首頁 > 法規 > 幣圈最強偵探,ZachXBT 如何智破 2.43 億美元加密盜竊案?

幣圈最強偵探,ZachXBT 如何智破 2.43 億美元加密盜竊案?

2024/11/12 23

和Ansem 對線、公佈 Murad 地址,曝光 U 商王逸聰、披露 SHAR 的專案方 deck,相信很多讀者最近都頻繁聽到 ZachXBT 這個名字。自 2021 年以來,鏈上偵探 ZachXBT 已幫助詐騙、被盜受害者追回近 5 億美元。

上個月,他破獲了 2.43 億美元的盜竊案,這是有史以來針對個人的最大盜竊案。從區塊鏈的深處追蹤犯罪到揭露奢侈生活背後的鉅額資金流轉,ZachXBT 憑藉自己的智慧與執著,在短短幾年間幫助追回了數億美元的被盜資金。

《連線》雜誌的本篇文章將帶你走進這位加密貨幣「無面偵探」的神祕世界,揭示他如何與加密犯罪鬥智鬥勇,以及那些鮮為人知的幕後故事。

以下為原文內容:

8 月 19 日,一位二十多歲的年輕人,網名 ZachXBT,正準備登機回家。他並不願透露是哪個機場、他的真名以及他住在哪裡。

這時,他的手機彈出了一條警報:一筆比特幣被轉移到一個小型的加密貨幣交易所。這是他長期監控的許多交易所之一,主要目的是尋找與犯罪洗錢相關的資金流動。這條警報引起了他的注意:這筆交易金額約為 60 萬美元,遠遠超過該交易所日常交易規模的 10 倍。

當他到達登機口時,手機又響起一條新的提醒:同一交易所上發生了另一筆超過 100 萬美元的交易。隨後又有一筆 200 萬美元的交易。

當 ZachXBT 排隊準備登機時,他迅速在手機上追蹤這些資金,倒查這些比特幣地址,並標記了可疑資金,試圖在飛機起飛後的半小時網際網路中斷之前查明資金來源。

在飛機升空前,他已經確定這筆資金來自一個自 2012 年起就未動用過的大額比特幣錢包,總金額達數億美元。而現在,這筆價值九位數的鉅款正在被急於套現,並且支付了高額交易費用,這種做法顯然不是一個持幣十多年的投資者會接受的。

在 ZachXBT 看來,這種資金流動很明顯是一起鉅額盜竊案。

經過進一步核實,他發現有人從一位受害者手中盜走了價值約 2.43 億美元的比特幣,可能是有史以來最大的一起針對個人的加密貨幣盜竊案。「這真的是一個非常異常的數額,竟然是從一個人那裡盜走的,」ZachXBT 對《連線》雜誌說道,「我不得不確認自己沒有看錯。」

當飛機升至一萬英尺以上並且 Wi-Fi 恢復工作後,ZachXBT 開始追蹤更多被盜資金的流向。

這些資金通過一個又一個交易所和幣幣兌換服務平臺被轉移。在接下來的幾個小時裡,他加速繪製出這些資金流動的分支圖,發現駭客通過十幾個平臺試圖隱藏資金的蹤跡。

隨著他沿著這條線索追溯到比特幣的失主,ZachXBT 發現部分資金最初來自已經倒閉的 Genesis 加密貨幣交易所。他通過 X 平臺(原 Twitter)私信該交易所的管理員,請他們聯絡受害者,最終該受害者聘請他追查被盜資金。

當他抵達目的地時,ZachXBT 已經發現被盜資金分成了三條主要的資金流,指向了他認為的三名嫌疑人。他還向自己在 X 平臺上超過 65 萬的粉絲髮布了一條訊息,指出區塊鏈上正在進行的盜竊活動。

不久後,他收到了一名線人的訊息,聲稱掌握有關駭客身份的線索。

接下來的一週,ZachXBT 日夜工作,每天只睡四到五個小時,並定期將他的調查結果分享給執法機構。他最終確定了涉嫌盜竊的嫌疑人 —— 兩名二十出頭的年輕駭客,名為 Malone Lam 和 Jeandiel Serrano。ZachXBT 還確認了另一名涉嫌駭客,但《連線》雜誌選擇不公開他的姓名,因為該人尚未被逮捕或指控。

他甚至獲得了一段影片,影片顯示其中一人在完成盜竊後慶祝這筆鉅額財富的得手。在他的快速調查中,ZachXBT 甚至還追蹤到這些嫌疑人的 Instagram 和 TikTok,看到其中一人揮霍數百萬美元,購買豪車、乘坐私人飛機,還在夜總會裡一晚消費高達 50 萬美元。

