從受害者到吹哨人：探秘幣圈最強偵探ZachXBT的故事

撰文：Andy Greenberg，Wired 編譯：Yangz，Techub News

8 月 19 日，一匿名為 ZachXBT 的二十多歲男子走進機場準備登機回家。至于是哪個機場，真實姓名以及家在哪里，他不愿多說。這時，他在手機上收到了一條鏈上警報，一筆比特幣剛剛被轉(zhuǎn)移到了一家小型加密貨幣交易所。這是他近日持續(xù)監(jiān)控的眾多交易之一，而該警報成功引起了他的興趣，因為這是一筆價值約 60 萬美元的交易，資金套現(xiàn)額度是該交易所一般交易額的 10 倍。

在 ZachXBT 抵達登機口時，又一條警報彈出，提示同一交易所上第二筆交易的價值超過 100 萬美元，而緊接著又是一筆 200 萬美元的交易。于是，ZachXBT 急忙用手機開始追蹤，從一個比特幣地址追溯到了另一個比特幣地址，標記出可疑資金，并爭分奪秒地在飛機起飛和 Wi-Fi 中斷前的半小時內(nèi)尋找這筆資金的來源。在起飛前，他確定了這些資金來自同一錢包，而該錢包持有價值數(shù)億美元的比特幣，自 2012 年以來從未發(fā)生過轉(zhuǎn)移，現(xiàn)在這九位數(shù)的資金正在以任何超 10 年的比特幣 Hodler 都無法接受的交易成本匆忙變現(xiàn)。

在 ZachXBT 看來，這筆資金的快速流動就像是一場巨大的盜竊。事實上，當他仔細核對上述信息后，ZachXBT 懷疑有人從受害者那里竊取了價值約 2.43 億美元的比特幣，而這可能是有史以來針對個人的最大的已知加密貨幣搶劫案。ZachXBT 告訴《WIRED》：「我完全不敢相信這是從個人身上竊取的?！?/p>

當飛機飛到 1 萬英尺以上的高空時，ZachXBT 連上了 Wi-Fi，繼續(xù)追蹤更多被盜資金的流向。盡管盜竊者試圖通過十多個平臺來混淆行蹤，但 ZachXBT 在接下來的幾個小時里成功繪制出了資金流向的分支圖。

當他順著線索找到丟失比特幣的受害者時，ZachXBT 發(fā)現(xiàn)部分資金最初來自現(xiàn)已倒閉的加密貨幣交易所 Genesis。于是，他在 X 上直接給交易所管理員發(fā)送了消息，請他們幫助聯(lián)系受害者，而受害者最終也請 ZachXBT 幫助其追回了被盜資金。

航班降落后，ZachXBT 發(fā)現(xiàn)被盜資金有三條主線，他認為這三條主線分別指向三個可能的罪犯。此外，他還向 X 上的 65 萬多名粉絲發(fā)布了一條消息，指出了正在發(fā)生的盜竊事件。很快，他就收到了一條消息，消息來源稱已掌握了竊賊的身份線索。

在接下來的一周里，ZachXBT 日以繼夜（每次睡眠時間不超過四五個小時）地調(diào)查此案，并定期與執(zhí)法機構(gòu)分享他的調(diào)查結(jié)果，最終確定了這起盜竊案的幕后嫌疑人，包括兩名二十出頭的年輕黑客 Malone Lam 和 Jeandiel Serrano。(ZachXBT 還指認了另一名被指控的黑客，但《WIRED》并未公開此人的姓名，因為此人尚未被逮捕或起訴）。此外，ZachXBT 甚至還獲得了一段黑客在完成盜竊后慶祝的錄像。根據(jù) ZachXBT 在 Instagram 和 TikTok 上的調(diào)查，其中一名嫌疑人在成功盜竊后，在汽車、私人飛機上揮霍了數(shù)百萬美元，且每晚在俱樂部的花費高達 50 萬美元。

在 ZachXBT 手機收到警報后不到一個月，三名嫌疑人中就有兩人落網(wǎng)并受到了刑事指控。而在看到其中一名黑客的照片時，ZachXBT 稱自己感受到了腎上腺素的飆升，但很快這種感覺就過去了?！肝也]有什么特別的成就感，」ZachXBT 說，「我只是把它當作類似案件來處理?！?/p>

