主页 > imtoken下载正版 > BTC“破劫案”真相大白,“数字侦探”尼尔森历时三年追查全盘
BTC“破劫案”真相大白,“数字侦探”尼尔森历时三年追查全盘
ChainDD App Note:2018年8月25日,日本交易所Mt.Gox开通债权人申请系统温州一超市遭比特币勒索病毒攻击,债权人有望获得BTC补偿。这使第一起比特币盗窃案重新成为人们关注的焦点。
MT.Gox的中文翻译也叫门头沟。它的总部设在日本东京。早在2010年就开始参与比特币交易,是最早参与这项业务的平台之一。比特币交易量一度占全球的80%。2014 年 2 月,MT.Gox 宣布停止交易并随后申请破产,这是其崩溃的直接原因:总共 744,000 比特币因黑客行为被盗,而这一损失多年来一直未被发现,除了交易所 75 除了 10000 个比特币外,门头沟表示平台本身的 100000 个比特币也被盗,总共被盗 850000 个比特币。
一时间,对于MT.Gox事件众说纷纭。该官员表示,主要原因是黑客攻击,但一些分析人士认为,交易所本身是在自卫。但最终的受害者仍然是在 MT.Gox 事件中丢失比特币的用户。
MT.Gox 事件的受害者之一 Kim Nilsson 从 2014 年的比特币盗窃案开始了为期三年的调查研究,长期密切关注 MT.Gox 事件,并成立了一家 WizSec 公司分析被盗的比特币。他认为,“门头沟”被盗的比特币已经转了好几圈,大部分都去了BTC-e交易所。本文编译自《华尔街日报》,从 MT.Gox 事件开始,还原 Kim Nilsson 对比特币盗窃案的三年调查。
MT.Gox 交易所发生的一起奇怪的比特币盗窃案
Kim Nilsson 在寻找 Mt. Gox 盗窃真相的过程中只能做最基本的事情
故事从一个奇怪的比特币盗窃开始。
2014 年,生活在日本的普通软件工程师 Kim Nilsson 愤怒地坐在电脑前。
他发现他名下的比特币无法从 MT.Gox 交易所提取。明明是故意犯罪,但当时警方也无能为力,因为在这种情况下,警方甚至都无法理解到底是怎么回事,更别说修复了。
Nilsson 丢失的比特币本应存放在宣布破产的比特币交易所 Mt. Gox 中。交易所丢失了价值超过 4 亿美元的比特币,这让数百名投资者感到失望,甚至伤心欲绝。
与许多受害者不同,尼尔森决心反击,与一名律师和另一位比特币损失的受害者合作,追查比特币失踪的细节。去年夏天,他们为期三年的网络跟踪在希腊的一个海滩上结束了。在一座拥有千年历史的修道院中,联邦调查局特工逮捕了一名俄罗斯男子,并指控他使用比特币洗钱,以最近的交易所交易价格计算,估计价值约为 40 亿美元。这是加密货币短暂历史上涉及金额最大的最大刑事案件。
从比特币的坚定拥护者到网络侦探,尼尔森与比特币的亲密接触,是一部浓缩的加密数字货币发展史。随着近几年市值和应用的爆炸式增长,整个行业在混乱中走向成熟。尼尔森揭露的价值数十亿美元的网络盗窃和洗钱案发生在比特币世界。MT.Gox 事件向我们展示了这个没有警察和政府控制的数字荒地对投资者来说是多么危险。
Nilsson 将他的工作称为“区块链考古”,这已成为一种职业。现在有大量针对数字货币的私人调查公司,追踪资金流向,并为大型银行、交易所和执法机构等机构调查可能的网络犯罪活动。这些公司拥有自己的数字货币调查员,为包括 FBI、CIA 和美国国税局 (IRS) 在内的客户提供服务。
比特币问世约九年后,在其最高价格时,被盗比特币的总市值超过 150 亿美元,其中许多来自导致 Mt. Gox 倒闭的事件。该统计数据不包括未公开的被盗比特币,以及涉及其他非法活动的比特币,例如转售被盗信用卡或黑客付款。
