nilsson的反擊之路

現年36歲的Nilsson擁有瑞典國籍,目前在日本東京一棟逼仄的高層建築里生活和工作。和其他日本數字貨幣愛好者一樣,當他們蜂擁投入比特幣懷抱的時候,人們都沉浸在後金融危機時代的樂觀情緒里。比特幣由化名為中本聰的一位或多位神秘程序員創造,只存在於互聯網,是一個數字賬本上的一連串代碼,這個賬本被稱為區塊鏈。它是主流金融系統之外的化外之地。

區塊鏈這個賬本由遍布全球數以千計的電腦的維護。在它基礎上進行的交易都公開可見,但交易者卻並非如此透明公開。這種安排保證了用戶不可用同一個比特幣重複購買支付商品或者服務。比特幣可以在連串字母和數字組成的「地址」之間移動,而這些地址背後的錢包持有者卻始終隱匿無蹤。

理論上說,這種過程是去中心化的,每個錢包的持有者都有責任密切注意密碼的動向。銀行或者信用卡發行公司等可信的中介無需保證交易所正當合法,區塊鏈已經為他們代勞。

在現實世界,促成很多比特幣交易的是交易所,而不是區塊鏈的直接使用者。而交易所雖然履行的職能類似傳統的金融機構,卻大多不受政府監管,他們將買家和賣家聯繫在一起,並用線上賬戶持有交易雙方的數字貨幣。這些賬戶和交易所收集的信息容易遭到黑客攻擊。

總部設在東京的Mt.Gox是首批遭此劫難的交易所,也是當時交易量最大的交易所。它提供買賣比特幣的平台,同時為用戶保管存放比特幣並受密碼保護的數字錢包。2012年,Nilsson向一個朋友購買了人生中第一枚比特幣。一年後,他在Mt. Gox買入比特幣,累計了少許規模。

Nilsson下巴上蓄著小鬍子,習慣一身黑衣,裝扮儼然上世紀90年代的黑客,或是喜歡看搖滾樂隊Rush演唱會的樂迷。他已經斷斷續續在東京住了大概十年。

Mt. Gox並不知道買家的身份,懵懵懂懂地陷入了困境。2011年,一些黑客獲得了私鑰,開始盜取線上錢包內的比特幣,四年間共盜走約63萬之多。

Mt. Gox的老闆Mark Karpelès是一個住在東京的法國移民,他曾試圖掩蓋比特幣失竊,到2014年初,再也瞞不住了。Mt. Gox被迫中止取幣,遞交了破產申請。

這是比特幣短暫歷史上最大規模的失竊案,交易所幾百名用戶成為受害者。一名美國加州的男士損失約4萬美元,芝加哥的一名投資者損失超過5萬美元。一位在紐約布魯克林求學而後安居台灣的律師Kelman遺失44.5個比特幣,以當前市價約合40萬美元。他後來到訪東京,希望抓住盜竊比特幣的人。

在東京一棟摩天大廈的酒吧里,比特幣圈內人士組織了一場聚會,律師Kelman在那期間結識了夏威夷人Jason Maurice。Maurice是Nilsson的同事,頂著一頭鬆鬆垮垮的頭髮,Nilsson給他起了個綽號,叫魔術師。這些編程的人才被召集起來,希望可以解決Mt. Gox事件。

在Maurice常去的一家漢堡連鎖店Teddy』s Bigger Burger吃晚飯時,幾個人認真討論了一番,拿出一個計劃,試圖找到失竊的比特幣,並將此發展成一門生意。

「你知道那些關於刺殺美國前總統肯尼迪的紀錄片嗎?你見過他們(追兇者)二十年後的樣子嗎?我們二十年內就會是那樣。」Kelman記得自己當時這樣告訴合作夥伴。

Nilsson、Kelman和Maurice給公司命名為WizSec。這個名字有一半來自以莫里斯的綽號,還有部分取自要做「比特幣安全顧問」這個口號。不過,這家公司從來沒有真正經營過。

Nilsson說:「很快事情就演變成,在技術方面,只有我一個光桿司令。」他既沒有資金投入新的技術,也沒有辦公室,就利用了自己在東京中央區外圍一棟高層建築里的住所,在那個約60平米的公寓里展開調查。

Nilsson只是用了自己在網上訂購的零部件組裝的家用電腦,而且這台電腦的最初目的也不過是想用來玩兒視頻遊戲,根本沒有足夠的算力來有效搜索比特幣的區塊鏈,搜索耗費的時間基本上要花整個晚上。

