前言:盗窃事件猖獗,令加密二字蒙尘。在成为比特币史上最著名的盗窃案,当时世界上最大的加密货币交易所Mt.Gox被盗事件的受害者后,Kim Nilsson决定反击,历时三年,这场“比特币大冒险”终于迎来了大结局。
今天,Bianews将为大家奉上一篇译文,讲述这段“悲伤又肮脏”的故事。(原文发于华尔街新闻)
原标题:他破解了第一疑案“门头沟”之谜,历时三年,为追回被盗比特币
Kim Nilsson沸腾了。
那是2014年,这位软件工程师发现他查询不到自己持有的比特币。显然有人犯下了一项罪行,而警察似乎无法调查,更不用说解决了。
代币从一个名为Mt.Gox的比特币交易所中流失,成百上千的投资者遭受严重打击甚至破产。超过4亿美元似乎在网络空间中凭空消失了。
与许多受害者不同,Nilsson决定反击,他与同样遭到了比特币盗窃,打算追踪匪徒的一位律师和另一位伙伴合作。
接下来则是三年的互联网追踪之旅,直到去年夏天,结束于希腊海滩。
在一座拥有1000年历史的修道院里,联邦调查局特工逮捕了一名俄罗斯男子,并指控他以最新汇率对价值约40亿美元的比特币进行了洗钱活动,这是加密货币为数不长的历史中数额最大的罪行之一。
Nilsson的比特币大冒险,从一个乐观的比特币迷到一个坚定的电脑侦探,他的比特币之旅覆盖了加密货币的成熟过程,因为近年来加密货币的价值和使用出现了爆炸式增长。
他在比特币世界的中心发现了一项涉及数十亿美元的盗窃和洗钱计划,这表明,对投资者而言,这个基本上未受监管的数字化荒野是多么危险。
他的工作——他称之为“区块链考古”——已经成为一项产业,一大批加密货币私人调查公司正在跟踪资金流动,并对潜在的针对大型银行、交易所和执法机构的犯罪行为进行调查。美国政府机构——包括联邦调查局、中央情报局和国税局——都有自己的加密货币调查员。
自比特币问世以来的9年左右时间里,以币价峰值计算有超过150亿美元的加密货币被盗,其中大部分是通过黑客手段窃取的,就像导致Mt. Gox崩溃的黑客行为一样。
这一数字还不包括未公开的盗窃行为,也不包括用于购买被盗信用卡或支付黑客费用等其他非法活动的加密货币。
比特币盗窃的问题由来已久,盗窃也是自从货币产生便存在的问题。这就催生了一个新的职业:像Kim Nilsson这样的比特币侦探。他是Mt. Gox交易所大规模黑客攻击的受害者。
这些盗窃行为只是比特币目前面临的威胁之一。
比特币承诺建立一个匿名的分布式支付系统以取代银行交易,但当人们在大型集中的交易所进行交易,收集详细的用户数据并提供给政府调查人员时,匿名就不存在了。另一方面,投机者造成了比特币的价格波动,使得比特币作为一种货币无法生存,作为一种投资也很危险。
此外还有犯罪问题:在政府监管不足以控制比特币交易的情况下,窃贼们已经开发出了创造性的方法,不仅可以入侵交易所直接盗窃,还可以利用比特币为各种其他计划提供便利。信用卡窃贼出售被盗的卡换取比特币;网络安全研究人员称,黑客——包括一些来自朝 鲜的黑客——已经在从用比特币支付的赎金中获取数据。
监管机构现在迫切地希望将比特币纳入更多与传统投资相同的规则中。
36岁的瑞典人Nilsson生活和工作在东京拥挤的高楼里,对于他这样的真正的比特币信徒来说,这是一种堕落。
在金融危机后的乐观情绪中,Nilsson与活跃在日本数字货币界的其他人士一同涌入了比特币市场。比特币是由一位名叫中本聪(Satoshi Nakamoto)的神秘编码员创建的,它仅以被称为区块链的数字账本中的一串代码的形式存在于互联网上,不属于主流金融体系。
这个账本是由分布在世界各地的成千上万的计算机维护的。它的交易是公开的,但背后的人却不是。这种形式确保了一个人不能多次使用相同的比特币支付商品或服务。而人们虽然可以看到比特币在由字母串和数字标识的“地址”之间移动,却看不见钱包主人的名字。
理论上,这个过程是去中心化的,每个比特币持有者都负责跟踪密码。不需要可信的中介如银行或信用卡公司来确保交易的有效性。
但实际上,很多比特币交易是通过交易所进行的, 而不是直接使用区块链的人。许多基本上不受监管的交易所的运作方式很像传统的金融机构,将买家和卖家联系起来,并将他们的货币存入在线账户。交易所一旦遭到网络攻击,这些帐户和用户信息就会被泄露。
总部位于东京的Mt.Gox交易所,曾经是这类交易所中成立最早也是规模最大的一个。它提供了一个买卖比特币的平台,以及一项维护用户加密数字钱包的服务,比特币存储在数字钱包中。
2012年,Nilsson从一个朋友那里买下了人生第一枚比特币。一年后,他开始从Mt. Gox购买加密货币,有了一些积蓄。
Nilsson下巴蓄着胡子,穿着上世纪90年代的黑客——或匆忙赶往一场演唱会的歌迷一样的深色衣服,他断断续续在东京生活了大约10年。
为了追寻比特币失窃案的答案,Nilsson经营着朴素的业务 拍摄: SHIHO FUKA/华尔街新闻