人民的加密貨幣私家偵探

如果說追蹤價值 2.5 億美元的盜竊案對 ZachXBT 來說就像是在互聯(lián)網(wǎng)上度過的又一天，那或許是因為他在過去三年里已經(jīng)將自己塑造成了世界上最多產(chǎn)的以加密貨幣為重點的獨立偵探。自 2021 年作為業(yè)余調(diào)查員開始工作以來，他已經(jīng)追蹤了數(shù)十億美元的資金和騙局。根據(jù)他自己的統(tǒng)計，其數(shù)百次的調(diào)查直接幫助追回了價值約 2.1 億美元的加密貨幣犯罪資金，此外，其還間接幫助受害者追回了 2.25 億美元的被盜資金。ZachXBT 斥責了在拉高拋售計劃中推廣各類代幣的 KOL，追捕了大規(guī)模加密貨幣竊案背后的網(wǎng)絡(luò)犯罪分子，并揭露了數(shù)十起朝鮮黑客入侵加密貨幣公司，甚至以員工身份潛入這些公司的事件。

在所有追蹤過程中，ZachXBT 收到的「報酬」幾乎全部來自加密貨幣捐贈，形式包括加密貨幣組織的贈款，以及陌生人向他在社交媒體資料中列出的地址匯款，自 2021 年以來，大約有 130 萬美元。「他是新一代的調(diào)查員。他為人民工作，」曾與 ZachXBT 合作過的特勤局分析師 Joe McGill 說?！杆某晒ν耆c他自身的能力息息相關(guān)」。

然而，在 ZachXBT 從事加密貨幣義警的同時，他也一直戴著面具。在網(wǎng)絡(luò)上，他只以穿著偵探風衣或連帽衫的鴨嘴獸卡通形象示人。為了避免在加密貨幣世界中遭遇眾多敵人和欺詐者的報復，他從不公開露面，也不透露自己的真實姓名或確切年齡，而且只愿意在我不試圖挖掘這些身份細節(jié)的條件下接受采訪。

McGill 回憶道，在他們早期的一些電話會議上，ZachXBT 不僅會關(guān)閉攝像頭，甚至還會使用變聲軟件，有時聽起來像高亢的「南方公園角色」，有時則會加深音調(diào)，讓人聯(lián)想到恐怖片中的聲音?！敢婚_始感覺很奇怪，」當時還在加密貨幣安全公司 TRM Labs 工作的 McGill 表示，「但我尊重他的隱私，因為這位匿名者的工作非常出色。」

此外，加密貨幣調(diào)查員、Five I's公司創(chuàng)始人 Nick Bax 表示，ZachXBT 幾乎每周都會揭露許多加密貨幣犯罪騙局和盜竊行為，其工作速度往往遠遠超過執(zhí)法機構(gòu)，以至于 Bax 曾半開玩笑地評論道：「他就是一臺機器?！?/p>

在去年的一次調(diào)查中，他們合作追蹤了 2021 年一個名為 AnubisDAO 的加密貨幣項目的 6000 萬美元失竊案，作為調(diào)查的一部分，Bax 在一個周六晚上給了 ZachXBT 一份 500 筆交易的清單，每筆交易都需要連同所有相關(guān)的區(qū)塊鏈地址進行人工分析?！肝蚁脒@至少能讓他忙上幾天，」Bax 說。但第二天下午，ZachXBT 就完成了每一筆交易，并確定了哪些交易與盜竊案有關(guān)?！肝液苷痼@，」Bax 說，「他肯定連續(xù) 12 個小時都伏在電腦前?！?/p>

ZachXBT 的許多調(diào)查結(jié)果都會被毫無保留地發(fā)布到他的?X 賬戶上。然而，隨著時間的推移，他的調(diào)查結(jié)果也越來越受到執(zhí)法機構(gòu)的關(guān)注（他現(xiàn)在經(jīng)常在發(fā)布之前與其中一些機構(gòu)分享他的調(diào)查結(jié)果）?！鸽S著 Zach 的勢力越來越大，也帶來了經(jīng)濟和法律后果，」加密貨幣公司 MetaMask 的安全研究員、ZachXBT 在調(diào)查方面最親密的合作者之一 Taylor Monahan 說，「如果 Zach 現(xiàn)在發(fā)布關(guān)于某人的帖子，而且大概率是準確的，那么那人就會被逮捕?！?/p>