相反,Nilsson開發了一個程序來索引區塊鏈,這使得他能夠快速搜索每個交易的輸入,輸出和地址。儘管模式已經出現,但它們很難破譯,因為區塊鏈並不能識別每筆交易背後的人,也沒有可以將區塊鏈地址和真人聯繫起來的線上「黃頁」。

不過,幸運的事情再次發生,也促使Nilsson繼續前進。

Mt.Gox交易所部分資料庫泄露,其中一些被泄露到互聯網上,另一部分則被泄露給了記者。Nilsson獲得了泄露的數據,其中包括交易,提款,存款和用戶餘額的隱私記錄。

2014年5月,另一位程序員發布了泄露信息分析,結果發現交易賬戶在以一種看似「自動化機器人」的方式在購買比特幣,並以此支撐Mt.Gox交易所設定的比特幣價格。

通過重新回顧泄露的數據報告,Nilsson意識到他可以利用這個資料庫計算出有Mt.Gox丟失了多少比特幣,因為他可以定位每一個與該交易所有關聯的比特幣錢包,然後再追蹤他們的交易。

調查影響了Nilsson的生活,那時候白天他仍在做自己的全職工作,晚上則在三個電腦屏幕面前喝著零度可樂開展調查工作,一個電腦處理代碼,一個電腦使用電子表格記錄關鍵信息,還有一個用於編寫調查筆記。

經過了好幾個月時間的努力,Nilsson獲得了近兩百萬個與Mt.Gox交易所相關的地址。但是,他不知道誰使用了這些地址,或者出於什麼目的。因此,他需要內幕人士的幫助。

那時候,日本執法部門也在調查Mt.Gox,其主管Karpelès先生非常低調,當時Kelman已經通過消息傳遞程序Internet Relay Chat(IRC)知道Karpelès與一個比特幣渠道進行了接觸。凱爾曼說道:

「有一天我登上IRC,然後開始指責Mark貪污了錢。」

為了儘快撇清關係,Karpelès同意在一家漢堡餐廳與Nilsson和Kelman見面。Nilsson把整理的賬戶信息帶了過去,Karpelès確認了這些信息,而且還幫助他們了解完整的Mt.Gox地址。Nilsson和Kelman透露,Karpelès還告訴了他們一些事情,但是可能需要在較晚時候才能公布:Mt.Gox上的可疑交易其實是由Karpelès編寫的一個程序執行的,而在這起盜竊案中,他隱瞞了這件事。

Karpelès拒絕就此事發表評論,也拒絕承認從Mt.Gox挪用貪污資金。

Nilsson分析了剩下的大約好幾千個數字錢包,並且確認Mt.Gox應該擁有大約90萬個比特幣,而不是披露出的20萬個比特幣。不僅如此,他早在2011年就已經發現存在比特幣被竊的事情,但不確定Mt.Gox是否知情。2015年,Nilsson在一篇博文中寫道:「從技術上來看,Mt.Gox其實在2012年就已經破產了。」

在把這些比特幣留給其他加密貨幣交易所(有的是以現金形式出售掉了)之後,Nilsson仍然沒有弄清楚是誰偷了這些比特幣,或是誰賣掉了這些比特幣,但他仍在追蹤此事。

2015年4月,Nilsson在WizSec博客上發表了調查結果,並且希望獲得更多額外信息。他概述了自己所知道的一些事情,並且聲稱除了Karpelès之外,肯定還有人偷走了Mt.Gox的比特幣。在那篇文章的結尾,Nilsson提出了一個問題:「這究竟是誰做的呢?」

不久之後,他得到了一個意想不到的消息。美國國稅局調查員Gary Alford指控暗網「絲綢之路」的所有者涉嫌從事比特幣非法交易。暗網「絲綢之路」是一個可以用比特幣購買毒品和武器的在線平台,而該案件也是有史以來與比特幣有關的最大一筆起訴。Gary Alford調查了所有與「絲綢之路」有關的比特幣交易,而Nilsson也在尋找Mt.Gox丟失的比特幣。

當然,Nilsson和Gary Alford兩個似乎並不是「一條路」上的人,因為Nilsson進入比特幣行業,部分原因就是想擺脫監管機構的桎梏,他說道:「顯然,在我們的圈子裡,與美國國稅局打交道是一個恥辱,稅務人員不是我們看得上的那種機構。」

