本文来自:《连线》(Wired);原文作者:Andy Greenberg
编译:bitget(@OdailyChina);译者:Azuma(@azuma_eth) 编者按:ZachXBT 可能是加密货币世界当下最响亮的名字之一。 过去数年间,ZachXBT 已通过个人调查侦破了大量安全事件,直接追回了数亿美元的资金,揭露了无数起暗箱操作及内幕骗局。 最近的案例发生于前天,在 Meme 项目 SHAR 意外“蹿红”之后,ZachXBT 曾披露该项目涉嫌阴谋做局及 KOL 操盘。不久后 SHAR 原形毕露,背后操盘者直接将该代币的市值从 4000 万美元砸至 300 万美元。 在多年的调查工作中,ZachXBT 也招致了不少的敌意,有人憎恨他揭穿了自己心爱的仓位,心想没有他的话庄家或许不会这么早收割;有人阴谋布局良久,却在得手之际被他赤裸裸地揭穿;有人本已盗走上亿资金,正在挥金如土地享受奢靡生活,转瞬却被 ZachXBT 的调查送进了局子。 出于对潜在报复的担忧,ZachXBT 在互联网上隐去了姓名,没人知道他长什么样?叫什么?多大?住在哪?但业界几乎已形成了普遍共识 —— 当灾祸降临己身之时,这只“四眼鸭嘴兽”(ZachXBT 的社交媒体头像)就像是披洒着圣光的天使。 近日,ZachXBT 罕见地接受了知名媒体《连线》的专访,在访谈中 ZachXBT 更是罕见地提到了一些不至于暴露身份的个人信息。以下为《连线》专访的原文内容,由 Odaily 星球日报编译。 8 月 19 日,一位网名为 ZachXBT 的 20 多岁男子正走进机场准备搭乘回家的航班 —— 他不愿透露是哪一座机场,他的真名是什么,家在哪里 —— 这时他看到手机上跳出一条了警报。一笔比特币刚刚被转移到了一家小型交易所,这是他日常监测的诸多交易所之一,目的是为了寻找各种犯罪或洗钱的迹象。这条警报引起了 ZachXBT 的兴趣,该笔转账的总价值约为 60 万美元,是这家小交易所常规转账的 10 倍左右。 当 ZachXBT 到达登机口时,另一条警报又来了,同一交易所又发生了第二笔价值超过 100 万美元的转账,接着又来了一笔 200 万美元……当 ZachXBT 排队登机时,他快速地手机上追踪这些交易,从一个又一个比特币地址回溯,标记可疑资金,试图在飞机起飞到机载 Wi-Fi 启动之间的半小时断网时间来临前找出可疑资金的来源。在起飞之前,ZachXBT 已经确定这些资金来自一个自 2012 年以来一直持有价值数亿美元比特币的地址 —— 现在这笔高达九位数的资金正在不计成本地匆忙变现,任何一个具备耐心且持仓超过十年的比特币投资者都不可能如此操作。 在 ZachXBT 看来,这些异常的转账很明显就是又一起巨额窃案。当他再次仔细检查自己的线索时,他发现似乎有人从某个不幸的受害人处盗走了约 2.43 亿美元的比特币,这可能是加密货币历史上针对个人的最大窃案。 ZachXBT 告诉《连线》:“从一个人手里偷走了这么多钱……我必须确保自己没有发疯。” 当飞机攀升至一万英尺以上,机载 Wi-Fi 启动之后,ZachXBT 开始进一步追踪被盗资金的动向,因为它们正在通过一个又一个交易所和代币兑换服务平台进行转移。在接下来的几个小时内,ZachXBT 加速绘制出了资金流动的分布图 —— 窃贼之所以会通过十几个平台频繁转移代币,显然是为了混淆交易路径。 当 ZachXBT 沿着线索追溯到失主后,他发现部分资金最初来自现已倒闭的加密货币交易所 Genesis。ZachXBT 在 X 上直接给该交易所的管理员发了消息,请他们帮忙联系受害者,最终受害者决定雇佣 ZachXBT 来尝试追回被盗资金。 当航班降落时,ZachXBT 已经发现了这场窃案的三个主要线索 —— 三个线索分别指向三个可能的罪犯。ZachXBT 还在 X 上向其 65 万名粉丝发了消息,指出了这场链上正在发生的盗窃。