自從飛機上收到那條警報後,不到一個月的時間,三名嫌疑人中的兩人被逮捕並面臨刑事指控。

當 ZachXBT 終於看到其中一名駭客的拘捕照時,他表示自己感到了一陣短暫的腎上腺素激增,但很快便恢復了平靜。「我並沒有特別的成就感,」ZachXBT 說道,「我只是把它當作另一起普通的案件。」

比特幣盜竊案調查結果|ZachXBT 的置頂推文

為大眾服務的加密貨幣私人偵探

如果追蹤一起價值 2.5 億美元的盜竊案對 ZachXBT 來說就像在網上度過的平常一天,那麼這或許是因為在過去三年裡,他已成為全球最活躍的獨立加密貨幣偵探。

自 2021 年作為業餘調查員開始工作以來,他已追蹤到數十億美元的被盜資金和詐騙案件。根據他提供給《連線》雜誌的一份表格統計,他的數百起調查直接促成了大約 2.1 億美元的犯罪加密貨幣資金被追回,另有約 2.25 億美元的資金在他間接幫助下為受害者追回。

他揭露了通過拉高出貨騙局推銷代幣的網紅,追蹤了大型加密貨幣盜竊案背後的網路犯罪分子,並揭發了數十起朝鮮駭客入侵加密公司甚至以員工身份滲透的事件。

在整個過程中,他幾乎完全依靠加密貨幣捐贈來資助他的工作,包括來自加密貨幣組織的撥款和陌生人通過他社交媒體個人資料中列出的地址傳送的貢獻款項,自 2021 年以來,已累計約 130 萬美元。

「他是新一代的調查員,他為大眾服務,」曾與 ZachXBT 合作的美國特勤局分析師 Joe McGill 表示,「他的成功完全取決於他調查的成功。」

在追求成為一名加密貨幣「正義警察」的過程中,ZachXBT 始終小心翼翼地保持匿名。在網上,他只以他的頭像形象出現 —— 一隻穿著偵探風衣或有時是連帽衫的鴨嘴獸卡通形象。

為了避免受到加密貨幣犯罪分子和騙子的報復,他從未公開過自己的真實面貌、姓名或具體年齡,並且只有在《連線》雜誌同意不追查這些個人身份資訊的前提下,他才願意接受採訪。

ZachXBT 的 Twitter 主頁

特勤局分析師 McGill 回憶,在他們早期的電話會議中,ZachXBT 不僅關閉攝像頭,甚至還使用了變聲軟體,有時聲音像《南方公園》裡尖聲叫喊的角色;而其他時候,他又將聲音調得很低沉,彷彿來自恐怖電影中的角色。

「一開始確實挺怪異的,」當時在加密追蹤公司 TRM Labs 工作的 McGill 說,「但我尊重他的隱私,因為這個匿名的人確實在做著非常出色的工作。」

加密貨幣調查員、Five I’s 公司創辦人 Nick Bax 表示,ZachXBT 幾乎每週都能揭露許多加密貨幣犯罪騙局和盜竊案,通常比執法機構的動作要快得多。Bax 半開玩笑地說,他甚至懷疑 ZachXBT 是不是機器人。

「他簡直像一臺機器,」Bax 說道。

去年的一次調查中,他們合作追蹤了 2021 年 AnubisDAO 加密專案中的 6000 萬美元盜竊案。Bax 週六晚上給了 ZachXBT 一份包含 500 筆交易的清單,每筆交易都需要手動分析,以及關聯的區塊鏈地址。

「我以為這至少能讓他忙上幾天」,然而,第二天下午,ZachXBT 已經完成了所有交易的分析,並確定了哪些與盜竊案有關。「我非常震驚,」Bax 說道,「他肯定是連續 12 小時不間斷地坐在電腦前。」

ZachXBT 的許多調查結果都會毫無儀式感地釋出在他 X 平臺的帳戶上。

然而,隨著時間的推移,他的調查越來越多地引起了執法機構的關注 —— 如今,他經常在公開發布前與這些機構分享自己的調查結果,這些偵探工作的目標正在面臨越來越嚴重的後果。

「隨著 Zach 的影響力不斷擴大,這些案件帶來了財務和法律上的後果,」加密公司 MetaMask 的安全研究員 Taylor Monahan 說道,她是 ZachXBT 最親密的調查合作夥伴之一,曾參與了 2.43 億美元盜竊案的調查。「如果 Zach 現在釋出關於某人的帖子,並且揭露得很到位,那個人很有可能會被逮捕。」

從受害者到揭發者

那麼,ZachXBT 究竟是如何在沒有正式培訓或組織支援的情況下,甚至比執法部門的加密調查員更快、更準確地追蹤資金流向的呢?