比特币让金融界兴奋不已,因为它有望成为一个去中心化的匿名支付系统,使银行成为过时的历史遗迹。但它面临着许多威胁,盗窃只是冰山一角。
只要用户在收集详细用户数据并将其提供给政府调查人员的大型集中式交易所进行交易,匿名是不可能的。在投机者的推动下,比特币的价格出现了巨大的波动,这使得比特币成为一种风险投资,无法成为真正的货币。
犯罪随之而来。由于政府监管很少,也无法撤销比特币教育,小偷们创造了新的方法,不仅可以深入交易所的核心,还可以使用比特币来促进各种诈骗。网络安全研究人员指出,窃贼窃取信用卡并转售以换取比特币,而包括一些朝鲜人在内的一些黑客窃取了用户数据和比特币赎金。监管机构现在希望适用于传统投资的相同法规将适用于比特币。
对于像尼尔森这样的真正信徒来说,这意味着比特币的垮台。
金尼尔森的反击方式
36 岁的 Nilsson 拥有瑞典国籍,目前在日本东京一栋狭窄的高层建筑中生活和工作。与其他日本数字货币爱好者一样,当人们涌向比特币时,他们正沉浸在金融危机后的乐观情绪中。比特币由一个或多个化名中本聪的神秘程序员创建,仅存在于互联网上,是称为区块链的数字账本上的一系列代码。它是主流金融体系之外的一个异化之地。
区块链是由全球数千台计算机维护的账本。基于它的交易是公开可见的,但交易者并不那么透明。这种安排确保用户不能重复使用同一个比特币购买和支付商品或服务。比特币可以在字母和数字的“地址”之间移动,但这些地址背后的钱包持有者仍然不可见。
理论上,这个过程是去中心化的,每个钱包持有者都有责任密切关注加密货币的动向。银行或信用卡发行商等受信任的中介不需要确保交易所是合法的,区块链已经为他们做到了。
在现实世界中,许多比特币交易是由交易所促成的,而不是区块链的直接用户。虽然交易所的功能类似于传统金融机构,但它们大多不受政府监管。他们连接买卖双方,并使用在线账户来持有双方的数字货币。这些账户和交易所收集的信息很容易受到黑客攻击。
总部位于东京的 Mt.Gox 是第一个遭受这场灾难的交易所,也是当时交易量最大的交易所。它提供了一个买卖比特币的平台,同时保留了一个受密码保护的数字钱包,供用户存储比特币。2012 年,尼尔森从朋友那里购买了他的第一个比特币。一年后,他在 Mt. Gox 购买了比特币,积累了少量。
Nilsson 下巴留着小胡子,习惯穿黑色衣服,看起来像是 1990 年代的黑客或摇滚乐队 Rush 音乐会的粉丝。他在东京断断续续地生活了大约十年。
Mt. Gox 不知道买家的身份,因此惹上麻烦。2011年,一些黑客获得了私钥,开始从网上钱包中盗取比特币,四年内盗取了约63万枚比特币。
Mt. Gox 的所有者 Mark Karpelès 是一位居住在东京的法国移民,他试图掩盖比特币盗窃案,到 2014 年初,他再也无法隐瞒。Mt. Gox 被迫暂停提款并申请破产。
这是比特币短暂历史上最大的盗窃案,数百名交易所用户成为受害者。一名加州男子损失了大约 40,000 美元,芝加哥的一名投资者损失了超过 50,000 美元。曾在纽约布鲁克林求学后定居台湾的律师凯尔曼损失了 44.5 个比特币,按当前市价计算约为 400,000 美元。他后来访问了东京,希望能抓住比特币小偷。
在东京摩天大楼的一家酒吧,律师 Kelman 在比特币内部人士组织的派对上遇到了夏威夷人 Jason Maurice。莫里斯是尼尔森的同事,头发蓬松,尼尔森给他起了绰号“魔术师”。这些编程人才被召集在一起,希望能解决 Mt. Gox 事件。
在莫里斯经常光顾的汉堡连锁店 Teddy's Bigger Burger 共进晚餐时,该小组认真讨论了这个问题,并提出了一个计划,试图找到被盗的比特币并将其变成一项业务。
“你知道那些关于前总统肯尼迪遇刺的纪录片吗?20 年后你见过他们(肇事者)吗?我们将在 20 年后变成那样,”凯尔曼记得告诉他的合伙人。
