BTC“惊天大劫案”真相揭迷,“数字侦探”Nilsson三年追查全复盘

2018年8月25日,日本交易所 Mt.Gox 开启债权人申请系统,债权人有望得到BTC赔偿。这让曾经的 比特币 被盗第一案又重新拉回了人们的视线。


MT.Gox的中译名又叫门头沟,总部位于日本东京,早在2010年就开始参与 比特币 交易,是最早参与这项业务的平台之一, 比特币 交易量曾占据全球的80%。2014年2月,MT.Gox宣布停止交易并随后申请破产,导致其倒闭的直接原因:由于受到黑客攻击,总计744000个 比特币 失窃,而且这一损失多年都未被发现,并且除了交易所75万个 比特币 之外,门头沟表示平台自身的10万个 比特币 也被盗,被盗金额总计85万枚 比特币 。

一时间针对MT.Gox事件众说纷纭,官方表示主要原因由于黑客入侵,但是有分析人士认为是交易所本身监守自盗。但最终受害者依旧是MT.Gox事件中损失了 比特币 的用户。

MT.Gox事件的受害人之一Kim Nilsson,从2014年 比特币 被盗案件开始,进行了历时三年的调查研究,长期关注MT.Gox事件,并成立了 WizSec 公司专门分析了失窃 比特币 的流向,他认为"门头沟"失窃 比特币 几经周转,大部分都去了 BTC -e 交易所。本文综合自华尔街日报,从MT.Gox事件开始,还原了Kim Nilsson长达三年调查 比特币 被盗案的始末。


MT.Gox交易所一场诡异的 比特币 盗窃案

在找寻Mt. Gox失窃案的真相期间,Kim Nilsson只能进行最基本的操作

故事的开始,源于一场诡异的 比特币 盗窃案。

在2014年,居住在日本的一名普通软件工程师Kim Nilsson坐在电脑前怒火中烧。

他发现自己名下的 比特币 无法从MT.Gox交易所中取出。这显然是蓄意犯罪,但在当时警方也无能为力,因为在当时的情况下警方甚至无法理解发生了什么情况,更何况去解决问题了。

Nilsson丢失的 比特币 本该存在一家宣布破产的 比特币 交易所 Mt.Gox 。该交易所价值超过4亿美元的 比特币 不翼而飞,数以百计的投资者即便没有心碎欲绝,也倍感失落。

和许多受害者不同,Nilsson决心反击,他同一位律师以及另一个损失 比特币 的受害者合作,追查 比特币 的失踪详情。去年夏天,他们历时三年的一宗网络追踪在希腊的一处沙滩画上了句号。在一座千年历史的古老修道院,美国联邦调查局(FBI)探员逮捕了一名俄罗斯男子,指控他利用 比特币 洗钱,以新近交易所交易价估算,洗钱规模约为40亿美元。这是加密 数字货币 短暂历史上涉案金额最高的一宗刑事案件。

从 比特币 坚定的拥护者摇身一变成网络侦探,Nilsson与 比特币 亲密接触的经历正是一部浓缩的加密 数字货币 发展史。这些年随着市值和应用的爆发,整个行业正在混乱中走向成熟。Nilsson揭露的那宗网络盗窃和洗钱案涉资数十亿美元,它就发生在 比特币 世界。MT.Gox事件向我们展示了,对投资者而言,这个无警方和政府管制的数字蛮荒之地有多么危险。

Nilsson称自己的工作是“  区块链 考古“,这已经成为一门行当。现在涌现了一批针对 数字货币 的私人调查公司,它们追踪资金流,为大银行、交易所和执法机关等机构探查其中可能存在什么网络犯罪活动。这些公司有自己的 数字货币 调查员,服务客户包括FBI、美国中情局(CIA)和国税局(IRS)。

比特币 问世约九年来,以巅峰期价格估算,失窃的 比特币 合计市值超过150亿美元,其中不少都来自导致 Mt.Gox 崩盘的那次事件。这一统计数字还不包括未曾公开的失窃 比特币 ,以及转售被盗信用卡或者支付环节遭到黑客攻击等其他不法活动中涉及的 比特币 。

因为有望成为去中心化的匿名支付系统,让银行成为过时的历史遗物, 比特币 已经令金融界为之兴奋。但它正面临众多威胁,偷窃只是冰山一角。

只要用户在中心化的大交易所交易,匿名就无从谈起,因为这类交易所都收集详细的用户数据,向政府的调查员提供这些数据。在投机者的推动下, 比特币 价格遭遇巨大的波动,这让 比特币 无法成为真正的货币,沦为有危险的投资。