對此,他自己也不太確定。「這個問題挺難的,我也不知道為什麼我這麼擅長,」ZachXBT 在電話採訪中告訴《連線》雜誌。他認為這與自己願意不分晝夜地工作有關 —— 畢竟加密貨幣市場從不休市 —— 以及多年深入研究加密貨幣區塊鏈所積累的經驗。

「你看的區塊鏈越多,當你吃飯、睡覺甚至呼吸都在研究它,隨著時間的推移,一切就會開始變得更加清晰,」他說。「你能開始發現那些關聯。我可以看一個錢包,在幾秒鐘內判斷它是不是壞人。」

ZachXBT 表示,他對區塊鏈的熟悉源於他多年作為加密貨幣愛好者和交易者的經歷 —— 以及他自己也曾是加密經濟中眾多陷阱的受害者之一。

大約在 2017 年,他天真地花了數千美元購買各種加密代幣,但這些代幣最終都大幅貶值 —— 通常是因為所謂的 rug pull,即代幣的建立者突然拋售手中的代幣,導致其他投資者手中的資產變得一文不值。「當時我買入時想著,『這將改變世界。』我買入後一直持有,從未賣出,」ZachXBT 說,結果是,「我成了那個被騙的人。」

到 2018 年,不僅他所有的投資都大幅縮水,ZachXBT 使用的 Electrum 加密錢包還因惡意軟體更新被駭客入侵,他又損失了近 1.5 萬美元。

直到那時,他才決定退一步重新思考自己的策略。他不再單純地買入並持有代幣,而是開始分析加密貨幣的區塊鏈 —— 幾乎所有區塊鏈都是公開可見的,任何能夠解讀不同地址所屬者的人都可以檢視 —— 通過這種方式,他觀察到一些更大、更成功的投資者是如何交易代幣和比特幣的,並試圖模仿他們的操作。

通過這些區塊鏈分析,到 2020 年,他對追蹤加密貨幣交易已經相當熟悉,能夠發現普通投資者看不到的正在進行中的騙局。

他看到一些網紅向成千上萬的粉絲公開宣傳某個加密資產,推高其價格,然後通過區塊鏈追蹤他們的資金,發現他們實際上是在宣傳後立刻出售自己持有的代幣,這往往是典型的「拉高出貨」騙局。

「這更像是一個舉報者的角色,」ZachXBT 說。「我注意到這些活動時會想到,『 這讓我想起了 2017 年和 2018 年我上當受騙的經歷,為什麼不發個貼文揭露它呢?』然後這件事就開始引起廣泛關注了。」

NFT 熱潮興起時,ZachXBT 同樣開始仔細審查像 Bored Bunny 和 Billionaire Dogs Club 這樣的 NFT 專案,揭示資金的真實流向。這些 NFT 賣家僅憑幾張卡通圖片就能募集到數百萬美元,聲稱這些 NFT 將帶來如參加獨家活動或俱樂部的特權。

然而,ZachXBT 通過區塊鏈分析發現,這些賣家只是將資金分散並裝進自己的口袋。有時,他甚至通過加密貨幣追蹤發現某些 NFT 賣家實際上是之前一個已被證明是騙局的專案的「重新包裝」。

在某些情況下,ZachXBT 釋出的關於 NFT 賣家的帖子確實嚇退了買家,阻止了一些可疑的 NFT 賣家繼續出售他們的產品。但隨著時間的推移,他對不斷揭露這種透明度較高、重複上演的騙局感到厭倦,同時也對缺乏更實質性結果感到沮喪:他曝光的 NFT 專案中,沒有任何人因此面臨刑事指控。

時間來到 2022 年初,ZachXBT 開始注意到一群駭客正在入侵一些知名加密貨幣使用者的 Twitter 帳戶,並發布釣魚連結,指向用以掏空使用者錢包的以太坊智慧合約,導致數千萬美元的盜竊。