当时这位比特币买家并不知道,Mt. Gox正面临着麻烦。黑客们在2011年获得了这个交易所用户的私钥,并开始从加密钱包中窃取比特币——在4年的时间里,大约有63万枚比特币被盗。
Mt. Gox的所有者、旅居东京的法国人Mark Karpeles一直试图隐瞒失窃,直到2014年初,Mt. Gox停止提款并申请破产。
这是比特币短暂历史上最大的一次崩溃,产生了成百上千的受害者。一名加州男子损失约4万美元;芝加哥的一位投资者损失超过5万美元。 Daniel Kelman是一名在布鲁克林受过教育的律师,曾经居住在台湾。他在Mt.Gox失窃案中损失了44.5枚比特币,按照当前价格计算,约合40万美元。此后他前往东京,试图寻找窃贼的线索。
在一家位于高层大厦里的酒吧举行的一次比特币聚会上,这位律师遇到了一名头发蓬乱的夏威夷人Jason Maurice。自称“Wiz”的Maurice把同事Nilsson的名字告诉了他,说Nilsson有解决Mt. Gox盗窃案的编程天赋。
泰迪汉堡店是Maurice经常光顾的几家夏威夷连锁餐厅之一,在这家店吃晚饭时,两人讨论了一个计划,希望找到失踪的加密货币,并将他们的成功转化为商业利益。
“你看过那些关于肯尼迪遇刺的纪录片吧,20年后你还能看到它们吗?”Kelman先生,这位律师对他的合伙人们说。“20年后就是我们了。”
Nilsson, Kelman和 Maurice用Maurice的外号WizSec命名了他们公司,并打出了“比特币安全专家”的口号。这是一项并未得到广泛认知的工作。
Nilsson说,“这项业务很快使我工作在技术前沿。”
在没有钱购买新技术或办公室的情况下,他在位于东京市中心的一栋高层建筑内的650平方英尺的公寓里进行着调查。
Nilsson家里只有一台家用电脑,是他为玩游戏从网上购买配件自己组装的,这电脑缺乏有效地搜索比特币区块链的计算能力,搜索可能会耗掉通宵。
因此,Nilsson开发了一个索引区块链的程序,让他能够快速搜索每笔交易的流入、流出和地址。
尽管开始发现了一些盗窃模式,但它们很难破译,因为区块链无法识别每笔交易背后的人,而且也没有将区块链地址与真实的人连接起来的在线名簿。
幸运的是,他坚持了下来。Mt. Gox数据库的部分内容被泄露,部分内容被传到互联网上,还有部分内容被记者找到。Nilsson获得了泄露的数据——交易、取款、存款和用户余额的私人记录。
Mark Karpeles经营着Mt. Gox,直到2014年比特币交易所崩盘 拍摄:AKIO KON/彭博社
2014年5月,另一名程序员发布了一份对泄露信息的分析。它发现,账户购买比特币的方式似乎是自动的,而且是为了支撑Mt. Gox控股公司的价值。
重新追踪这份报告时,Nilsson意识到,他可以利用这个数据库找出与比特币交易所相关的每一个比特币钱包,然后追踪它们的交易,从而计算出Mt. Gox损失了多少比特币。
调查占据了他的生活。他还在做他的全职工作,晚上在三个发光的屏幕前喝可乐。一个屏幕上有一行代码,另一个屏幕上有一个记录关键信息的电子表格,第三个屏幕上有笔记。
经过几个月努力,Nilsson获得了近200万个与Mt. gox有关的地址——但不知道是谁使用了每个地址,也不知道是为了什么目的。他需要内线的帮助。
当时,日本执法部门正在调查Mt. Gox,Mark Karpeles正在低调行事。Kelman曾通过Internet Relay Chat的比特币频道联系他,他知道Karpeles经常出现在这里。“有一天我登上了IRC,我就开始指责Mark Karpeles挪用公款,”Kelman说。
为了洗刷罪名,Karpeles同意在另一家汉堡餐厅与Nilsson和Kelman会面。他确认了Nilsson整理的账户信息,并帮助他完善了Mt. Gox交易地址的完整列表。这两位投资者说,他还告诉他们一件直到很久以后才被公开的事情:Mt. Gox上的可疑交易是Karpeles为了掩盖不明身份的盗窃现象而开发的一个项目的成果。
Karpeles拒绝对此置评,但此前他否认了从Mt. Gox挪用资金。
Nilsson翻遍了剩下的数千个钱包,得出了虽然Mt. Gox应该拥有有大约90万比特币,但它只剩不到20万的结论。
其实早在2011年,他就发现加密货币丢失了。“不管是不是有意为之,”他在2015年的博客文章写到,“至少从2012年开始,Gox在技术上就已资不抵债。”
这些比特币流向其他交易所后,有些似乎被换成了现金。Nilsson不知道是谁在偷或卖它们,但他觉得自己离线索又近了一步。
为了获得更多信息, 2015年4月,他在WizSec博客上发布了调查结果。他概述了他所知道的情况,以及他认为偷窃比特币的人不是Karpeles。
“那是谁干的?”
