ADVERTISEMENT
8 月 19 日,一位二十多岁的年轻人,网路代号 ZachXBT,正走进机场准备搭机回家(至於是哪个机场、他的真实姓名、家在哪里,他都不愿透露),这时他看到手机上收到的的一个警报。一笔比特币刚刚被转移到一个小型加密货币交易所,他经常在比特币区块链上监控许多交易所的交易,以寻找犯罪洗钱的迹象。这笔交易引起了他的兴趣:这笔交易价值约 60 万美元,是该平台上一般交易规模的 10 倍以上。
当他到达登机口时,另一个警报提醒他同一交易所发生了第二笔价值超过 100 万美元的交易,接着又来了一笔200万美元的交易。当他排队登机时,ZachXBT 匆忙地在手机上追踪这笔钱,从一个比特币地址回溯到另一个地址,标记可疑资金,并赶在飞机起飞後网路断线的半小时内找到它们的来源。在他登机之前,他已经确定这笔钱来自一个加密货币钱包,该钱包自 2012 年以来一直持有价值数亿美元的比特币,而现在这笔巨额资金正在透过收取高额手续费的交易所被急速变现,这绝非一个耐心等待十多年的比特币投资者会做的事。
对 ZachXBT 来说,这些资金流向明显像是一起大规模盗窃案。事实上,当他再次核实发现时,似乎有人从一位倒楣的受害者那里偷走了约2.43亿美元的比特币,这可能是有史以来针对个人最大的加密货币盗窃案。「从一个人身上偷走这麽大的金额,实在太不寻常了,」ZachXBT 告诉《WIRED》杂志。「我不得不确认自己是否看错了。」
当 ZachXBT 的飞机飞到 10,000 英尺高空,可以使用无线网路时,他开始追踪更多被盗资金的流出,这些资金正被一个接一个地透过交易所和币种交换服务。在接下来的几个小时里,他努力绘制出资金流动的分支流向图,因为窃贼们显然试图透过十几个平台来转移这些加密货币,以混淆他资金的流向。
当他循着这条线索追溯到比特币的损失者时,ZachXBT 发现一部分资金最初来自现已倒闭的 Genesis 加密货币交易所。他直接在 X 平台上私讯该交易所的管理员,要求他们让他与受害者取得联系,受害者最後聘请他追踪被盗的资金。
当他的航班降落时,ZachXBT 已经发现被盗资金分成了三条主要的资金流,指向了他认为的三名嫌疑人。他还向自己在 X 平台上超过 65 万的粉丝发布了一条消息,指出区块链上正在进行的盗窃活动。不久後,他收到了一名线人的消息,声称掌握有关窃贼身份的线索。
在接下来的一周里,ZachXBT 日以继夜地处理这个案件,每天只睡四到五个小时,并定期将他的调查结果分享给执法机构,最终确定了盗窃案背後的嫌疑人——两名二十岁出头的年轻骇客,Malone Lam 和 Jeandiel Serrano。(ZachXBT 还指认了另一名涉嫌骇客,但《WIRED》杂志选择不公开其姓名,因为此人尚未被逮捕或起诉。)他甚至获得了一段影片纪录,据称显示了其中一人在完成盗窃并庆祝这笔巨额收获时的萤幕画面。在他旋风般的调查中,ZachXBT 甚至在 Instagram 和 TikTok 上追踪了这些嫌疑人,看着其中一人将数百万美元挥霍在汽车、私人飞机和夜总会上,据称他在夜总会一晚就花了 50 万美元。
在 ZachXBT 的手机收到警报後不到一个月,三名嫌疑人中的两名就被逮捕并受到刑事指控。
当 ZachXBT 终於看到其中一名骇客的嫌犯照片时,他说他感到一阵短暂的肾上腺素激增。但这种感觉很快就消失了。「我并没有感到特别的成就感,」ZachXBT 说。「我只是把它当作任何其他案件一样处理。」
为人民服务的加密货币私家侦探