每當有受害者痛苦地發文稱自己的儲蓄被盜時,ZachXBT 會主動聯絡他們,然後仔細追蹤他們失去的資金。他將這些區塊鏈線索與自己在年輕加密貨幣竊賊經常出沒的 Discord 和 Telegram 頻道中發展起來的訊息來源相結合,最終找到了幾個可能與該釣魚活動有關的青少年線上暱稱,他們在網上炫耀自己盜取的大筆財富。

此時,ZachXBT 已經在加密貨幣的地下世界名聲大噪,甚至有一名他認為是嫌疑人的人,在 Twitter 上發文炫耀自己購買了一款鑲鑽的 Audemars Piguet 腕錶時,還嘲諷性地提到了「mr xbt」。

ZachXBT 通過一個奢侈手錶的 Discord 頻道追蹤到了這款手錶的賣家,成功說服這名賣家交出了購買這款價值近 5 萬美元腕錶的青少年的收貨地址和真實姓名。

沒有公開記錄顯示這些所謂的竊賊是否被逮捕 —— 可能是因為嫌疑人是未成年人,指控要麼已被封存,要麼從未提出。但 ZachXBT 找到了一份沒收通知,顯示 2022 年 10 月,即他在 X 平臺釋出調查結果一個月後,FBI 從他識別出的青少年嫌疑人處沒收了價值超過 20 萬美元的加密資產以及那塊鑽石手錶。

同年,ZachXBT 使用類似的技術,追蹤到另一場網路釣魚活動中被盜的價值 250 萬美元的 NFT,目標嫌疑人是一對法國駭客。幾個月後,法國檢察官逮捕了五名嫌疑人,據法新社報導,他們明確提到 ZachXBT 在 X 平臺釋出的帖子幫助了對兩名主要嫌疑人的調查。

「看到執法部門根據我分享的資訊採取行動,這讓我非常有成就感,」ZachXBT 說。「這讓我意識到,也許我所做的事情真的有了些成效。」

自從兩年前首次引起執法部門的關注以來,ZachXBT 的調查規模 —— 以及某些情況下的結果 —— 都急劇擴大。

2023 年 2 月,他追蹤到了加密專案 Platypus 被盜的近 900 萬美元資金,並在短短幾個小時內識別出其中一名嫌疑人;僅僅一週多後,法國警方逮捕了兩名嫌疑人。儘管對這兩人的指控最終被撤銷,但警方成功追回了數百萬美元的資金,Platypus 也在推文中向 ZachXBT 表達了感謝。

同年,他追蹤到加密公司 Uranium Finance 被盜的 2500 萬美元,其中大部分似乎通過購買稀有的《萬智牌》卡片進行了洗錢。當臭名昭著的網路犯罪組織「Scattered Spider」對拉斯維加斯的凱撒娛樂公司發動勒索軟體攻擊,並從該公司勒索到 1500 萬美元時,ZachXBT 幫助追蹤並追回了其中的 1200 萬美元,其他參與該案件調查的人員向《連線》透露了這一訊息。

大約在同一時間,ZachXBT 公佈了一項重大調查結果,揭露了朝鮮駭客實施的 25 起加密貨幣盜竊案,總金額超過 2 億美元,其中約 700 萬美元在他的幫助下被凍結。這些駭客行動中,有大約一半此前從未被公開過。

他隨後跟進了一項調查,揭露了一個由約 30 名朝鮮 IT 工作者組成的網路,他們滲透進了科技公司,並以加密貨幣形式獲得報酬。在其中一個案例中,一名疑似與朝鮮有關的技術人員被 NFT 公司 Munchables 僱傭,成功竊取了 6200 萬美元的加密資產。當 ZachXBT 幫助識別並標記這筆資金後,竊賊由於無法輕易將錢變現,最終被迫將其歸還。

「你知道那是多少錢嗎?」

回到開頭那起盜竊案,當 ZachXBT 在機場收到提示,發現 8 月 19 日發生的單個受害者被盜走 2.43 億美元的線索時,這是他所追蹤過的最大盜竊案之一。

從國際航班回到家後,他連續數天追蹤這些分散的資金流,同時在社交媒體上監控三名嫌疑人的動向,其中兩人使用網名 Greavys 和 Box。特別是 Greavys,真名是 Malone Lam,似乎身處邁阿密。

他在網上釋出的內容和照片顯示自己與豪華房產、鑽石手錶、私人飛機以及豪車為伴,其中包括一輛 Lamborghini Revuelto 和一輛 Pagani Huayra,後者的售價通常超過 300 萬美元。