Nilsson、Kelman 和 Maurice 将公司命名为 WizSec。一半的名字来自莫里斯的绰号,还有一部分来自“比特币安全顾问”的口号。然而,该公司从未真正运营过。
“很快就变成了,就技术而言,我是唯一一个赤裸裸的指挥官,”尼尔森说。他既没有投资新技术的资金,也没有办公室,所以他在东京中央区郊区的一栋高层建筑中使用了自己的工作。该住宅,调查是在约60平方米的公寓内进行的。
Nilsson 只是一台由他在网上订购的零件组装而成的家用电脑,而这台电脑的最初用途只是玩电子游戏,根本没有足够的计算能力来有效搜索比特币区块链,耗时的搜索基本上需要整个夜晚。
相反,尼尔森开发了一个程序来索引区块链,这使他能够快速搜索每笔交易的输入、输出和地址。尽管模式已经出现,但它们很难破译,因为区块链无法识别每笔交易背后的人,并且没有可以将区块链地址与真实人联系起来的在线“黄页”。
然而幸运的是,它再次发生,促使尼尔森继续前进。
Mt.Gox 交易所数据库的部分内容被泄露,其中一些在互联网上,另一些则泄露给了记者。Nilsson 获得了泄露的数据,其中包括交易、取款、存款和用户余额的私人记录。
2014年5月,另一位程序员发布了对泄露信息的分析,发现该交易账户正在以一种看似“自动机器人”的方式购买比特币,并以此支持Mt.Gox交易所设置的比特币。硬币价格。
通过查看泄露的数据报告,Nilsson 意识到他可以使用这个数据库来计算 Mt. Gox 丢失了多少比特币,因为他可以找到与交易相关的每个比特币钱包,然后跟踪他们的交易。
调查塑造了尼尔森的生活,当时他白天还在做全职工作,晚上在三台电脑屏幕前喝零可乐,一个处理代码,一个使用电子表格记录关键信息温州一超市遭比特币勒索病毒攻击,还有一个用于写作调查笔记。
经过几个月的努力,Nilsson 获得了近 200 万个与 Mt.Gox 交易所相关的地址。但是,他不知道这些地址是谁使用的,或者用于什么目的。因此,他需要知情人的帮助。
当时,日本执法部门也在调查 Mt. Gox,其主管 Karpelès 先生一直保持低调,而 Kelman 已经通过消息程序 Internet Relay Chat (IRC) 知道 Karpelès 与比特币有过接触渠道。凯尔曼说:
“有一天,我上了 IRC,开始指责马克挪用公款。”
为了迅速拉开距离,卡佩莱斯同意在一家汉堡餐厅与尼尔森和凯尔曼会面。Nilsson 带来了整理好的账户信息,Karpelès 确认并帮助他们了解了完整的 Mt.Gox 地址。Nilsson 和 Kelman 透露,Karpelès 也告诉了他们一些事情,但可能需要稍后公布:Mt. 的可疑交易掩盖了这一点。
Karpelès 拒绝对此事发表评论,也拒绝承认从 Mt.Gox 挪用资金。
Nilsson 分析了大约数千个剩余的数字钱包,并确认 Mt. Gox 应该有大约 900,000 个比特币,而不是披露的 200,000 个比特币。不仅如此,他早在 2011 年就已经发现了比特币盗窃案,但不确定 Mt. Gox 是否知道这件事。2015 年,尼尔森在一篇博文中写道:“从技术上讲,Mt. Gox 实际上在 2012 年就破产了。”
在将比特币留给其他加密货币交易所(一些以现金出售)后,尼尔森仍然没有弄清楚是谁偷了比特币或卖掉了它们,但他仍在追踪这一点。
2015 年 4 月,Nilsson 在 WizSec 博客上发布了调查结果,并希望获得更多额外信息。他概述了他所知道的一些事情,并声称除了 Karpelès 以外的人一定偷了 Mt. Gox 的比特币。在那篇文章的结尾,尼尔森问了一个问题:“这到底是谁干的?”