不久之后,Nilsson得到了一个意外的消息。在加密界被称为“调查员”的美国国税局特工Gary Alford,确认了暗网“丝绸之路(Silk Road)”的所有者。
这是迄今为止与比特币相关的起诉案中规模最大的一起案件。而在调查丝绸之路相关的比特币事件时,Alford也调查到了Nilsson正在调查的比特币盗窃事件的一部分。
这令Nilsson不舒服,他进入比特币市场的部分原因就是为了避开监管机构。
“很明显,在我所处的圈子里,被国税局帮助是一种耻辱”,“税务员并不受欢迎”。
但Kelman和Nilsson认为,政府方凭借其广泛的影响力、强大的资金和技术,或许能够提供帮助。
“就像一条单行道,” Kelman说,“我们给了他们一切。” Kelman认为Alford的介入只是保证“你们都在正确的轨道上”。
Nilsson加倍努力,他追踪了从Mt. Gox流入其他交易所的加密货币流,其中包括一家名为BTC-E的交易所。而在追查中,他发现了一些意想不到的东西:Mt. Gox比特币钱包里,藏着从其他交易所偷来的比特币。
Nilsson用Mt. Gox数据泄露事件的信息对其中的一些交易进行了交叉引用。他看到从Mt. Gox偷来的一些加密货币被存入了其他Mt. Gox账户,其中一个账户收到一笔现金存款,并附了一张写着“WME”的纸条。
Nilsson知道,持有WME账户的人就持有被盗的Mt. Gox加密货币。他只需要弄清楚那个人是谁。从那之后,Nilsson从区块链的分析转向了老式的全网搜索调查。
通过调查,Nilsson发现一名在莫斯科经营货币兑换业务的WME人员,他在2011年时曾在Bitcointalk.org网站上写道,“你好,我从事交易已经超过10年了,现在我开始从事比特币交易,我可以用它交易一切。”
“我倾向于大额交易。”WME补充道。
Nilsson还更深入地发现WME钱包与加密货币交易所BTC-E有关联。
Mt. Gox的一些比特币最终流入BTC-E账户,却似乎从没有被交易,留在了与BTC-E管理员相关联的钱包里。BTC-E会与盗窃案有关吗?
下一步就是找出WME。
这看起来非常难,一般犯罪分子在每笔交易中会使用不同的钱包,并小心翼翼,从不留下假名与真实身份相关联的信息,这使其很难被抓获。
而WME显然很不小心,Nilsson表示WME的身份处理是“很粗心的”,这就提供了线索。
首先是将WME与特定账户联系起来。Nilsson发现了一篇2012年的帖子,一个名为“WME”的用户声称被另一个交易平台骗了钱:“这是一份针对CryptoXchange公司的诈骗报告,他从我这里偷走了10万多美元,并拒绝归还。”
为了支持自己的案子,WME发了一些自己和CryptoXchange公司之间的一些信息交流,还附上了他的律师写给公司的一封信。在一条信息的底部,CryptoXchange告诉WME他的钱存放在一个名为“VINNIK ALEXANDER”的账户。
Nilsson惊呆了,“我甚至不相信这是一个真实的名字,”他表示,“我以为是化名什么的,为什么有人会在网上发布自己的真实姓名和银行信息?”