如果追踪一起价值 2.5 亿美元的盗窃案对 ZachXBT 来说就像在网上度过的平常一天,那麽这或许是因为在过去三年里,他已成为全球最活跃的独立加密货币侦探。自 2021 年作为业余调查员开始工作以来,他已追踪到数十亿美元的被盗资金和诈骗案件。根据他提供给《WIRED》杂志的一份表格统计,他的数百起调查直接促成了大约 2.1 亿美元的犯罪加密货币资金被追回,另有约 2.25 亿美元的资金在他间接帮助下为受害者追回。他揭露了参与「拉高出货」骗局的网红,追捕了大型加密货币抢劫案背後的网路犯罪分子,并揭露了数十起北韩骇客入侵加密货币公司甚至渗透到这些公司担任员工的事件。
在所有这些过程中,他的资金几乎完全来自加密货币捐款,包括加密货币组织的赠款和陌生人向他在社群媒体个人资料中列出的地址发送的捐款,自 2021 年以来总计约 130 万美元。「他是新一代的调查员。他为人民工作,」特勤局分析师 Joe McGill 说,他曾与 ZachXBT 合作过。「他的成功完全取决於他调查的成功。」
随着 ZachXBT 将加密货币义侠作为自己的职业,他也始终戴着面具。在网路上,他只以自己的头像出现,这是一个穿着侦探风衣或有时穿着连帽衫的鸭嘴兽卡通人物。为了避免遭到加密货币犯罪分子和骗子等众多敌人的报复,他从未公开露面,也从未透露过自己的真实姓名或确切年龄,并且只在记者承诺不试图挖掘他的身份讯息的条件下才接受《WIRED》杂志的采访。
McGill 说,在他们早期的一些视讯会议中,ZachXBT 不仅会关闭摄影镜头,甚至还会使用变声应用程式,有时听起来像一个音调很高的「南方公园角色」,有时则会把声音调得很低沉,让他想起恐怖电影。「一开始确实很奇怪,」当时在加密货币追踪公司TRM Labs工作的McGill说,「但我尊重他的隐私,因为这个匿名人士正在做着非常出色的工作。」
加密货币调查员、Five I’s 公司创始人 Nick Bax 说,ZachXBT 几乎每周都会揭露大量的加密货币犯罪骗局和盗窃案,而且往往比执法机构的速度快得多,以至於Bax半开玩笑地怀疑他可能是某种机器人。
「他就是一台机器,」Bax 说。
去年,在他们合作调查一起针对AnubisDAO加密货币项目的6000万美元盗窃案时,Bax在一个周六晚上给了ZachXBT一份500笔交易的清单,每笔交易都需要手动分析以及查看所有相关的区块链地址。「我以为这至少要让他忙上几天,」Bax说。但到了第二天下午早些时候,ZachXBT已经检查了每一笔交易,并确认了哪些与盗窃案有关。「我震惊了,」Bax说,「他一定连续坐在电脑前工作了12个小时。」
ZachXBT 许多调查结果都被毫不客气地发布到他在 X 平台上的帐号上。然而,随着时间的推移,他的发现越来越受到执法机构的关注——现在他经常在公开发布前就与多个执法机构分享调查结果。其结果是,那些成为他侦探工作目标的人面临着真实且日益严重的後果。「随着 Zach 的影响力越来越大,已经出现了财务和法律上的後果,」加密货币公司 MetaMask 的安全研究员 Taylor Monahan 说,她也是 ZachXBT 最密切的调查合作夥伴之一,包括 这起2.43 亿美元盗窃案。「如果 Zach 现在发表一则关於某人的推文,而且内容属实,那个人就会被逮捕。」
从受害者到揭发者
