本文來自:《連線》(Wired);原文作者:Andy Greenberg
編譯:Odaily星球日報( @OdailyChina );譯者:Azuma( @azuma_eth )
編按:ZachXBT 可能是加密貨幣世界當下最響亮的名字之一。
過去數年間,ZachXBT 已透過個人調查偵破了大量安全事件,直接追回了數億美元的資金,揭露了無數起暗箱操作及內幕騙局。
最近的案例發生於前天,在Meme 計畫SHAR 意外「躥紅」之後,ZachXBT 曾披露該計畫涉嫌陰謀做局及KOL 操盤。不久後SHAR 原形畢露,背後操盤者直接將該代幣的市值從4,000 萬美元砸至300 萬美元。
在多年的調查工作中,ZachXBT 也招致了不少的敵意,有人憎恨他揭穿了自己心愛的部位,心想沒有他的話莊家或許不會這麼早收割;有人陰謀佈局良久,卻在得手之際被他赤裸裸地揭穿;有人本已盜走上億資金,正在揮金如土地享受奢靡生活,轉瞬卻被ZachXBT 的調查送進了局子。
出於對潛在報復的擔憂,ZachXBT 在網路上隱去了姓名,沒人知道他長什麼樣子?叫什麼?多大?住在哪裡?但業界幾乎已經形成了普遍共識—— 當災禍降臨己身之時,這隻「四眼鴨嘴獸」(ZachXBT 的社群媒體頭像)就像是披灑著聖光的天使。
近日,ZachXBT 罕見地接受了知名媒體《連線》的專訪,在訪談中ZachXBT 更是罕見地提到了一些不至於暴露身分的個人資訊。以下為《連線》專訪的原文內容,由Odaily 星球日報編譯。
8 月19 日,一位網名為ZachXBT 的20 多歲男子正走進機場準備搭乘回家的航班—— 他不願透露是哪一座機場,他的真名是什麼,家在哪裡—— 這時他看到手機上跳出一條了警報。一筆比特幣剛剛被轉移到了一家小型交易所,這是他日常監控的許多交易所之一,目的是為了尋找各種犯罪或洗錢的跡象。這項警報引起了ZachXBT 的興趣,該筆轉帳的總價值約為60 萬美元,是這家小交易所常規轉帳的10 倍左右。
當ZachXBT 到達登機口時,另一個警報又來了,同一交易所又發生了第二筆價值超過100 萬美元的轉賬,接著又來了一筆200 萬美元……當ZachXBT 排隊登機時,他快速地手機上追蹤這些交易,從一個又一個比特幣地址回溯,標記可疑資金,試圖在飛機起飛到機載Wi-Fi 啟動之間的半小時斷網時間來臨前找出可疑資金的來源。在起飛之前,ZachXBT 已經確定這些資金來自一個自2012 年以來一直持有價值數億美元比特幣的地址—— 現在這筆高達九位數的資金正在不計成本地匆忙變現,任何一個具備耐心且持倉超過十年的比特幣投資者都不可能如此操作。
在ZachXBT 看來,這些異常的轉帳很明顯就是又一起巨額竊案。當他再次仔細檢查自己的線索時,他發現似乎有人從某個不幸的受害者處盜走了約2.43 億美元的比特幣,這可能是加密貨幣歷史上針對個人的最大竊案。
ZachXBT 告訴《連線》: “從一個人手中偷走了這麼多錢……我必須確保自己沒有發瘋。”
當飛機攀升至一萬英尺以上,機載Wi-Fi 啟動之後,ZachXBT 開始進一步追蹤被盜資金的動向,因為它們正在透過一個又一個交易所和代幣兌換服務平台進行轉移。在接下來的幾個小時內,ZachXBT 加速繪製出了資金流動的分佈圖—— 竊賊之所以會透過十幾個平台頻繁轉移代幣,顯然是為了混淆交易路徑。
當ZachXBT 沿著線索追溯到失主後,他發現部分資金最初來自現已倒閉的加密貨幣交易所Genesis。 ZachXBT 在X 上直接給該交易所的管理員發了訊息,請他們幫忙聯繫受害者,最終受害者決定僱用ZachXBT 來嘗試追回被盜資金。