ZachXBT 還發現,Greavys 曾送給一些網紅價值 3 萬到 5 萬美元的 Birkin 和 Hermès 包包,並在夜店裡出現了服務員舉著寫有「WHO WANT A BIRK」(誰想要個 Birkin 包)的電子標牌,標記著他的名字。

「看起來他們除了狂歡和偷錢,什麼都不幹,」ZachXBT 說道。

幾天內,ZachXBT 說服了在他飛行途中第一次給他發私信的線人,向他提供了一段三名疑似參與盜竊的駭客之間的螢幕共享影片。這些駭客毫不知情,其中一名嫌疑人在共享螢幕時,又與另一群朋友共享了他的螢幕,而其中一位朋友似乎錄下了這段影片。

在這段 90 分鐘的影片中,ZachXBT 表示,三名駭客多次互相用他們的名字稱呼對方。而在另一個片段中,其中一名男子還短暫展示了自己的 Windows 主螢幕,意外暴露了他的姓氏。

影片甚至捕捉到了這幾名駭客得手後興奮狂喜的時刻。「天啊!天啊!2.43 億美元!太棒了!」其中一人在影片中喊道,「我要瘋了!我們搞定了,我們搞定了。我快要爆炸了。你知道那是多少錢嗎?」

9 月 18 日下午晚些時候,距離 ZachXBT 開始調查還不到一個月,Lam 在邁阿密的一處海濱出租物業中被捕,他每月為此支付 6.8 萬美元。Box—— 真名為 Jeandiel Serrano—— 在洛杉磯機場被逮捕,當時他正與女友從馬爾地夫度假返回。

據檢方稱,他被捕時戴著一塊價值 50 萬美元的手錶,租住在洛杉磯附近的一處房產,每月房租超過 4 萬美元,並且花費了 100 萬美元購買豪車。

第二天,針對 Lam 和 Serrano 的電匯欺詐和洗錢指控被解封,根據法庭檔案,兩名駭客都向執法調查人員承認參與了多起加密貨幣盜竊案。Lam 特別承認,這些犯罪所得為他購買了不下 31 輛高階汽車。

目前為止,2.43 億美元中已有 7900 萬美元被查封或凍結,ZachXBT 希望還能找到更多被盜資金。檢察官表示,即使在嫌疑人揮霍一番後,仍有超過 1 億美元下落不明。

ZachXBT 的第三名嫌疑人,目前根據公開記錄顯示可能居住在康涅狄格州,但尚未被指控任何犯罪。然而,記者 Brian Krebs 指出一份刑事訴狀,描述了一群男子在 8 月底 2.43 億美元盜竊案發生四天後,涉嫌在康涅狄格州搶劫了一對五十多歲的夫婦並短暫綁架了他們,因為這些劫匪「相信受害者的兒子擁有大量數位貨幣的訪問許可權」,這暗示受害者可能是 ZachXBT 追蹤到的第三名涉嫌資金接收者的父母。

對 ZachXBT 來說,這次調查可能是一個轉折點。這是他第一次由受害者聘用並獲得報酬,而不是作為志願者靠捐贈來工作。他表示,未來可能會更多地從事這樣的有償工作,甚至考慮創辦自己的調查公司。

但 ZachXBT 堅稱,他並不是為了通過揭露這些事件致富。「我看到資金被查封、歸還給受害者、嫌疑人被逮捕,這就是我的目標,這也是我最初的目的,」ZachXBT 說。「看到這些事情對人們有所幫助,這才是我獲得滿足感的來源。」

他的合作夥伴 Taylor Monahan 來自加密錢包公司 MetaMask,現已與他合作了數十項調查。她認為 ZachXBT 依然主要受到正義感的驅使 —— 這種正義感源於他曾經也是加密貨幣世界的受害者,想要防止其他人遭遇同樣的結局。

「他和這個領域的許多人有著相同的經歷,那就是發生了不好的事情,而身邊的人都只會說『這真倒楣』,」Monahan 說。「他本能地拒絕接受這種經歷,並且想要改變這一切。」

Monahan 說,「他和這個領域的許多人有著相同的經歷:當遇到不幸的事情時,周圍的人只會說『真倒楣』,但他本能地拒絕接受這種無奈的迴應,決心改變這一切。」

📍相關報導📍

怕了?盜取美國政府2000萬鎂資產「駭客已歸還」九成加密貨幣

俄調查官「被駭客收買」索賄 1032 BTC,判16年監禁喊冤:我是為了國家

一起駭客事件,意外揭開EigenLayer團隊的荒唐內幕

最新文章

同类文章