很快,他就收到了一条消息,消息来源声称掌握了窃贼的身份线索。 在接下来的一周里,ZachXBT 夜以继日的工作,每晚的睡眠时间不超过四、五个小时,且还会定期与执法机构分享其发现。最终,ZachXBT 确认了这场盗窃的嫌疑人 —— 两名年轻的黑客 Malone Lam 和 Jeandiel Serrano,二人都才 20 岁出头 —— ZachXBT 还确认了另一名涉案涉嫌人,但 Wired 选择不公开其姓名,因为该嫌疑人尚未被捕或被起诉。 ZachXBT 甚至还查到了一段视频录像,录像的内容为涉案黑客们得手后在庆祝这笔巨大的意外之财。在这场极速调查中,ZachXBT 甚至还追踪到了窃贼的 Instagram 和 TikTok 上 账号,看到了其中一人在豪车、私人飞机和夜店方面豪掷数百万美元 —— 涉案嫌疑人一晚曾在某家夜店消费高达 50 万美元。 从登机前的警报响起,到三名嫌疑人中的两人被捕并受到刑事指控,前后还不到一个月。ZachXBT 提到,当他看到其中一名涉案黑客的面部照片时,他曾感觉到了短暂的肾上腺素激增,但这种感觉很快就过去了。 “我并没有真正感到任何特别的成就感,我只是把它当作其他案件一样来对待。” 如果对 ZachXBT 来说,追踪一起价值 2.43 亿美元的窃案就像是普普通通的一天,那可能是因为在过去的三年中,他已经成为了为加密货币世界中最高产、最知名的链上侦探。自 2021 年开始进行业余调查以来,ZachXBT 已经追踪了总额高达数十亿美元的被盗资金及诈骗行为。ZachXBT 发给了《连线》一份表格,根据他自己的统计,他已在数百次调查直接追回了约 2.1 亿美元的赃款,并间接助力了约 2.25 亿美元赃款的扣押。ZachXBT 还会揭露了各种项目方及 KOL 的 rug 骗局,追踪大型窃案背后的网络犯罪分子,并发现了数十起朝鲜黑客入侵甚至是作为员工潜入某些项目的案件。 在此过程中,ZachXBT 的收入几乎完全来自于加密货币形式的捐助,这些捐款大多来自各种加密货币组织或是陌生人,自 2021 年以来总计约达 130 万美元。与 ZachXBT 合作过的特勤局分析师 Joe McGill 说道:“他是新一代的调查员,他为大众而工作,他的成功完全取决于其工作的成功。” 在 ZachXBT 从事加密货币“义警”的这几年,他一直牢牢地隐藏着自己的真实身份。在互联网上,他的头像就是他的化身 —— 一只穿着又像侦探风衣又像卫衣的鸭嘴兽。为了避免来自窃贼、骗子等诸多潜在“敌人”的报复,ZachXBT 从未公开露面,也没有透露过他的真实姓名或确切年龄,且只同意在《连线》不试图挖掘这些细节的条件下才接受采访。 McGill 回忆表示,在他们早期进行过的一些电话会议中,ZachXBT 不仅会关闭摄像头,甚至还会使用变声程序,有时听起来很高亢,就像是《南方公园》里的人物,有时则会加深声音的音调,让人不禁联想到某些恐怖片里的声音。当时仍就职于数据分析公司 TRM Labs 的 McGill 表示:“起初这非常奇怪,但我尊重他的隐私,因为这个匿名的家伙正在做着真正伟大的工作。” ZachXBT 几乎每周都会揭露多起加密货币诈骗和盗窃,通常比执法机构的工作要快得多,以至于 Five I's 的创始人及加密货币调查员和 Nick Bax 半开玩笑地怀疑他可能是某种机器人。 Bax 笑道:“他就是一台机器。” 去年,他们曾合作追踪了一起窃案, 2021 年一家名为 AnubisDAO 的加密货币项目曾被盗 6000 万美元。Bax 在周六晚上给了 ZachXBT 一份内含 500 多笔交易的清单,每笔交易及其相关地址都需要进行细致的人工分析。Bax 原以为那会让 ZachXBT 至少忙上好几天,但到了第二天下午早些时候,ZachXBT 已经完成了对每一笔交易的审查,并确定了哪些交易与案件相关。 “我震惊了。” Bax 说:“他肯定连续 12 小时都坐在电脑前。” ZachXBT 的许多调查结果都会直接发布在其 X 账户上。随着时间的推移,他的调查结果越来越被执法机构所重视 —— 现在他经常会在公开发布前先与执法机构分享他的发现。这么做的结果是,其调查工作的影响正在变得愈发真实、严肃。 MetaMask 的一名安全研究员,也是 ZachXBT 在各项调查中(包括 2.43 亿美元的窃案)最亲密的合作者之一 Taylor Monahan 表示:“随着 ZachXBT 的影响越来越大,他的言行已经产生了经济影响和法律影响,假如 ZachXBT 现在去发布一个关于某人的帖子,如果内容合理,那个人就会被捕。” 在没有任何正规训练或组织支持的情况下,ZachXBT 是如何做到比执法机构更快、更高效地追踪加密货币安全事件的呢?他自己也不太确定:“这很难回答,我也不知道我为什么擅长做这些。” 在接受《连线》的电话采访时,ZachXBT 将此归因于他愿意全天候工作(毕竟区块链永不停歇)以及对区块链的熟悉,这种熟悉源自于多年来对无数笔交易的钻研。他说道:“你越是深入地钻研区块链,就像你吃饭、睡觉和呼吸那般,随着时间的推移,它就开始变得愈发清晰。你将开始能够捕捉到那些联系。现在我只要看一眼某地址,给我几秒钟时间对其进行剖析,就能告诉你是否属于一个不良行为者。” 除了多年作为加密货币爱好者的经验积累之外,ZachXBT 还披露他自己也曾是一些加密货币安全事件的受害者。大约在 2017 年,ZachXBT 曾天真地购买了价值数千美元的加密货币,这些代币最终普遍因 rug 而大幅贬。“我当时买进时就想,这有望改变世界。所以我一直拿着,从未卖出……最后我成了被骗的那个人。” 到了 2018 年,不仅仅是这些投资都失败了,ZachXBT 使用的一个钱包 Electrum 也被黑了,他又损失了近 15000 美元。 只到那个时候,ZachXBT 才决定回过头重新思考自己的操作。他不再只是简单地购买或持有代币,而是开始对加密货币的链上动向进行分析 —— 几乎所有区块链的地址和交易都是公开可见的 —— ZachXBT 决定看看那些更成功的大型投资者是如何交易的,然后尝试模仿他们的操作。 通过不断地分析链上行为,到了 2020 年,ZachXBT 对追踪加密货币交易已经足够熟悉,能够发现那些普通投资者看不见的隐藏骗局。他看到了某些 KOL 公开向数十万粉丝推广某个加密资产,试图推高其价格,但当 ZachXBT 在链上跟踪其资金后,却发现这些 KOL 实际上紧接着是在不断出售自己的持仓,这似乎是经典的“拉高出货”骗局。ZachXBT 表示:“这么做有些像是在做一个告密者,但我注意到了那些活动,又想到了自己在 2017 年和 2018 年的遭遇,所以就想到了为什么不发一个帖子告诉大家呢?然后这些帖子就开始爆火了。” 那一年的晚些时候,NFT 热潮正式开启,ZachXBT 又开始以类似的方式审查 NFT 项目,如 Bored Bunny 和 Billionaire Dogs Club 等等,以追踪那些流入它们的资金真正去了哪里。当时,一些 NFT 项目仅凭一套小小的卡通 jpg 图片就能筹资数百万美元,他们会承诺给予这些 NFT 各种特权,比如参加独家活动或俱乐部等等。然而,ZachXBT 却通过链上分析看到有些项目实际上只会打散资金并装进自己的口袋,有时 ZachXBT 甚至会发现一些 NFT 项目实际上是另一个早期项目的改头换面,而更早的这些项目已被证明是一场骗局。 在某些情况下,ZachXBT 关于部分 NFT 项目的披露确实可以提醒潜在买家,阻止那些可疑的项目方。但随着时间的推移,ZachXBT 对一次又一次揭露同样的、明显的骗局感到了厌倦,并对事件的普遍结局感到沮丧 —— 在他揭露的 NFT 骗局中,没有一个人面临刑事指控。 