當航班降落時,ZachXBT 已經發現了這場竊案的三個主要線索—— 三個線索分別指向三個可能的罪犯。 ZachXBT 還在X 上向其65 萬名粉絲發了訊息,指出了這支鏈上正在發生的盜竊。很快,他就收到了一條訊息,消息來源聲稱掌握了竊賊的身份線索。
在接下來的一週裡,ZachXBT 夜以繼日的工作,每晚的睡眠時間不超過四、五個小時,也會定期與執法機構分享其發現。最終,ZachXBT 確認了這場盜竊的嫌疑犯—— 兩名年輕的駭客Malone Lam 和Jeandiel Serrano,兩人都才20 歲出頭—— ZachXBT 還確認了另一名涉案涉嫌人,但Wired 選擇不公開其姓名,因為該嫌疑人尚未被逮捕或起訴。
ZachXBT 甚至還查到了一段影片錄影,錄影的內容為涉案駭客們得手後在慶祝這筆巨大的意外之財。在這場極速調查中,ZachXBT 甚至還追蹤了竊賊的Instagram 和TikTok 上帳號,看到了其中一人在豪車、私人飛機和夜店方面豪擲數百萬美元—— 涉案嫌疑人一晚曾在某家夜店消費高達50 萬美元。
從登機前的警報響起,到三名嫌疑人中的兩人被捕並被刑事指控,前後不到一個月。 ZachXBT 提到,當他看到其中一名涉案駭客的臉部照片時,他曾感覺到了短暫的腎上腺素激增,但這種感覺很快就過去了。
“我並沒有真正感到任何特別的成就感,我只是把它當作其他案件一樣來對待。”
頭號“鏈上偵探”
如果對ZachXBT 來說,追蹤一起價值2.43 億美元的竊案就像是普普通通的一天,那可能是因為在過去的三年中,他已經成為了為加密貨幣世界中最多產、最知名的鏈上偵探。自2021 年開始進行業餘調查以來,ZachXBT 已經追蹤了總額高達數十億美元的被盜資金及詐騙行為。 ZachXBT 發給了《連線》一份表格,根據他自己的統計,他已在數百次調查直接追回了約2.1 億美元的贓物款,並間接助力了約2.25 億美元贓物款的扣押。 ZachXBT 也會揭露了各種計畫方及KOL 的rug 騙局,追蹤大型竊案背後的網路犯罪分子,並發現了數十起北韓駭客入侵甚至是作為員工潛入某些計畫的案件。
在這個過程中,ZachXBT 的收入幾乎完全來自於加密貨幣形式的捐助,這些捐款大多來自各種加密貨幣組織或是陌生人,自2021 年以來總計約130 萬美元。與ZachXBT 合作過的特勤局分析師Joe McGill 說:“他是新一代的調查員,他為大眾而工作,他的成功完全取決於其工作的成功。”
在ZachXBT 從事加密貨幣「義警」的這幾年,他一直牢牢地隱藏著自己的真實身分。在網路上,他的頭像就是他的化身── 一隻穿著又像偵探風衣又像衛衣的鴨嘴獸。為了避免來自竊賊、騙子等諸多潛在「敵人」的報復,ZachXBT 從未公開露面,也沒有透露過他的真實姓名或確切年齡,且只同意在《連線》不試圖挖掘這些細節的條件下才接受採訪。
McGill 回憶表示,在他們早期進行過的一些電話會議中,ZachXBT 不僅會關閉攝像頭,甚至還會使用變聲程序,有時聽起來很高亢,就像是《南方公園》裡的人物,有時則會加深聲音的音調,讓人不禁聯想到某些恐怖片裡的聲音。當時仍就職於數據分析公司TRM Labs 的McGill 表示:“起初這非常奇怪,但我尊重他的隱私,因為這個匿名的傢伙正在做著真正偉大的工作。”
ZachXBT 幾乎每週都會揭露多起加密貨幣詐騙和盜竊,通常比執法機構的工作要快得多,以至於Five Is 的創始人及加密貨幣調查員和Nick Bax 半開玩笑地懷疑他可能是某種機器人。
Bax 笑道: “他就是一台機器。”
去年,他們曾合作追蹤了一起竊案, 2021 年一家名為AnubisDAO 的加密貨幣計畫曾被竊6,000 萬美元。 Bax 在周六晚上給了ZachXBT 一份內含500 多筆交易的清單,每筆交易及其相關地址都需要進行細緻的人工分析。 Bax 原以為那會讓ZachXBT 至少忙上好幾天,但到了第二天下午早些時候,ZachXBT 已經完成了對每一筆交易的審查,並確定了哪些交易與案件相關。