不久之后,他得到了意想不到的消息。美国国税局调查员加里奥尔福德指控暗网“丝绸之路”的所有者涉嫌参与非法比特币交易。暗网丝绸之路,一个可以使用比特币购买毒品和武器的在线平台,是有史以来最大的与比特币相关的起诉书。Gary Alford 调查了所有与丝绸之路相关的比特币交易,而 Nilsson 正在寻找在 Mt.Gox 丢失的比特币。
当然,尼尔森和加里·奥尔福德似乎并没有走上“同一条道路”,因为尼尔森进入比特币行业的部分原因是他想摆脱监管机构的束缚,他说:“显然,在我们的圈子里,与美国,与国税局打交道是一种耻辱,而税务员不是我们所尊敬的那种机构。”
然而,凯尔曼和尼尔森认为,美国政府可以提供更广泛的服务,以及大量的资金和技术。凯尔曼补充说:“这就像一条单行道,我们给了他们一切,加里·奥尔福德只提供了一些保证,保证他们走在正确的轨道上。”
Kim Nilsson、Jason Maurice 和创立在线研究公司的律师 Daniel Kelman 正在 Mt. Gox 所有者 Mark Karpelès 东京家的厨房里准备苹果派。摄影师:马克·卡佩莱斯
“WME”和“BTC-E”
Nilsson 披露了流出 Mt.Gox 的部分比特币的下落,包括流向其他加密货币交易所的比特币,例如 BTC-E。之后,他又发现了一些其他意想不到的事情,比特币从 Mt.Gox 丢失的比特币钱包里流出,从加密货币交易所流向了一些知名的比特币交易所,还有一些看似毫无关联的交易所手中。
Nilsson 使用 Mt.Gox 泄漏交叉引用了其中一些交易,发现从 Mt.Gox 丢失的一些比特币已经存入了其他 Mt.Gox 账户,其中一个甚至收到了现金存款,而且它附带一条消息 - 只是简单的三个字母“WME”就可以了。Nilsson 知道持有“WME”账户的人一定与被盗的 Mt.Gox 比特币有关,他需要弄清楚这个人的真实身份。
这时,尼尔森开始转移战场,从之前的区块链分析转向传统的互联网调查。
经过一系列深入挖掘,尼尔森发现 WME 与一家在莫斯科经营数字货币交易所的公司有关联。2011 年,WME 出现在 Bitcointalk.org 板上,当时在 Bitcointak.org 公告板上说:“你好,我做货币兑换已经 10 多年了。什么都可以换。如果兑换的金额大,我会优先处理。”
Nilsson 做了进一步分析,发现 WME 钱包与加密货币交易所 BTC-E 有关联。
其中一些来自 Mt. Gox 的比特币最终进入了 BTC-E 账户,似乎从未被转出,留在与 BTC-E 管理员关联的钱包中。BTC-E 是否涉嫌参与 Mt. Gox 抢劫?
下一步是确定“WME”的帐户信息。
这可能看起来很困难,因为每笔交易都使用不同的钱包,并且每次都小心翼翼地不留下与真实身份相关的信息,这些罪犯很难被抓到。
但“WME”账号粗心大意,通过尼尔森所说的bug,找到了一些线索。
第一个是将“WME”与特定帐户相关联的帖子。Nilsson 发现了一个 2012 年的留言板帖子,其中一个愤怒的“WME”账户声称“另一个交易平台正在诈骗并拿走我的钱”。
“这是针对 CryptoXchange 的骗局报告,CryptoXchange 从我那里偷走了超过 100,000 美元并拒绝归还,”该帖子称。
为了支持他的案子,WME 在他和 CryptoXchange 之间发布了一条消息,并通过律师向公司递交了一封信。在消息的底部,CryptoXchange 告诉 WME 他的数字货币存放在哪里:一个由“VINNIK ALEXANDER”拥有的账户。
尼尔森震惊了。“我什至不相信这是一个真名,我认为这是一个别名或什么的。” 为什么币圈会有人在网上晒出自己的真实姓名和银行信息?