犯罪随之而生。由于几乎毫无政府监管,也没有任何方式能撤销 比特币 的教育,窃贼们创造了新的手段,不但能深入交易所的腹地,还能利用 比特币 ,促成形形色色的骗局。网络安全研究者指出,盗贼窃取了信用卡之后将卡转售,换来 比特币 ,而包括部分朝鲜人在内,一些黑客则是盗取用户的数据,勒索 比特币 赎金。监管机构现在希望,将适用于传统投资的监管法规用来管治 比特币 。

对Nilsson这类 比特币 的真正信徒来说,这意味着 比特币 的衰落。


Kim Nilsson的反击之路

现年36岁的Nilsson拥有瑞典国籍,目前在日本东京一栋逼仄的高层建筑里生活和工作。和其他日本 数字货币 爱好者一样,当他们蜂拥投入 比特币 怀抱的时候,人们都沉浸在后金融危机时代的乐观情绪里。 比特币 由化名为中本聪的一位或多位神秘程序员创造,只存在于互联网,是一个数字账本上的一连串代码,这个账本被称为 区块 链 。它是主流金融系统之外的化外之地。

区块 链 这个账本由遍布全球数以千计的电脑的维护。在它基础上进行的交易都公开可见,但交易者却并非如此透明公开。这种安排保证了用户不可用同一个 比特币 重复购买支付商品或者服务。 比特币 可以在连串字母和数字组成的“地址”之间移动,而这些地址背后的钱包持有者却始终隐匿无踪。

理论上说,这种过程是去中心化的,每个钱包的持有者都有责任密切注意密码的动向。银行或者信用卡发行公司等可信的中介无需保证交易所正当合法, 区块 链 已经为他们代劳。

在现实世界,促成很多 比特币 交易的是交易所,而不是 区块 链 的直接使用者。而交易所虽然履行的职能类似传统的金融机构,却大多不受政府监管,他们将买家和卖家联系在一起,并用线上账户持有交易双方的 数字货币 。这些账户和交易所收集的信息容易遭到黑客攻击。

总部设在东京的 Mt.Gox 是首批遭此劫难的交易所,也是当时交易量最大的交易所。它提供买卖 比特币 的平台,同时为用户保管存放 比特币 并受密码保护的数字钱包。2012年,Nilsson向一个朋友购买了人生中第一枚 比特币 。一年后,他在Mt. Gox买入 比特币 ,累计了少许规模。

Nilsson下巴上蓄着小胡子,习惯一身黑衣,装扮俨然上世纪90年代的黑客,或是喜欢看摇滚乐队Rush演唱会的乐迷。他已经断断续续在东京住了大概十年。

Mt. Gox并不知道买家的身份,懵懵懂懂地陷入了困境。2011年,一些黑客获得了私钥,开始盗取线上钱包内的 比特币 ,四年间共盗走约63万之多。

Mt. Gox的老板Mark Karpelès是一个住在东京的法国移民,他曾试图掩盖 比特币 失窃,到2014年初,再也瞒不住了。Mt. Gox被迫中止取币,递交了破产申请。

这是 比特币 短暂历史上最大规模的失窃案,交易所几百名用户成为受害者。一名美国加州的男士损失约4万美元,芝加哥的一名投资者损失超过5万美元。一位在纽约布鲁克林求学而后安居台湾的律师Kelman遗失44.5个 比特币 ,以当前市价约合40万美元。他后来到访东京,希望抓住盗窃 比特币 的人。

在东京一栋摩天大厦的酒吧里, 比特币 圈内人士组织了一场聚会,律师Kelman在那期间结识了夏威夷人Jason Maurice。Maurice是Nilsson的同事,顶着一头松松垮垮的头发,Nilsson给他起了个绰号,叫魔术师。这些编程的人才被召集起来,希望可以解决Mt. Gox事件。

在Maurice常去的一家汉堡连锁店Teddy’s Bigger Burger吃晚饭时,几个人认真讨论了一番,拿出一个计划,试图找到失窃的 比特币 ,并将此发展成一门生意。

“你知道那些关于刺杀美国前总统肯尼迪的纪录片吗?你见过他们(追凶者)二十年后的样子吗?我们二十年内就会是那样。”Kelman记得自己当时这样告诉合作伙伴。

Nilsson、Kelman和Maurice给公司命名为WizSec。这个名字有一半来自以莫里斯的绰号,还有部分取自要做“ 比特币 安全顾问”这个口号。不过,这家公司从来没有真正经营过。