從受害者到吹哨人

那么，ZachXBT 是如何在沒有任何正規(guī)培訓或組織支持的情況下，成功超越甚至執(zhí)法部門的專業(yè)加密貨幣調(diào)查人員的呢？其實，連他自己也不太清楚。「這個問題很難回答。我也不知道自己為什么這么厲害，」ZachXBT 在接受 WIRED 電話采訪時說。他認為這是因為他愿意夜以繼日地工作，畢竟加密貨幣市場不會休市，而且多年來他一直在研究這些龐大的交易賬本，因此對加密貨幣區(qū)塊鏈的分析非常熟悉。他說：「你越是關(guān)注區(qū)塊鏈，甚至吃、睡、呼吸都不與其分離，那么，隨著時間的推移，你就會變得越來越敏銳?！埂改憧梢蚤_始發(fā)現(xiàn)這些聯(lián)系，可以查看一個錢包，并在幾秒鐘內(nèi)對其進行剖析，判斷出它是否是一個不良行為者?！?/p>

ZachXBT 說，他對區(qū)塊鏈的熟悉來自于他多年來作為加密貨幣愛好者和交易者的經(jīng)驗，而且他自己也是加密貨幣經(jīng)濟中一些陷阱的受害者。ZachXBT 表示，大約在 2017 年，自己天真地購買了價值數(shù)千美元的代幣，而這些代幣最終都因「Rug Pull」變得分文不值。ZachXBT 說，「我當時買進的時候想的是，『這將改變我的人生』。然后，我堅定持有，從未賣出，」但結(jié)果是，「我是被騙的那個人」。

到 2018 年，ZachXBT 所有投資的代幣都崩了盤，而他使用的加密貨幣錢包 Electrum 也被黑客用惡意軟件攻擊了，損失又多了近 1.5 萬美元。

這時，ZachXBT 決定退一步，重新思考自己的方法。他不再簡單地購買并持有代幣，而是開始分析鏈上數(shù)據(jù)，了解規(guī)模更大、更成功的投資者是如何交易代幣的，并嘗試進行模仿。

到 2020 年，ZachXBT 對追蹤加密貨幣交易已經(jīng)足夠熟悉，能夠發(fā)現(xiàn)普通投資者看不到的正在進行的騙局。他會看到 KOL 向其數(shù)十萬粉絲公開宣傳某種資產(chǎn)，哄抬價格，然后緊接著出售自己持有的資產(chǎn)?！高@更像是吹哨人，」ZachXBT 說，「我會注意到這些活動，然后想，『這讓我想起了我在 2017 年和 2018 年上當?shù)氖隆槭裁床话l(fā)個帖子說說呢？』然后就一發(fā)不可收拾?！?/p>

當年晚些時候，當 NFT 熱潮掀起時，ZachXBT 也開始對 Bored Bunny 和 Billionaire Dogs Club 等 NFT 項目進行類似的審查，以顯示流入這些項目的資金的真正去向。其中一些 NFT 賣家僅憑卡通 .jpg 圖片就籌集到了數(shù)百萬美元，并承諾通過這些圖片創(chuàng)建的 NFT 可以獲得參加獨家活動或俱樂部等特權(quán)。然而，ZachXBT 可通過區(qū)塊鏈分析發(fā)現(xiàn)，這些賣家只是在瓜分和私吞資金。有時，一些新的 NFT 項目實際上只是某個已被證明是騙局的早期項目的另一幅面具。

在一定程度上，ZachXBT 發(fā)布的關(guān)于 NFT 項目方的帖子確實幫助部分買家閉了坑。但隨著時間的推移，ZachXBT 對一次又一次揭露同樣的、往往是透明的騙局感到厭倦，并對缺乏更具體的結(jié)果感到沮喪。在他揭露這些 NFT 騙局后，沒有一人面臨刑事指控。

隨后，在 2022 年初，他開始注意到黑客攻占知名加密貨幣用戶 Twitter 賬戶，并發(fā)布釣魚鏈接，導致數(shù)千萬美元被盜的的現(xiàn)象。每當一名悲痛欲絕的受害者發(fā)帖稱自己的存款被盜，ZachXBT 就會與他們?nèi)〉寐?lián)系，然后一絲不茍地追蹤他們丟失的資金。他將這些區(qū)塊鏈線索與他在年輕黑客們經(jīng)常光顧的 Discord 和 Telegram 頻道中的消息來源結(jié)合起來，找到了幾個時常吹噓自己獲取巨額財富的青少年的賬號。