“我震驚了。” Bax 說:“他肯定連續12 小時都坐在電腦前。”
ZachXBT 的許多調查結果都會直接發佈在其X 帳戶上。隨著時間的推移,他的調查結果越來越被執法機構所重視—— 現在他經常在公開發布前先與執法機構分享他的發現。這麼做的結果是,其調查工作的影響力正在變得愈發真實、嚴肅。
MetaMask 的一名安全研究員,也是ZachXBT 在各項調查中(包括2.43 億美元的竊案)最親密的合作者之一Taylor Monahan 表示:「隨著ZachXBT 的影響越來越大,他的言行已經產生了經濟影響和法律影響,假如ZachXBT 現在去發布一個關於某人的帖子,如果內容合理,那個人就會被捕。
從受害者到吹哨人
在沒有任何正規訓練或組織支持的情況下,ZachXBT 是如何做到比執法機構更快、更有效率地追蹤加密貨幣安全事件的呢?他自己也不太確定:“這很難回答,我也不知道我為什麼擅長做這些。”
在接受《連線》的電話採訪時,ZachXBT 將此歸因於他願意全天候工作(畢竟區塊鏈永不停歇)以及對區塊鏈的熟悉,這種熟悉源自於多年來對無數筆交易的鑽研。他說: 「你越是深入地鑽研區塊鏈,就像你吃飯、睡覺和呼吸那般,隨著時間的推移,它就開始變得愈發清晰。你將開始能夠捕捉到那些聯繫。現在我只要看一眼某個地址,給我幾秒鐘時間對其進行剖析,就能告訴你是否屬於一個不良行為者。
除了多年作為加密貨幣愛好者的經驗累積之外,ZachXBT 還披露他自己也曾是一些加密貨幣安全事件的受害者。大約在2017 年,ZachXBT 曾天真地購買了價值數千美元的加密貨幣,這些代幣最終普遍因rug 而大幅貶損。 “我當時買進時就想,這有望改變世界。所以我一直拿著,從未賣出……最後我成了被騙的那個人。”
到了2018 年,不只是這些投資都失敗了,ZachXBT 使用的一個錢包Electrum 也被駭了,他又損失了將近15,000 美元。
只到那個時候,ZachXBT 才決定回頭重新思考自己的操作。他不再只是簡單地購買或持有代幣,而是開始對加密貨幣的鏈上動向進行分析—— 幾乎所有區塊鏈的地址和交易都是公開可見的—— ZachXBT 決定看看那些更成功的大型投資者是如何交易的,然後嘗試模仿他們的操作。
透過不斷分析鏈上行為,到了2020 年,ZachXBT 對追蹤加密貨幣交易已經足夠熟悉,能夠發現那些普通投資者看不見的隱藏騙局。他看到了某些KOL 公開向數十萬粉絲推廣某個加密資產,試圖推高其價格,但當ZachXBT 在鏈上跟踪其資金後,卻發現這些KOL 實際上緊接著是在不斷出售自己的持倉,這似乎是經典的「拉高出貨」騙局。 ZachXBT 表示:「這麼做有些像是在做一個告密者,但我注意到了那些活動,又想到了自己在2017 年和2018 年的遭遇,所以就想到了為什麼不發一個帖子告訴大家呢?然後這些貼文就開始爆火了。
那一年的晚些時候,NFT 熱潮正式開啟,ZachXBT 又開始以類似的方式審查NFT 項目,如Bored Bunny 和Billionaire Dogs Club 等等,以追蹤那些流入它們的資金真正去了哪裡。當時,一些NFT 項目僅憑一套小小的卡通jpg 圖片就能籌資數百萬美元,他們會承諾給予這些NFT 各種特權,例如參加獨家活動或俱樂部等等。然而,ZachXBT 卻透過鏈上分析看到有些項目實際上只會打散資金並裝進自己的口袋,有時ZachXBT 甚至會發現一些NFT 項目實際上是另一個早期項目的改頭換面,而更早的這些項目已被證明是一場騙局。