但是,Kelman和Nilsson認為,美國政府可以提供更廣泛的服務範圍,還有豐富的資金和技術。Kelman補充說道:「這就像是一條單行道,我們給了他們一切,而Gary Alford只提供了正確軌道上的一些保證。」

Kim Nilsson、 Jason Maurice和律師Daniel Kelman共同創立了一家網路調查公司,他們正在Mt.Gox所有者Mark Karpelès東京家裡的廚房準備蘋果派。攝影師: MARK KARPELES


「WME」和「BTC-E」

Nilsson披露了一些從Mt.Gox流出的比特幣去向,包括這些比特幣流向了其他加密貨幣交易所,比如BTC-E。之後,他發現了一些其他令人意想不到的東西,Mt.Gox丟失的比特幣錢包中流出的比特幣,又從加密貨幣交易所轉到了一些知名的比特幣交易所,還有一些看似不相關的交易所手中。

Nilsson使用了一個Mt.Gox泄露出的數據交叉引用了其中一些交易,他發現一些從Mt.Gox丟失的比特幣已經被存入到了其他Mt.Gox的賬戶里,其中一個甚至已經收到了現金存款,並且還附帶了一條信息——上面只有簡單的三個字母「WME」。Nilsson知道,持有「WME」賬戶的那個人肯定與被盜的Mt.Gox比特幣有關,他需要弄清楚這個人究竟是誰。

這個時候,Nilsson開始轉移戰場,從此前的區塊鏈分析轉向到傳統的互聯網調查。

在經過了一系列深挖之後,Nilsson發現WME與一家在莫斯科經營數字貨幣交易的公司有關。2011年,WME曾出現在Bitcointalk.org的董事會上,當時還曾在Bitcointak.org的公告板上表示:「您好,我從事貨幣兌換已經有10多年時間了。現在我開始使用比特幣,我可以兌換任何東西。如果有大筆資金兌換,我會優先考慮。」

Nilsson又做了進一步分析,發現WME錢包與加密貨幣交易所BTC-E存在關聯。

這些來自Mt. Gox的一些比特幣最終進入BTC-E賬戶,並且似乎從來未被轉出去,目前仍然留在與BTC-E管理員相關聯的錢包中。 BTC-E是否涉嫌參與到Mt. Gox盜竊案中?

下一步是確定「WME」的賬戶信息。

這似乎很難,因為每筆交易使用的是不同的錢包,並且每次都小心翼翼地從不留下與真實身份聯繫起來的信息,這些犯罪分子很難捕捉到。

但是「WME」賬戶還是粗心了,通過Nilsson所說的bug,發現了一些線索。

首先是將「WME」與特定帳戶相關聯的帖子。Nilsson發現了一個2012年的留言板帖子,其中一個憤怒的「WME」賬戶聲稱「另一個交易平台正在用我的錢詐騙和逃跑」。

「這是一份針對CryptoXchange的詐騙報告,CryptoXchange從我那裡偷走了10萬美元以上,並且拒絕退貨。」這個帖子表示。

為了支持他的案子,WME在他自己和CryptoXchange之間發布了消息,並通過律師遞給公司了一封信。在一則消息的底部,CryptoXchange告訴WME他的數字貨幣放在了哪裡:一個「VINNIK ALEXANDER」名下擁有的賬戶。

Nilsson對此感到震驚。 「我甚至不相信這是一個真名,我認為這是別名或其他什麼。」為什麼幣圈的人會在網上發布他的真實姓名和銀行信息?

Nilsson將這個名字傳給了美國國稅局IRS的代理人Gary Alford。

截止到此時,已經是2016年的夏天。Nilsson已經在這個案子上工作了兩年。

嫌疑人Alexander Vinnik被逮捕

俄羅斯人Alexander Vinnik被指控利用比特幣進行洗錢活動,並在希臘海灘被捕

Nilsson當時不知道的是,BTC-E的目標是遠離政府調查監管。代理人和檢察官正在利用美國司法部的傳票權,通過技術方式達目前取得和他相同的調查結論。

網路安全研究人員表示,BTC-E是全球罪犯的首選的交易所。它通過歐洲的銀行業務關係讓客戶購買比特幣或將其轉換成歐元和盧布。一個私營部門區塊鏈調查員估計,在2016年BTC-E在所有犯罪加密貨幣案件中佔到了60%至70%。

Vinnik調查的主要代理人,國稅局調查員Tigran Gambaryan說「沒有人知道BTC-E是誰,也沒人知道他的主人是誰。我們分析它可能在保加利亞,也可能是塞普勒斯。」