此時，ZachXBT 已被加密貨幣黑道圈子盯上，某位年輕黑客甚至在 Twitter 帖子中公開對其嘲諷，吹噓自己買了一塊愛彼鑲鉆腕表。而 ZachXBT 也不慣著，緊接著就在一個豪華手表 Discord 頻道中找到了手表賣家，并說服賣家交出這名少年的送貨地址和真實姓名。

然而，似乎沒有公開記錄顯示這些被指控的嫌疑人是否被捕。也許是出于對未成年人保護，這些指控可能被封存了，也可能從未提起訴訟。但 ZachXBT 找到的一份沒收通知顯示，2022 年 10 月，也就是 ZachXBT 在 X 上發(fā)布他的發(fā)現(xiàn)一個月后，聯(lián)邦調(diào)查局從他指認的少年嫌疑人那里沒收了價值 20 多萬美元的加密資產(chǎn)，當然還有那塊鉆石手表。

同年，ZachXBT 使用類似的技術(shù)追蹤到了一起價值 250 萬美元的 NFT 網(wǎng)絡(luò)釣魚盜竊案，而所有證據(jù)指向一對法國黑客。在這起案件中，法國檢察官在幾個月后逮捕了五名嫌疑人，而據(jù)法新社報道，法國檢察官特別感謝了 ZachXBT 的貢獻。「看到執(zhí)法部門根據(jù)我分享的信息采取行動，讓我很有成就感?！筞achXBT 表示，「這讓我覺得，也許我一直在做的事情真的是有意義的」。

在首次獲得執(zhí)法部門關(guān)注后的兩年里，ZachXBT 的調(diào)查規(guī)模爆炸式增長，成果斐然。2023 年 2 月，他追蹤到加密貨幣項目 Platypus 被盜的近 900 萬美元資金，并在數(shù)小時內(nèi)確定了其中一名盜竊者的身份；一周多后，法國警方逮捕了兩名嫌疑人。雖然對這兩人的指控最終被撤銷，但警方追回了數(shù)百萬美元的資金，Platypus 也在推特上向 ZachXBT 表示了感謝。

同年晚些時候，他追蹤了加密貨幣公司 Uranium Finance 的 2500 萬美元失竊案，其中大部分資金似乎是通過購買稀有的 Magic: The Gathering cards 洗錢的。據(jù)參與此案并接受 WIRED 采訪的其他調(diào)查人員稱，當名為 Scattered Spider 的網(wǎng)絡(luò)犯罪團伙對拉斯維加斯的凱撒娛樂公司（Caesar's Entertainment）發(fā)動勒索軟件攻擊，勒索該公司 1500 萬美元時，ZachXBT 協(xié)助追蹤并追回了其中的?1200 萬美元。

大約在同一時間，ZachXBT 還公布了對朝鮮黑客實施的 25 起加密貨幣盜竊案的大量調(diào)查結(jié)果，總盜竊資金超過 2 億美元，其中約 700 萬美元是他幫助凍結(jié)的，而且其中約有一半的黑客行為從未被公開披露過。在這次調(diào)查之后，他又進行了另一次調(diào)查，揭露了一個由大約 30 名朝鮮 IT 人員組成的網(wǎng)絡(luò)，他們潛入科技公司，并以加密貨幣獲得報酬。在其中一起案例中，一名似乎與朝鮮有關(guān)的技術(shù)人員受雇于 NFT 公司 Munchables，并設(shè)法從該公司竊取了 6200 萬美元的加密貨幣資產(chǎn)。當 ZachXBT 幫助識別并標記這些資金時，因變現(xiàn)困難，該黑客干脆直接把錢退了回去。

「你知道那是多少錢嗎？」

即便如此，ZachXBT 8 月 19 日遇上的，單個受害者被竊取 2.43 億美元的事件仍是他追蹤過的最大盜竊案之一。當他乘坐國際航班回到家后，他繼續(xù)跟蹤了這些分支資金好幾天，同時監(jiān)控社交媒體，尋找三名嫌疑人的蹤跡，其中兩名嫌疑人的頭銜是 Greavys 和 Box。尤其是 Greavys（真名為 Malone Lam，似乎居住于邁阿密），發(fā)布并出現(xiàn)在了許多豪華房地產(chǎn)、鉆石手表、私人飛機和跑車的照片中，包括一輛蘭博基尼 Revuelto 和一輛帕加尼 Huayra，后者的售價通常超過 300 萬美元。此外，ZachXBT 還發(fā)現(xiàn)了一些 KOL 發(fā)布的帖子，稱 Greavys 向其贈送了愛馬仕 Birkin 包包（每個價值在 3 萬到 5 萬美元之間）。帖子的配圖顯示，在一家夜總會里，服務員們舉著燈牌，上面寫著「WHO WANT A BIRK」，并標注了 Greavys 的名字。