那麽,ZachXBT 究竟是如何做到在没有接受过任何正式培训或组织支持的情况下,超越甚至执法部门的加密货币调查员的呢?就连他自己也不是很确定。「这是一个很难回答的问题。我不知道自己为什麽这麽厉害,」ZachXBT 在接受《WIRED》杂志的电话采访时说。他将此归功於他愿意全天候工作——毕竟加密货币市场从不休市——以及多年来仔细研究这些庞大的交易分类帐,进而熟悉了加密货币区块链的分析。「你看得越多,就像吃饭、睡觉、呼吸一样,随着时间的推移,它就会变得越来越有意义,」他说。「你就能够开始注意到这些联系。我可以查看一个钱包,并在几秒钟内分析它,告诉你它是否属於一个坏人。」
ZachXBT 说,他对区块链的熟悉来自於他多年来作为加密货币爱好者和交易者的经验——以及他自己也曾是加密货币经济中,许多针对粗心投资者陷阱的受害者。他说,大约在 2017 年,他天真地购买了价值数千美元的加密货币,这些代币最终都变得一文不值——通常是由於所谓的「拉地毯」骗局,即加密货币代币的创造者抛售他们的持股,而所有其他投资者都只剩下毫无价值的资产。「我当时买进的时候想,『这将改变世界。』我只是持有它,从未卖出,」ZachXBT 说。结果,他说,「我就是那个被骗的人。」
到 2018 年,他不仅所有这些投资都化为乌有,而且 ZachXBT 使用的 Electrum 加密货币钱包还遭到恶意软体更新的骇客攻击。他又损失了近 1.5 万美元。
直到那时,他才决定退一步,重新思考自己的策略。他不再只是简单地买进并持有代币,而是开始分析加密货币的区块链——几乎所有区块链都公开可见,任何人都可以解读不同地址的所有者——以了解更大、更成功的投资者是如何交易代币和硬币的,然後尝试模仿他们的操作。
由於进行了区块链分析,到 2020 年,他已经非常熟悉加密货币交易的追踪,能够发现一般投资者看不到的正在进行的骗局。他会看到一个网红公开向他们的数十万粉丝推广某种加密货币资产,推高其价格,然後在区块链上追踪他们的资金,发现他们实际上是在随後立即抛售自己的持股,这通常看起来像是典型的「拉高出货」骗局。「这更像是做一个吹哨者,」ZachXBT 说。「我会注意到这种活动,然後想,『这让我想起 2017 年和 2018 年我上当受骗的经历。何不发文揭露呢?』然後这件事就开始引起轰动。」
当 NFT 热潮在同年晚些时候兴起时,ZachXBT 开始类似地审视 Bored Bunny 和 Billionaire Dogs Club 等 NFT 项目,揭示这些资金的真正去向。一些 NFT 卖家仅凭几张卡通 jpg 图片就筹集到数百万资金,承诺这些 NFT 会带来专属活动或俱乐部等特权。然而,透过区块链分析,ZachXBT 可以看到卖家只是在瓜分和私吞这些资金。有时,他甚至透过加密货币追踪发现,某个 NFT 卖家实际上是一个先前已被证实是骗局的项目的重新包装。
在某些情况下,ZachXBT 关於 NFT 卖家发文确实成功吓退了买家,阻止了可疑的 NFT 交易商售出他们的商品。但随着时间推移,他对揭露这些经常很明显的骗局感到厌倦,也对缺乏更具体的结果感到沮丧:他揭露的 NFT 项目相关人员没有一个面临刑事指控。
然後,在 2022 年初,他开始注意到一群骇客在劫持知名加密货币使用者的推特帐号,发表透往以太坊智慧型合约的钓鱼连结,这些合约被设计用来掏空使用者的钱包,导致数千万美元的损失。每当有受害者发文哀叹储蓄被盗,ZachXBT 就会与他们联系,然後仔细追踪他们损失的资金。他将这些区块链线索与他在年轻加密货币盗贼常出没的 Discord 和 Telegram 频道中发展的消息来源相结合,这让他找到了几个似乎是这场钓鱼活动背後主谋的青少年的网路代号,这些人正在炫耀他们的巨额收获。