到了 2022 年初,ZachXBT 注意到一群黑客开始活跃于 X 之上并发布各种钓鱼链接,这种钓鱼攻击已导致了数千万美元的被盗。每当一个悲痛的受害者发布其积蓄被盗的消息时,ZachXBT 就会与他们联系,然后仔细追踪他们失去的资金。他将这些链上线索与他在 Discord 和 Telegram 频道中发现的线索结合了起来 —— 有些年轻的加密货币黑客喜欢光顾某些频道,ZachXBT 找到了几个青少年的网络账号,他们疑似正在背后进行钓鱼活动,并吹嘘自己的“战绩”。 到了这个时候,ZachXBT 的名声早已响彻黑客业界,以至于某个被 ZachXBT 认为存在嫌疑的人曾在 X 专门发文嘲讽他为“mr xbt”,并炫耀自己刚刚购买的爱彼镶钻腕表。ZachXBT 在一个豪华腕表 Discord 频道中找到了该腕表的卖家,并说服这位以近 50000 美元的价格出售了这块手表的卖家交出了该嫌疑人的送货地址和真实姓名。 没有公开记录显示这名被指控的嫌疑人是否已被捕 —— 因为嫌疑人是未成年人,指控要么正被密封,要么根本未曾提起。不过 ZachXBT 找到的一份赃款没收通知显示, 2022 年 10 月,也就是 ZachXBT 在 X 上公布调查情况的一个月后,FBI 从他指认的未成年嫌疑人那里没收了价值超过 20 万美元的加密资产,包括那块镶钻手表。 同年,ZachXBT 还使用类似的技术追踪了另一起价值 250 万美元的 NFT 被盗案,这些 NFT 系通过不同的网络钓鱼活动窃取,据称是由一对法国黑客所为。在该案例中,法国检察官在几个月后逮捕了五名嫌疑人。根据法新社的报道,检察官特别感谢了 ZachXBT 在 X 上发布的线索帮助他们查到了这两名涉嫌主谋。ZachXBT 就此表示:“看到执法部门根据我分享的信息采取行动,让我很有成就感。这让我觉得,也许我一直在做的事情真的很有意义。” 自 ZachXBT 的调查首次引起执法部门注意的两年后,他的调查规模(在某些情况下也是影响)已经爆炸性增长。2023 年 2 月,ZachXBT 追踪了 Platypus 被盗的近 900 万美元资金,在几个小时内就识别出了其中一个涉嫌嫌疑人,一周后,法国警方逮捕了两名嫌疑人。尽管最终对这对夫妇的指控被撤销,但警方还是追回了几百万美元的赃款,Platypus 专门发文感谢了 ZachXBT。同年晚些时候,ZachXBT 还追踪了 Uranium Finance 的 2500 万美元窃案,其中大部分资金似乎已通过购买稀有万智牌的方式被洗钱。之后,名为 Scattered Spider 的网络犯罪团队曾对拉斯维加斯的 Caesar's Entertainment 发动过勒索软件攻击,据参与此案并接受《连线》采访的其他调查人员回忆,该公司被勒索了 1500 万美元,ZachXBT 协助追踪并追回了其中的 1200 万美元。 大约与此同时,ZachXBT 发表了对 25 起由朝鲜黑客实施的加密货币盗窃的大规模调查结果,涉案资金总计超过 2 亿美元,约 700 万美元已在其协助下被冻结,这其中大约一半的黑客攻击此前从未被公开揭露过。ZachXBT 还另一项调查揭露了一个由大约 30 名朝鲜 IT 工作者组成的网络,他们会渗透到各种科技公司,并接受加密货币付薪。在今年早些时候的一起案例中,其中一名似乎与朝鲜有关的技术人员受雇于 NFT 项目 Munchables,并成功地从该项目窃取了价值 6200 万美元的加密资产。当 ZachXBT 帮助识别并标记这些资金后,多方围堵致使嫌疑人难以变现,最后选择了归还赃款。 即便拥有如此丰富的经历,但当 ZachXBT 在机场收到某位个人受害者被盗 2.43 亿美元的短信提示时,这仍是他追捕过的最大窃案之一。 从机场回家后,ZachXBT 接下来好几天都在继续追踪那些分散的资金,同时还在社交媒体上寻找三个嫌疑人的踪迹,其中两个以 Greavys 和 Box 为名。