Nilsson说:“很快事情就演变成,在技术方面,只有我一个光杆司令。”他既没有资金投入新的技术,也没有办公室,就利用了自己在东京中央区外围一栋高层建筑里的住所,在那个约60平米的公寓里展开调查。

Nilsson只是用了自己在网上订购的零部件组装的家用电脑,而且这台电脑的最初目的也不过是想用来玩儿视频游戏,根本没有足够的算力来有效搜索 比特币 的 区块 链 ,搜索耗费的时间基本上要花整个晚上。

相反,Nilsson开发了一个程序来索引 区块 链 ,这使得他能够快速搜索每个交易的输入,输出和地址。尽管模式已经出现,但它们很难破译,因为 区块 链 并不能识别每笔交易背后的人,也没有可以将 区块 链 地址和真人联系起来的线上“黄页”。

不过,幸运的事情再次发生,也促使Nilsson继续前进。

Mt.Gox 交易所部分数据库泄露,其中一些被泄露到互联网上,另一部分则被泄露给了记者。Nilsson获得了泄露的数据,其中包括交易,提款,存款和用户余额的隐私记录。

2014年5月,另一位程序员发布了泄露信息分析,结果发现交易账户在以一种看似“自动化机器人”的方式在购买 比特币 ,并以此支撑 Mt.Gox 交易所设定的 比特币 价格。

通过重新回顾泄露的数据报告,Nilsson意识到他可以利用这个数据库计算出有 Mt.Gox 丢失了多少 比特币 ,因为他可以定位每一个与该交易所有关联的 比特币 钱包,然后再追踪他们的交易。

调查影响了Nilsson的生活,那时候白天他仍在做自己的全职工作,晚上则在三个电脑屏幕面前喝着零度可乐开展调查工作,一个电脑处理代码,一个电脑使用电子表格记录关键信息,还有一个用于编写调查笔记。

经过了好几个月时间的努力,Nilsson获得了近两百万个与 Mt.Gox 交易所相关的地址。但是,他不知道谁使用了这些地址,或者出于什么目的。因此,他需要内幕人士的帮助。

那时候,日本执法部门也在调查 Mt.Gox ,其主管Karpelès先生非常低调,当时Kelman已经通过消息传递程序Internet Relay Chat(IRC)知道Karpelès与一个 比特币 渠道进行了接触。凯尔曼说道:

“有一天我登上IRC,然后开始指责Mark贪污了钱。”

为了尽快撇清关系,Karpelès同意在一家汉堡餐厅与Nilsson和Kelman见面。Nilsson把整理的账户信息带了过去,Karpelès确认了这些信息,而且还帮助他们了解完整的 Mt.Gox 地址。Nilsson和Kelman透露,Karpelès还告诉了他们一些事情,但是可能需要在较晚时候才能公布: Mt.Gox 上的可疑交易其实是由Karpelès编写的一个程序执行的,而在这起盗窃案中,他隐瞒了这件事。

Karpelès拒绝就此事发表评论,也拒绝承认从 Mt.Gox 挪用贪污资金。

Nilsson分析了剩下的大约好几千个数字钱包,并且确认 Mt.Gox 应该拥有大约90万个 比特币 ,而不是披露出的20万个 比特币 。不仅如此,他早在2011年就已经发现存在 比特币 被窃的事情,但不确定 Mt.Gox 是否知情。2015年,Nilsson在一篇博文中写道:“从技术上来看, Mt.Gox 其实在2012年就已经破产了。”

在把这些 比特币 留给其他加密货币交易所(有的是以现金形式出售掉了)之后,Nilsson仍然没有弄清楚是谁偷了这些 比特币 ,或是谁卖掉了这些 比特币 ,但他仍在追踪此事。

2015年4月,Nilsson在WizSec博客上发表了调查结果,并且希望获得更多额外信息。他概述了自己所知道的一些事情,并且声称除了Karpelès之外,肯定还有人偷走了 Mt.Gox 的 比特币 。在那篇文章的结尾,Nilsson提出了一个问题:“这究竟是谁做的呢?”