沒過幾天，ZachXBT 就說服了在飛行途中第一次給他發(fā)私信的那個線人，讓他給他發(fā)送了一段視頻，視頻中是三個似乎參與了盜竊的黑客的屏幕共享。他們不知道，其中一名被指控的黑客在屏幕共享過程中與另一群朋友重新共享了自己的屏幕，而且其中一人似乎還錄制了這段視頻。ZachXBT 說，在這段 90 分鐘的視頻中，三名黑客多次直呼對方的名字。還有一次，三人中的一人還短暫地切回了他的 Windows 主屏幕，顯示了他的姓氏。

這段視頻甚至還捕捉到了這些黑客在完成九位數(shù)盜竊后瘋狂的反應?！窸MG！OMG！2.43 億美元！Yes！」其中一人在錄音中說道?！肝覀兂晒α?！我們成功了！我簡直不敢相信，你知道那是多少錢嗎？」

9 月 18 日下午晚些時候，也就是 ZachXBT 開始調(diào)查還不到一個月的時候，Lam 在邁阿密的一處海濱高檔租房被捕，每月的租金為 68000 美元。而 Box（真名 Jeandiel Serrano）在洛杉磯機場被拘留，當時他正和女友從馬爾代夫度假乘飛機回家。據(jù)檢察官稱，他被捕時戴著一塊價值 50 萬美元的手表，在洛杉磯附近租了一棟月租金超過 4 萬美元的房子，還花了 100 萬美元購入豪車。第二天，針對 Lam 和 Serrano 的電信詐騙和洗錢指控被公布。根據(jù)法庭文件，兩名黑客都曾向執(zhí)法調(diào)查人員供認，他們參與了多起加密貨幣盜竊案。Lam 承認，他們從中獲得的利潤資助他購買了不少于 31 輛豪華汽車。

到目前為止，在他們涉嫌盜竊的 2.43 億美元中，已有 7900 萬美元被扣押或凍結(jié)。ZachXBT 希望還能找到更多的錢。檢察官表示，即使在這些黑客瘋狂消費之后，仍有超過 1 億美元下落不明。

根據(jù)公開記錄，ZachXBT 發(fā)現(xiàn)的第三名嫌疑人似乎住在康涅狄格州，但尚未受到任何犯罪指控。不過，記者 Brian Krebs 指出，一份刑事申訴書描述了在 8 月底 2.43 億美元失竊案發(fā)生四天后，一伙男子涉嫌劫持了康涅狄格州一對五十多歲的夫婦的蘭博基尼跑車，并短暫綁架了他們，計劃從其兒子手中劫取大量加密貨幣資產(chǎn)。也就是說，這名兒子很可能就是 ZachXBT 追蹤到的第三名資金接收者。

對 ZachXBT 來說，這次調(diào)查可能是其職業(yè)生涯的一個轉(zhuǎn)折點。這是他第一次被受害者聘用，并獲得報酬，而不是作為志愿者憑著捐贈而展開調(diào)查。他說，他可能會轉(zhuǎn)型做更多有償工作，甚至成立自己的調(diào)查公司。但他堅持表示自己不會為了財富才開展調(diào)查。「我想看到的是，被盜資金被沒收并歸還，盜竊者被捕落網(wǎng)，這就是我的目標，是我打算做的事情，」ZachXBT 說?！缚吹饺藗儚闹惺芤?，就是我的幸福感源泉」。

已與 ZachXBT 合作開展數(shù)十起調(diào)查的 Taylor Monahan 表示，ZachXBT 在很大程度上是受正義感的驅(qū)使，而這種正義感來自于他自己曾經(jīng)也是加密貨幣世界殘酷行為的受害者，并希望幫助其他人免遭同樣的境遇。「他和這個領(lǐng)域的許多人都有過同樣糟糕的經(jīng)歷，周圍的人都會自認倒霉，」Monahan 說，「但他從內(nèi)心拒絕這種經(jīng)歷。他想改變這種狀況」。