在某些情況下,ZachXBT 關於部分NFT 專案的揭露確實可以提醒潛在買家,阻止那些可疑的專案方。但隨著時間的推移,ZachXBT 對一次又一次揭露同樣的、明顯的騙局感到了厭倦,並對事件的普遍結局感到沮喪—— 在他揭露的NFT 騙局中,沒有一個人面臨刑事指控。
到了2022 年初,ZachXBT 注意到一群駭客開始活躍於X 之上並發佈各種釣魚鏈接,這種釣魚攻擊已導致了數千萬美元的被盜。每當一個悲痛的受害者發布其積蓄被盜的消息時,ZachXBT 就會與他們聯繫,然後仔細追蹤他們失去的資金。他將這些鏈上線索與他在Discord 和Telegram 頻道中發現的線索結合了起來—— 有些年輕的加密貨幣黑客喜歡光顧某些頻道,ZachXBT 找到了幾個青少年的網絡帳號,他們疑似正在背後進行釣魚活動,並吹噓自己的「戰績」。
到了這個時候,ZachXBT 的名聲早已響徹黑客業界,以至於某個被ZachXBT 認為存在嫌疑的人曾在X 專門發文嘲諷他為“mr xbt”,並炫耀自己剛剛購買的愛彼鑲鑽腕錶。 ZachXBT 在一個豪華腕錶Discord 頻道中找到了該腕錶的賣家,並說服這位以近50000 美元的價格出售了這塊手錶的賣家交出了該嫌疑人的送貨地址和真實姓名。
沒有公開記錄顯示這名被指控的嫌疑人是否已被捕—— 因為嫌疑人是未成年人,指控要么正被密封,要么根本未曾提起。不過ZachXBT 找到的一份贓物款沒收通知顯示, 2022 年10 月,也就是ZachXBT 在X 上公佈調查情況的一個月後,FBI 從他指認的未成年嫌疑人那裡沒收了價值超過20 萬美元的加密資產,包括那塊鑲鑽手錶。
同年,ZachXBT 也使用類似的技術追蹤了另一起價值250 萬美元的NFT 被盜案,這些NFT 系透過不同的網路釣魚活動竊取,據稱是由一對法國駭客所為。在該案例中,法國檢察官在幾個月後逮捕了五名嫌疑犯。根據法新社的報道,檢察官特別感謝了ZachXBT 在X 上發布的線索幫助他們查到了這兩名涉嫌主謀。 ZachXBT 就此表示:“看到執法部門根據我分享的信息採取行動,讓我很有成就感。這讓我覺得,也許我一直在做的事情真的很有意義。”
自從ZachXBT 的調查首次引起執法部門注意的兩年後,他的調查規模(在某些情況下也是影響)已經爆炸性增長。 2023 年2 月,ZachXBT 追蹤了Platypus 被盜的近900 萬美元資金,在幾個小時內就識別出了其中一個涉嫌嫌疑人,一周後,法國警方逮捕了兩名嫌疑人。儘管最終對這對夫婦的指控被撤銷,但警方還是追回了幾百萬美元的贓物,Platypus 專門發文感謝了ZachXBT。同年晚些時候,ZachXBT 還追蹤了Uranium Finance 的2500 萬美元竊案,其中大部分資金似乎已通過購買稀有萬智牌的方式被洗錢。之後,名為Scattered Spider 的網路犯罪團隊曾對拉斯維加斯的Caesars Entertainment 發動勒索軟體攻擊,據參與此案並接受《連線》採訪的其他調查人員回憶,該公司被勒索了1500 萬美元,ZachXBT 協助追蹤並追回了其中的1,200 萬美元。
大約與此同時,ZachXBT 發表了對25 起由北韓駭客實施的加密貨幣盜竊的大規模調查結果,涉案資金總計超過2 億美元,約700 萬美元已在其協助下被凍結,這其中大約一半的駭客攻擊先前從未被公開揭露過。 ZachXBT 也另一項調查揭露了一個由大約30 名北韓IT 工作者組成的網絡,他們會滲透到各種科技公司,並接受加密貨幣付薪。在今年稍早的一起案例中,其中一名似乎與北韓有關的技術人員受僱於NFT 專案Munchables,並成功地從該專案竊取了價值6,200 萬美元的加密資產。當ZachXBT 幫助識別並標記這些資金後,多方圍堵致使嫌疑人難以變現,最後選擇了歸還贓物。
“我要瘋了!你知道這是多少錢嗎???”