到这时,ZachXBT 在加密货币地下世界已经臭名昭着,以至於他认为是嫌疑人之一的人甚至在炫耀购买镶钻 Audemars Piguet 手表的推特发文中包含了一个明显是在嘲讽「mr xbt」的内容。ZachXBT 在一个奢侈手表 Discord 频道中找到了这个手表的卖家,说服这位以近 5 万美元售出该手表的卖家提供了这名青少年的送货地址和真实姓名。
公开记录似乎并未显示这些涉嫌盗窃者是否被逮捕——可能是因为嫌疑人是未成年人,相关指控要嘛被封存,要嘛根本就没有提出。但 ZachXBT 发现了一份没收通知,显示在 2022 年 10 月,也就是 ZachXBT 在 X 平台发布调查结果的一个月後,FBI 从他确认的青少年嫌疑人那里没收了价值超过 20 万美元的加密资产——以及那块镶钻手表。
同年,ZachXBT 使用类似的技术追踪了另一起透过不同钓鱼活动窃取的价值 250 万美元的 NFT,最终锁定了两名疑似法国骇客。在那个案件中,法国检察官几个月後逮捕了五名嫌疑人,据法新社报导,检方特别表明 ZachXBT 在 X 平台上发表的推文帮助了他们对两名疑似主谋的调查。「看到执法部门对我分享的讯息采取行动,这让我感到非常满足,」ZachXBT 说。「这让我觉得我做的事情可能真的有意义。」
在 ZachXBT 首次引起执法部门关注後的两年里,他调查的规模——以及在某些情况下,产生的後果——都出现了爆炸式增长。2023 年 2 月,他追踪了从加密货币项目 Platypus 被盗的近 900 万美元资金,并在短短几小时内就确认了其中一名嫌疑人;法国警方在一周多後逮捕了两名嫌疑人。尽管对这两人的指控最终被撤销,但警方追回了数百万美元的资金,Platypus 也在推特上向 ZachXBT 表示感谢。同年稍晚,他追踪了从加密货币公司 Uranium Finance 被盗的 2500 万美元资金,其中大部分似乎是透过购买稀有的《魔法风云会》卡牌洗钱的。据参与此案并接受《WIRED》杂志采访的其他调查人员透露,当名为 Scattered Spider 的网路犯罪集团对拉斯维加斯的凯撒娱乐集团发动勒索软体攻击,并向该公司勒索 1500 万美元时,ZachXBT 协助追踪并追回了 1200 万美元的资金。
大约在同一时间,ZachXBT 发表了一系列大规模调查的结果,这些调查涉及北韩骇客实施的 25 起加密货币盗窃案,涉案总金额超过 2 亿美元,其中约 700 万美元在他协助下被冻结了。这些骇客攻击中事件大约有一半之前从未被公开披露。他接着又进行了另一项调查,揭露了一个由约 30 名北韩 IT 人员组成的网路,他们渗透到科技公司,并以加密货币的形式获得报酬。在其中一个案例中,一名似乎与北韩有关联的科技工作者受雇於 NFT 公司 Munchables,并成功从该公司窃取了价值 6200 万美元的加密货币资产。当 ZachXBT 协助辨识和标记这些资金时,窃贼成为众矢之的,导致这些钱难以变现,他们只好乖乖归还。
「你知道那是多少钱吗?」
即便如此,当 ZachXBT 在 8 月 19 日於机场收到简讯提醒,让他开始追踪从单一受害者那里盗走的 2.43 亿美元资金时,这仍然是他追查过的最大盗窃案之一。
当他结束国际航班回到家後,他继续追踪这些分支资金,同时监控社群媒体,寻找他的三名嫌疑人的踪迹,其中两人分别使用 Greavys 和 Box 的代号。特别是 Greavys——他的真名是 Malone Lam,似乎住在迈阿密——他一直在发布和出现在豪宅、钻石手表、喷气式飞机和跑车的照片中,包括 Lamborghini Revuelto 和 Pagani Huayra,後者通常售价超过 300 万美元。ZachXBT 发现了一些网红的贴文,Greavys 送给他们每人价值 3 万到 5 万美元的柏金包和爱马仕包包,还有一些夜总会里服务生拿着的电子标牌照片,上面写着「谁想要柏金包」,并标记了他的名字。