這位Gambaryan先生表示,代理商所知道的是BTC-E是當時最大的比特幣交易所之一,而且它「對用戶身份沒有任何的審核」。對此,Alford拒絕發表評論。

根據法庭文件顯示,聯邦調查人員還發現了一個名為「WME」的帳戶,該賬戶竊取了Mt. Gox的比特幣,並指向了BTC-E交易所。

再繼續追蹤區塊鏈交易和傳喚的銀行記錄中,他們確定,在2013年至2015年期間,一個與BTC-E和某位俄羅斯公民有關聯的賬戶,涉及向塞普勒斯和拉脫維亞的銀行進行現金轉移,通過這種洗錢的方式將資金轉移到歐洲大陸。

截至2016年底,檢察官已擁有充足的證據起訴Alexander Vinnik。

由於俄羅斯網路犯罪分子一般不會被驅逐,美國聯邦調查局正在尋求逮捕他的方法,並在2017年1月提交了一份密封的聯邦起訴書,指控Alexander Vinnik和某位不知道姓名的同夥,通過BTC-E洗錢約40億美元。當Alexander Vinnik途徑希臘度假時,美國聯邦調查局和當地警方已做好準備進行逮捕。

7月25日,穿著休閑服裝的卧底警察將Alexander Vinnik包圍在希臘海灘上並將他逮捕。據一位希臘執法官員援引法院文件稱,他們查獲了兩台筆記本電腦,兩台平板電腦,五部手機和一台路由器(可能存有BTC-E的證據)。

Alexander Vinnik未來如何尚不清楚。目前,美國正在試圖引渡他,但俄羅斯表示反對,表示希望他回到莫斯科接受9,500歐元的詐騙案起訴。

Kim Nilsson在他的東京辦事處展示了表明被盜虛擬貨幣流動的圖表。(照片來源:華爾街日報SHIHO FUKADA)

在希臘法庭聽證會上,Vinnik的俄羅斯律師否認了這些指控,表示Vinnik並不是BTC-E員工,並斷言他正在打擊美國在全球金融體系中的主導地位。這位律師呼籲希臘人和俄羅斯人共享正統的基督教傳統,稱他們不能向美國派遣「同一宗教的兄弟」.Vingnik已經在驅逐聽證會上閱讀了聖經。

7月30日,希臘法官團同意將Vinnik引渡到俄羅斯,儘管希臘其他地區法院裁定Vinnik應該引渡至美國或法國。如果Vinnik在希臘的庇護申請失敗,將由司法部長決定將他最終引渡國家。

這次逮捕是全球數字貨幣領域最大的逮捕行動之一。儘管他們已經逮捕Vinnik,但是完全停止BTC-E並不太可能。參與調查的人士表示,目前尚不清楚Vinnik是否是BTC-E的領導者,甚至是該行動中重要的人。事實上,他們和Nilsson表示,BTC-E的主謀可能仍然存在於前蘇聯集團的某個地方,大量持有比特幣並且仍在運作。

在Vinnik先生被捕後的幾天內,BTC-E以新名稱重新上線。其最新的運營商其身份無法確定保留了BTC-E的客戶名單及其技術等元素,但該網站的管理層不同。本月早些時候,這些運營商宣布他們正在關閉交易所。無法聯繫他們發表評論。

知情人士表示,聯邦檢察官認為Vinnik僅是幾個BTC-E目標中的第一個。

Nilsson對此次逮捕感到高興,但仍然感到沮喪。儘管他抓住了Vinnik,但是他的比特幣仍然在Mt. Gox執行破產程序。Nilsson曾經期望可以通過 比特幣讓他避開政府、金融機構和騙子,卻將手中的比特幣全都捲入了這起盜竊案。

在最後,Nilsson說到「Mt. Gox事件是一個悲傷而又骯髒的故事」。

(本文綜合自華爾街日報,作者Justin Scheck、Bradley Hope,來自雅典Nektaria Stamouli亦對本文做出了貢獻。編輯:柴利君,譯者:Hispear、Chaindder、柴利君。)

本文原發佈於鏈得得,授權鈦媒體App發布。


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 鈦媒體APP 的精彩文章:

先賣康湃思,2.7億再賣虎撲股權,貴人鳥連拋資產努力自救
A站遭黑客攻擊;特斯拉宣布裁員9%

TAG:鈦媒體APP |