即便擁有如此豐富的經歷,但當ZachXBT 在機場收到某位個人受害者被盜2.43 億美元的簡訊提示時,這仍是他追捕過的最大竊案之一。
從機場回家後,ZachXBT 接下來好幾天都在繼續追蹤那些分散的資金,同時還在社群媒體上尋找三個嫌疑人的蹤跡,其中兩個以Greavys 和Box 為名。特別是Greavys,其真名為Malone Lam,從他發布的豪宅、鑽石腕錶、噴氣機和跑車(包括一輛蘭博基尼Revuelto 和一輛通常售價超過300 萬美元的帕加尼Huayra)照片來看,他似乎住在邁阿密。 ZachXBT 還看到了一些網紅發的帖子,Greavys 給這些網紅們送了些Hermès 手袋,每個手袋價值在3 萬到5 萬美元之間。他還發現了某家夜店內服務員正舉著寫有「WHO WANT A BIRK」的牌照片,並標註了Greavys 的名字。
ZachXBT 說:“看起來他們的日常就是聚會和偷錢。”
幾天后,他說服了在飛行途中首次向他提供線索的線人,讓他發來了一段視頻,視頻內容是三名似乎參與了盜竊的黑客在共享屏幕。他們不知道的是,其中一名涉案駭客在那次螢幕分享中與另一群朋友也分享了自己的螢幕,又被那其中的一個人錄了下來。在90 分鐘的影片中,ZachXBT 多次聽到這三名駭客互相稱呼對方的真名,其中某個時刻,一名駭客還曾短暫地展示了其Windows 主頁,這也暴露了他的姓氏。
影片甚至捕捉了黑客們得手後的狂喜反應:「哦,我的天!哦,我的天!2.43 億美元!是真的!我要瘋了!啊!我們完了!我們完了!我要瘋了!
9 月18 日下午晚些時候,就在ZachXBT 的調查開始後不到一個月,Lam 在邁阿密的一個海濱豪宅被捕,他每月為此支付6.8 萬美元的租金。另一名嫌疑犯Box 的真名是Jeandiel Serrano,他則是和女友從馬爾地夫度假回來的洛杉磯機場被捕。根據檢察官的說法,Serrano 被捕時戴著一塊價值50 萬美元的手錶,在洛杉磯附近住著一棟月租金超過4 萬美元的房子,且在豪車上已消費了100 萬美元。第二天,對Lam 和Serrano 的電匯詐欺及洗錢指控被公佈。根據法庭文件,兩名駭客都向執法人員承認他們參與了多場加密貨幣竊案,Lam 也承認利用這些贓物購買了不少於31 輛豪華汽車。
截至目前,這場總額高達2.43 億美元的竊案中已有7,900 萬美元被扣押或凍結。 ZachXBT 希望還能找到更多的資金。檢察官表示,即使在駭客如此揮霍之後,仍有超過1 億美元下落不明。
根據公開記錄,ZachXBT 指出的第三名嫌疑人似乎住在康乃狄克州,但尚未被控任何罪行。然而,記者Brian Krebs 指出了刑事訴狀,描述了一群男子8 月底(即竊案發生後的四天)曾於康涅狄格州在一對五十多歲夫婦的蘭博基尼上劫車,並短暫綁架了他們,因為劫車者「相信受害者的兒子可以接觸到大量數位貨幣」 —— 這表明受害者可能是ZachXBT 指出的第三名嫌疑人的家長。
對ZachXBT 個人來說,這場調查可能是一個轉捩點,因為這是他第一次在某起案件中被受害者直接聘用,並因他的有效調查而收到報酬,而非作為志願者依靠著捐款進行工作。他說他可能會轉型做更多的有薪工作,甚至可能成立自己的調查公司。
但ZachXBT 堅持表示他並不是想透過其調查而致富:「我想要看到資金被扣押,看到資金被歸還給受害者,看到罪犯們被逮捕,那就是我的目標,那就是我決心要做的事情。
MetaMask 的Taylor Monahan 是ZachXBT 的合作者,他們已經一起進行了數十次調查,她相信ZachXBT 的行動仍主要出於正義感—— 這種正義感來自於他曾經也是加密貨幣世界亂象的受害者,他不希望其他人有同樣的遭遇。
Monahan 說:「他和這個行業中的許多人一樣,都曾有過不好的經歷,周圍的每個人都在說你真倒霉,但他本能地抵觸這種現象,想要改變這一狀況。 」