Nilsson 将这个名字传给了美国国税局特工 Gary Alford。
到现在,已经是 2016 年夏天了,尼尔森已经为这个案子工作了两年。
嫌疑人亚历山大·文尼克被捕
俄罗斯人 Alexander Vinnik 被指控使用比特币洗钱,在希腊海滩被捕
Nilsson 当时不知道的是,BTC-E 的目标是远离政府调查。特工和检察官正在利用美国司法部的传票权力通过技术对他的调查得出相同的结论。
网络安全研究人员表示,BTC-E 是全球犯罪分子的首选交易所。它允许客户通过欧洲银行关系购买比特币或将其转换为欧元和卢布。一位私营部门区块链调查员估计,BTC-E 占 2016 年所有刑事加密货币案件的 60% 至 70%。
美国国税局调查员 Tigran Gambaryan 是 Vinnik 调查的主要代理人,他说:“没有人知道 BTC-E 是谁或他的主人是谁。我们分析它在保加利亚或塞浦路斯。”
这位代理人所知道的是,BTC-E 是当时最大的比特币交易所之一,并且“没有对用户身份进行审计”,Gambaryan 先生说。奥尔福德拒绝置评。
根据法庭文件,联邦调查人员还发现了一个名为“WME”的账户,该账户窃取了 Mt. Gox 的比特币并指向 BTC-E 交易所。
继续追踪区块链交易和传票的银行记录,他们确定在 2013 年至 2015 年期间,与 BTC-E 和一名俄罗斯公民相关的账户涉及向塞浦路斯和拉脱维亚的银行转移现金,通过此类洗钱活动,资金被转移到欧洲大陆。
到 2016 年底,检察官有足够的证据指控亚历山大·文尼克。
由于俄罗斯网络犯罪分子通常不会被驱逐出境,联邦调查局正在寻找逮捕他的方法,并于 2017 年 1 月提交了一份密封的联邦起诉书,指控亚历山大·文尼克和一名未具名的同伙,通过 BTC-E 洗钱约 40 亿美元。当亚历山大·文尼克在希腊度假时,联邦调查局和当地警方准备逮捕。
7 月 25 日,身穿便服的便衣警察在希腊海滩上包围了亚历山大·文尼克,并逮捕了他。希腊执法官员援引法庭文件称,他们没收了两台笔记本电脑、两台平板电脑、五部手机和一台路由器(可能有 BTC-E 的证据)。
亚历山大·文尼克的未来不明朗。美国现在正试图引渡他,但俄罗斯表示反对,称希望他返回莫斯科,以 9,500 欧元的欺诈罪名受到起诉。
Kim Nilsson 在他的东京办公室展示了被盗虚拟货币流动的图表。(图片来源:华尔街日报深田志保)
在希腊法庭听证会上,Vinnik 的俄罗斯律师否认了这些指控,称 Vinnik 不是 BTC-E 的员工,并声称他正在与美国在全球金融体系中的主导地位作斗争。这位律师呼吁希腊人和俄罗斯人分享正统的基督教传统,称他们不能将“同一宗教的兄弟”送到美国。文尼克在驱逐听证会上已经阅读了圣经。
7 月 30 日,希腊陪审团同意将 Vinnik 引渡到俄罗斯,尽管希腊的其他地区法院裁定应该将 Vinnik 引渡到美国或法国。如果文尼克在希腊的庇护申请失败,将由司法部长决定最终将他引渡到该国。
此次逮捕是全球数字货币领域最大的逮捕之一。尽管他们已经逮捕了 Vinnik,但不太可能完全阻止 BTC-E。参与调查的人士表示,尚不清楚 Vinnik 是否是 BTC-E 的领导者,甚至是行动中的重要人物。事实上,他们和 Nilsson 表示,BTC-E 的策划者可能仍然存在于前苏联集团的某个地方,持有大量比特币并且仍在运营。
在 Vinnik 先生被捕后的几天内,BTC-E 以新名称重新上线。其最新的运营商身份无法确定,保留了BTC-E的客户名单和技术等要素,但网站的管理方式不同。本月早些时候,运营商宣布他们将关闭交易所。无法联系到他们置评。
知情人士说,联邦检察官认为,Vinnik 只是几个 BTC-E 目标中的第一个。
尼尔森对被捕感到高兴,但仍然感到沮丧。尽管他俘虏了 Vinnik,但他的比特币仍在 Mt. Gox 的破产程序中。Nilsson 曾希望比特币能让他避开政府、金融机构和诈骗者,但他所有的比特币都参与了盗窃。
最后,尼尔森说“Mt. Gox 事件是一个悲伤而肮脏的故事”。
(本文编译自《华尔街日报》,作者 Justin Scheck、Bradley Hope 和来自雅典的 Nektaria Stamouli 也对本文做出了贡献。编辑:Chai Lijun,译者:Hispear、Chaindder、Chai Lijun。)