「他们似乎除了开派对和偷钱什麽也不做,」ZachXBT 说。
几天之内,他说服了在飞机上第一次私讯他的消息来源向他发送了一段影片,影片中是三名似乎参与盗窃案的骇客之间的萤幕共享画面。他们不知道的是,其中一名骇客在萤幕共享期间与另一群朋友重新分享了他的萤幕——而其中一人似乎录制了下来。ZachXBT 说,在这段 90 分钟的影片中,三名骇客多次直呼彼此的名字。在另一时刻,其中一人还短暂地闪现了他的 Windows 主萤幕,也暴露了他的姓氏。
这段影片甚至捕捉到了这些骇客在成功完成这起金额高达九位数的盗窃案後欣喜若狂的反应。「我的天啊!我的天啊!2.43 亿美元!太棒了!」其中一人在录音中说道。「我要疯了!哦!我们成功了。我们成功了。我要疯了。你知道那是多少钱吗?」
9 月 18 日下午晚些时候,在 ZachXBT 开始调查将近一个月後,Lam 在迈阿密一处每月租金 6.8 万美元的海滨出租屋被捕。Box——他的真名是 Jeandiel Serrano——在洛杉矶机场被拘留,当时他正与女友结束马尔地夫的度假之旅飞回家。据检察官称,他在被捕时戴着一块价值 50 万美元的手表,在洛杉矶附近租了一栋每月租金超过 4 万美元的房子,并在豪华汽车上花费了 100 万美元。第二天,对 Lam 和 Serrano 的电信欺诈和洗钱指控被公开。根据法庭文件,两名骇客都向执法人员承认,他们参与了多起加密货币盗窃案。Lam 特别承认,他用这些盗窃所得购买了至少 31 辆高档汽车。
到目前为止,他们涉嫌盗窃的 2.43 亿美元中,已有 7900 万美元被扣押或冻结。ZachXBT 希望还能找到更多的钱。检察官表示,即使在这些骇客挥霍之後,仍有超过 1 亿美元下落不明。
根据公开记录,ZachXBT 的第三名嫌疑人似乎住在康乃狄克州,他尚未受到任何犯罪指控。然而,记者 Brian Krebs 指出,一份刑事诉状描述了一群男子在 8 月下旬 2.43 亿美元盗窃案发生四天後,涉嫌在康乃狄克州劫持了一对 50 多岁夫妇的蓝宝坚尼,并短暂的绑架了他们,因为劫匪「认为受害者的儿子可以获得大量数位货币」——这表明受害者可能是 ZachXBT 追踪到的第三名被盗资金接收者的父母。
对 ZachXBT 来说,这次调查可能是一个转折点。他第一次被案件中的受害者聘用,并凭藉自己的技能获得报酬,而不是像以前那样依靠捐款作为义工来工作。他说,他可能会转型做更多这种有偿工作,甚至可能成立自己的调查公司。
但他坚称,他仍然不是为了从他的揭露中致富。「我看到资金被扣押,钱被归还给受害者,人们被逮捕,这就是我的目标。这就是我开始做这件事的目的,」ZachXBT 说。「看到它正在造福人们,这就是我获得满足感的原因。」
他的合作者、加密货币钱包公司 MetaMask 的 Taylor Monahan 已经与他合作进行了数十起调查,她认为 ZachXBT 仍然很大程度上是由正义感驱使的——这种正义感源於他曾经是加密货币世界残酷性的受害者,并希望防止其他人遭受同样的命运。
「他与这个领域的许多人都有过同样的经历,那就是发生了不好的事情,你周围的每个人都会说,『你真倒楣』,」Monahan 说。「他本能地拒绝这种经历。他想要改变它。」