Nilsson把这个名字传给了国税局的代理阿尔福德。那时是2016年夏天。
Nilsson已经在此案上工作了两年。
俄罗斯被指控利用比特币进行洗钱活动的Alexander Vinnik在希腊海滩被捕。 拍摄: COSTAS BALTAS/路透社
当时他不知道的是,远在大洋彼岸的BTC-E是政府调查人员的目标。在肯尼迪时代的一家联邦法院内,特工和检察官利用美国司法部享有的传讯权、技术水平和预算,来到了Nilsson所在的地方。
网络安全研究人员表示,BTC-E是全球罪犯首选的交易平台。该公司在欧洲的银行关系允许客户购买比特币或将其兑换成欧元和卢布。一位私营部门的区块链调查人员估计,到2016年,在所有加密货币刑事案件中,有60%到70%涉及到BTC-E。
美国国税局调查员Tigran Gambaryan说:“没有人知道BTC-E是谁。也没有人知道它幕后的人是谁。我们认为可能是在保加利亚,或者塞浦路斯。”Gambaryan现在是Vinnik调查的主要负责人。
Gambaryan先生说,代理商所知道的是BTC-E是当时最大的比特币交易所之一,而且它不询问任何关于“用户身份”的问题。Alford则拒绝发表评论。
法庭文件显示,联邦调查人员还发现了一个“WME”账户,里面有被盗的Mt. Gox硬币,与BTC-E有关。
代理人追踪区块链交易和传唤银行记录。他们确定,在2013年至2015年期间,一个与BTC-E和一名俄罗斯公民有关的账户参与了向塞浦路斯和拉脱维亚银行的现金转账,这些地区的洗钱者将这些银行用作向欧洲大陆银行转账的主要渠道。
2016年末,检察官有足够的证据起诉Vinnik。
由于俄罗斯一般不会将网络罪犯驱逐出境,美国特工想办法在其他地方逮捕他。他们在2017年1月提交了一份密封的联邦起诉书,指控Vinnik和未具名的同伙通过BTC-E洗钱约40亿美元。当Vinnik先生在希腊度假时,联邦调查局和当地警方已经做好了将其逮捕的准备。
7月25日,便衣警察在海滩上包围了Vinnik,并逮捕了他。据一名希腊执法官员援引法庭文件称,他们缴获了两台笔记本电脑、两台平板电脑、五部手机和一台路由器——这可能是了解BTC-E的重要证据。
Vinnik先生的未来尚不明朗。美国正试图引渡他,但俄罗斯反对,并表示希望他能回到莫斯科面对一宗涉案金额9500欧元的欺诈案。
Kim Nilsson在他的东京办事处显示了表明被盗虚拟货币流动的图表。 拍摄:SHIHO FUKADA/华尔街新闻
在希腊的法庭听证会上,Vinnik的俄罗斯律师否认了这些指控。他说,Vinnik不是BTC-E的雇员,并声称他在与美国在全球金融体系中的主导地位作斗争。这位律师呼吁希腊人和俄罗斯人拥有共同的东正教传统,称他们不能把“同一宗教的兄弟”送到美国。Vinnik花了整个驱逐听证会的时间来阅读圣经。
7月30日,一个由希腊法官组成的小组同意将Vinnik引渡到俄罗斯,不过希腊不同的法院也裁定Vinnik应该被引渡到美国或法国。如果Vinnik在希腊的避难申请失败,那么将由司法部长决定将他送往何处。
这次逮捕是数字货币犯罪世界中规模最大的一次。但当他们突袭Vinnik时,特工们知道逮捕俄罗斯人不太可能阻止BTC-E。参与调查的人士说,目前尚不清楚Vinnik是否是BTC-E的领导人,亦或是否是行动中至关重要的人物。事实上,他们和Nilsson说,其策划者可能仍在前苏联集团的某个地方,拥有丰富的比特币,而且仍在运营。
Vinnik被捕后没几天,BTC-E就以新名字重新上线。其最新的运营商(其身份无法确定)保留了BTC-E的客户名单和许多技术元素,但该网站的管理层与之前不同。本月早些时候,这些运营商宣布将关闭该交易所。记者无法联系到他们。
知情人士说,联邦检察官认为Vinnik是BTC-E几个目标中的第一个。
Nilsson对Vinnik被捕感到高兴,但仍感到沮丧。他觉得他找到了骗他的人,但他的钱被困在Mt. Gox的破产程序。Nilsson希望比特币能让他避开政府、金融机构和骗子。而现实正相反,他和他的几枚比特币都卷入了其中。
“这是一个悲伤又肮脏的故事。”他说。
|