不久之后,他得到了一个意想不到的消息。美国国税局调查员Gary Alford指控暗网“丝绸之路”的所有者涉嫌从事 比特币 非法交易。暗网“丝绸之路”是一个可以用 比特币 购买毒品和武器的在线平台,而该案件也是有史以来与 比特币 有关的最大一笔起诉。Gary Alford调查了所有与“丝绸之路”有关的 比特币 交易,而Nilsson也在寻找 Mt.Gox 丢失的 比特币 。

当然,Nilsson和Gary Alford两个似乎并不是“一条路”上的人,因为Nilsson进入 比特币 行业,部分原因就是想摆脱监管机构的桎梏,他说道:“显然,在我们的圈子里,与美国国税局打交道是一个耻辱,税务人员不是我们看得上的那种机构。”

但是,Kelman和Nilsson认为,美国政府可以提供更广泛的服务范围,还有丰富的资金和技术。Kelman补充说道:“这就像是一条单行道,我们给了他们一切,而Gary Alford只提供了正确轨道上的一些保证。”


Kim Nilsson、 Jason Maurice和律师Daniel Kelman共同创立了一家网络调查公司,他们正在 Mt.Gox 所有者Mark Karpelès东京家里的厨房准备苹果派。摄影师: MARK KARPELES


“WME”和“ BTC -E”

Nilsson披露了一些从 Mt.Gox 流出的 比特币 去向,包括这些 比特币 流向了其他 加密货币 交易所,比如 BTC -E。之后,他发现了一些其他令人意想不到的东西, Mt.Gox 丢失的 比特币 钱包中流出的 比特币 ,又从 加密货币 交易所转到了一些知名的 比特币 交易所,还有一些看似不相关的交易所手中。

Nilsson使用了一个 Mt.Gox 泄露出的数据交叉引用了其中一些交易,他发现一些从 Mt.Gox 丢失的 比特币 已经被存入到了其他 Mt.Gox 的账户里,其中一个甚至已经收到了现金存款,并且还附带了一条信息——上面只有简单的三个字母“WME”。Nilsson知道,持有“WME”账户的那个人肯定与被盗的 Mt.Gox 比特币 有关,他需要弄清楚这个人究竟是谁。

这个时候,Nilsson开始转移战场,从此前的 区块 链 分析转向到传统的互联网调查。

在经过了一系列深挖之后,Nilsson发现WME与一家在莫斯科经营 数字货币 交易的公司有关。2011年,WME曾出现在Bitcointalk.org的董事会上,当时还曾在Bitcointak.org的公告板上表示:“您好,我从事货币兑换已经有10多年时间了。现在我开始使用 比特币 ,我可以兑换任何东西。如果有大笔资金兑换,我会优先考虑。”

Nilsson又做了进一步分析,发现WME钱包与 加密货币 交易所 BTC -E存在关联。

这些来自Mt. Gox的一些 比特币 最终进入 BTC -E账户,并且似乎从来未被转出去,目前仍然留在与 BTC -E管理员相关联的钱包中。 BTC -E是否涉嫌参与到Mt. Gox盗窃案中?

下一步是确定“WME”的账户信息。

这似乎很难,因为每笔交易使用的是不同的钱包,并且每次都小心翼翼地从不留下与真实身份联系起来的信息,这些犯罪分子很难捕捉到。

但是“WME”账户还是粗心了,通过Nilsson所说的bug,发现了一些线索。

首先是将“WME”与特定帐户相关联的帖子。Nilsson发现了一个2012年的留言板帖子,其中一个愤怒的“WME”账户声称“另一个交易平台正在用我的钱诈骗和逃跑”。

“这是一份针对CryptoXchange的诈骗报告,CryptoXchange从我那里偷走了10万美元以上,并且拒绝退货。”这个帖子表示。

为了支持他的案子,WME在他自己和CryptoXchange之间发布了消息,并通过律师递给公司了一封信。在一则消息的底部,CryptoXchange告诉WME他的 数字货币 放在了哪里:一个“VINNIK ALEXANDER”名下拥有的账户。

Nilsson对此感到震惊。 “我甚至不相信这是一个真名,我认为这是别名或其他什么。”为什么币圈的人会在网上发布他的真实姓名和银行信息?