特别是 Greavys,其真名为 Malone Lam,从他发布的豪宅、钻石腕表、喷气机和跑车(包括一辆兰博基尼 Revuelto 和一辆通常售价超过 300 万美元的帕加尼 Huayra)照片来看,他似乎住在迈阿密。ZachXBT 还看到了一些网红发的帖子,Greavys 给这些网红们送了些 Hermès 手袋,每个手袋价值在 3 万到 5 万美元之间。他还发现了在某家夜店内服务员正举着写有 “WHO WANT A BIRK”的电牌照片,并标注了 Greavys 的名字。 ZachXBT 说:“看起来他们的日常就是聚会和偷钱。” 几天后,他说服了在飞行途中首次向他提供线索的线人,让他发来了一段视频,视频内容是三名似乎参与了盗窃的黑客在共享屏幕。他们不知道的是,其中一名涉案黑客在那次屏幕共享中与另一群朋友也分享了自己的屏幕,又被那其中的一个人录了下来。在 90 分钟的视频中,ZachXBT 多次听到这三名黑客互相称呼对方的真名,其中某个时刻,一名黑客还曾短暂地展示了其 Windows 主页,这也暴露了他的姓氏。 视频甚至捕捉到了黑客们得手后的狂喜反应:“哦,我的天!哦,我的天! 2.43 亿美元!是真的!我要疯了!啊!我们完了!我们完了!我要疯了!你知道这是多少钱吗???” 9 月 18 日下午晚些时候,就在 ZachXBT 的调查开始后不到一个月,Lam 在迈阿密的一个海滨豪宅被捕,他每月为此支付 6.8 万美元的租金。另一名嫌疑人 Box 的真名是 Jeandiel Serrano,他则是在和女友从马尔代夫度假回来的洛杉矶机场被捕。根据检察官的说法,Serrano 被捕时戴着一块价值 50 万美元的手表,在洛杉矶附近住着一栋月租金超过 4 万美元的房子,且在豪车上已消费了 100 万美元。第二天,对 Lam 和 Serrano 的电汇欺诈及洗钱指控被公布。根据法庭文件,两名黑客都向执法人员承认他们参与了多场加密货币窃案,Lam 还承认利用这些赃款购买了不少于 31 辆豪车。 截至目前,这场总额高达 2.43 亿美元的窃案中已有 7900 万美元被扣押或冻结。ZachXBT 希望还能找到更多的资金。检察官表示,即使是在黑客如此挥霍之后,仍有超过 1 亿美元下落不明。 根据公开记录,ZachXBT 指出的第三名嫌疑人似乎住在康涅狄格州,但尚未被控任何罪行。然而,记者 Brian Krebs 指出了一份刑事诉状,描述了一群男子 8 月底(即窃案发生后的四天)曾于康涅狄格州在一对五十多岁夫妇的兰博基尼上劫车,并短暂绑架了他们,因为劫车者“相信受害者的儿子可以接触到大量数字货币” —— 这表明受害者可能是 ZachXBT 指出的第三名嫌疑人的家长。 对 ZachXBT 个人来说,这场调查可能是一个转折点,因为这是他第一次在某起案件中被受害者直接聘用,并因他的有效调查而收到报酬,而非作为志愿者依靠着捐款进行工作。他说他可能会转型做更多的有偿工作,甚至可能成立自己的调查公司。 但 ZachXBT 坚持表示他并不是想通过其调查而致富:“我想要看到资金被扣押,看到资金被归还给受害者,看到罪犯们被逮捕,那就是我的目标,那就是我决心要做的事情。看到我的工作对别人有益,这就是我自豪感的来源。” MetaMask 的 Taylor Monahan 是 ZachXBT 的合作者,他们已经一起进行了数十次调查,她相信 ZachXBT 的行动仍主要出于正义感 —— 这种正义感来自于他曾经也是加密货币世界乱象的受害者,他不希望其他人有同样的遭遇。 Monahan 说道:“他和这个行业中的许多人一样,都曾有过不好的经历,周围的每个人都在说你真倒霉,但他本能地抵触这种现象,想要改变这一状况。”头号“链上侦探”
从受害者到吹哨人
“我要疯了!你知道这是多少钱吗???”