Nilsson将这个名字传给了美国国税局IRS的代理人Gary Alford。

截止到此时,已经是2016年的夏天。Nilsson已经在这个案子上工作了两年。


嫌疑人Alexander Vinnik被逮捕

俄罗斯人Alexander Vinnik被指控利用 比特币 进行洗钱活动,并在希腊海滩被捕

Nilsson当时不知道的是, BTC -E的目标是远离政府调查监管。代理人和检察官正在利用美国司法部的传票权,通过技术方式达目前取得和他相同的调查结论。

网络安全研究人员表示, BTC -E是全球罪犯的首选的交易所。它通过欧洲的银行业务关系让客户购买 比特币 或将其转换成欧元和卢布。一个私营部门 区块 链 调查员估计,在2016年 BTC -E在所有犯罪 加密货币 案件中占到了60%至70%。

Vinnik调查的主要代理人,国税局调查员Tigran Gambaryan说“没有人知道 BTC -E是谁,也没人知道他的主人是谁。我们分析它可能在保加利亚,也可能是塞浦路斯。”

这位Gambaryan先生表示,代理商所知道的是 BTC -E是当时最大的 比特币 交易所之一,而且它“对用户身份没有任何的审核”。对此,Alford拒绝发表评论。

根据法庭文件显示,联邦调查人员还发现了一个名为“WME”的帐户,该账户窃取了Mt. Gox的 比特币 ,并指向了 BTC -E交易所。

再继续追踪 区块 链 交易和传唤的银行记录中,他们确定,在2013年至2015年期间,一个与 BTC -E和某位俄罗斯公民有关联的账户,涉及向塞浦路斯和拉脱维亚的银行进行现金转移,通过这种洗钱的方式将资金转移到欧洲大陆。

截至2016年底,检察官已拥有充足的证据起诉Alexander Vinnik。

由于俄罗斯网络犯罪分子一般不会被驱逐,美国联邦调查局正在寻求逮捕他的方法,并在2017年1月提交了一份密封的联邦起诉书,指控Alexander Vinnik和某位不知道姓名的同伙,通过 BTC -E洗钱约40亿美元。当Alexander Vinnik途径希腊度假时,美国联邦调查局和当地警方已做好准备进行逮捕。

7月25日,穿着休闲服装的卧底警察将Alexander Vinnik包围在希腊海滩上并将他逮捕。据一位希腊执法官员援引法院文件称,他们查获了两台笔记本电脑,两台平板电脑,五部手机和一台路由器(可能存有 BTC -E的证据)。

Alexander Vinnik未来如何尚不清楚。目前,美国正在试图引渡他,但俄罗斯表示反对,表示希望他回到莫斯科接受9,500欧元的诈骗案起诉。


Kim Nilsson在他的东京办事处展示了表明被盗虚拟货币流动的图表。(照片来源:华尔街日报SHIHO FUKADA)

在希腊法庭听证会上,Vinnik的俄罗斯律师否认了这些指控,表示Vinnik并不是 BTC -E员工,并断言他正在打击美国在全球金融体系中的主导地位。这位律师呼吁希腊人和俄罗斯人共享正统的基督教传统,称他们不能向美国派遣“同一宗教的兄弟”.Vingnik已经在驱逐听证会上阅读了圣经。

7月30日,希腊法官团同意将Vinnik引渡到俄罗斯,尽管希腊其他地区法院裁定Vinnik应该引渡至美国或法国。如果Vinnik在希腊的庇护申请失败,将由司法部长决定将他最终引渡国家。

这次逮捕是全球 数字货币 领域最大的逮捕行动之一。尽管他们已经逮捕Vinnik,但是完全停止 BTC -E并不太可能。参与调查的人士表示,目前尚不清楚Vinnik是否是 BTC -E的领导者,甚至是该行动中重要的人。事实上,他们和Nilsson表示, BTC -E的主谋可能仍然存在于前苏联集团的某个地方,大量持有 比特币 并且仍在运作。

在Vinnik先生被捕后的几天内, BTC -E以新名称重新上线。其最新的运营商其身份无法确定保留了 BTC -E的客户名单及其技术等元素,但该网站的管理层不同。本月早些时候,这些运营商宣布他们正在关闭交易所。无法联系他们发表评论。

知情人士表示,联邦检察官认为Vinnik仅是几个 BTC -E目标中的第一个。

Nilsson对此次逮捕感到高兴,但仍然感到沮丧。尽管他抓住了Vinnik,但是他的 比特币 仍然在Mt. Gox执行破产程序。Nilsson曾经期望可以通过 比特币 让他避开政府、金融机构和骗子,却将手中的 比特币 全都卷入了这起盗窃案。

在最后,Nilsson说到“Mt. Gox事件是一个悲伤而又肮脏的故事”。


本文来自投稿,不代表【新财经-http://www.xcaijing.com】立场,如若转载,请注明出处:【当前页面链接】