历时三年,追回65万BTC,宅男是如何变成比特币侦探的?
7月初,在葡萄牙首都里斯本举行的BuildingOnBitcoin会议 [1] 上,BitGo前首席工程师、CasaHODL现任工程师Jameson Lopp透露, 目前比特币网络中有400万比特币丢失,200万比特币被盗 。
Jameson Lopp在会议上的演示 [2]
也就是说,比特币网络中固定供应量(约2100万)的28.57%将永远无法被找回。而自比特币诞生以来,比特币被盗事件屡见不鲜,2014年的Mt.Gox被盗事件,2016年的Bitfinex被盗事件......还有近日西安警方破获的涉案金额高达6亿元人民币的虚拟货币盗窃案。
频繁发生的比特币盗窃案催生出了一个新的职业—— 比特币侦探 。
2014年2月14日,东京下着雪,Kolin Burges戴着一顶针织帽,右手等肩举着一个牌子,站在Mt.Gox交易所总部门口,牌子上写着“MTGOX WHERE IS OUR MONEY”(Mt.Gox,我们的钱去哪儿了) [3] 。
Mt.Gox冻结比特币提现后,Kolin Burges专门从伦敦飞到东京, 由此到Mt.Gox宣布破产的两个多星期里,他天天都在Mt.Gox总部门口举牌抗议 。很快,就有其他一些人跟他一起抗议。
图为Kim Nilsson,站在东京新宿站附近的街上
瑞典软件工程师Kim Nilsson也是Mt.Gox事件的受害者之一,他在Mt.Gox里的12.7个比特币不翼而飞,为此他很苦恼。但是,当时他在东京生活了近10年,留着山羊胡,性格温和,不喜欢像Kolin Burges那样直接抗议。
于是,这位曾经一下午打通“超级玛丽2”所有关卡的软件工程师,选择了这样处理Mt.Gox问题: 与另外两名Mt.Gox事件的受害者Daniel Kelman和Jason Maurice,组建一家名为“WizSec”的比特币安全公司,专门追踪失窃案 。他说 [4] :
“这可以算是当时世界上最难的智力游戏,谁要是能解决,那肯定牛逼得不要不要的。”
实际上,从2011年6月19日第一次遭受黑客攻击,到2014年2月28日申请破产,Mt.Gox声称总共“丢失”(lost)了85万个比特币(75万属于用户,10万公司持有)。2014年3月21日,Mt.Gox的CEO Mark Karpeles在公司官网发表声明称,“在一个旧钱包当中找到了199,999.99 枚比特币”,并已经将其离线保存 [5] 。 Kim Nilsson的工作就是要找回那65万个被盗的比特币。
图为Kim Nilsson,一个屏幕上是代码,一个是记录关键信息的电子表格,另一个是笔记。图片来源:Wall Street Journal
如他所说,这恐怕是当时世界上最难的智力游戏。Kim Nilsson白天做着他的全职工作,晚上就在三个发光的电脑屏幕前,边喝可乐边追踪线索。他开发了一个索引程序,这使他能够快速检索出区块链上每笔交易的输入、输出信息及地址。
2014年3月, Mt.Gox数据库的部分内容被泄露到网络上 ,Kim Nilsson获得了泄露的数据,其中包括交易、取款、存款和用户余额的私人记录。
2014年5月,一位程序员发布了一份对泄露信息的分析报告。报告发现,似乎有自动购买比特币的账户,以支撑Mt.Gox股票的价格。Kim Nilsson由此意识到,可以利用泄露的数据库信息,定位与交易所相关的每一个丢失的比特币钱包,追踪其交易记录,从而计算Mt.Gox丢失的比特币数量。
图为Kim Nilsso和WizSec公司的Jason Maurice,桌上是苹果派。图片来源:Wall Street Journal
几个月后,他搜集了近200万条与Mt.Gox相关的交易地址--但不知道是谁使用了每个地址,也不知道是出于什么目的。他需要内部人员的帮助 [6] 。这时, 他发现Mt.Gox的CEO Mark Karpeles跟他一样,也想查出真相 。于是,Kim Nilsso和WizSec公司的另一名成员Jason Maurice带着做苹果派的配料,来到了Mark Karpeles的公寓。Mark Karpeles很快就向Kim Nilsson提供了Mt.Gox的内部数据,他说 [4] :
“真希望是我偷的,这样我就能还回去。”
之后的四年时间里, Kim Nilsson把一年半的时间花在了Mt.Gox盗窃案上 。期间,WizSec公司解散,Mark Karpeles承认利用Willy账户进行自动转账 [7] ,后因Mt.Gox事件被日本警方拘捕,2016年7月被保释出来,但不能离开日本。
图为出狱前后的Mark Karpeles,网友鉴定:减肥成功!
Kim Nilsson并没有放弃,2016年初,他找到了一个嫌疑人。Kim Nilsson在追踪从Mt.Gox流入其它交易所的比特币交易流时发现,Mt.Gox被盗的65万个比特币中,有63万个直接进入到了同一个人控制的钱包里。 这个人在Mt.Gox也有账户,用户名叫WME [6] 。
要找到这个人很难,因为犯罪分子一般是不会在网络上使用真实的身份信息。然而,并不是所有的犯罪分子都是那么谨慎。Kim Nilsson在Bitcoin Forum找到了一篇2012年的帖子,有个用户名中带“WME”的人在论坛里发脾气,抱怨一家加密货币交易所冻结了他的账户。他在帖子里发布了一封律师信,信上写着他的姓名“ VINNIK ALEXANDER ” [8] 。
图为用户“WME”在Bitcoin Forum上的聊天记录,一不小心就暴露了自己的真实身份
其实,Kim Nilsson是后来才知道这是嫌疑人的真实姓名,他惊呆了,说:
“当我看到这个名字的时候,根本就没想过这会是他的真名。我之前猜测他会使用假名什么的,为什么有人会在网上发布自己的真实姓名和银行信息!”
看到这个名字后,思路像柯南闪电一般穿过Kim Nilsson的大脑,他立刻把这个名字传给了美国国税局特工Gary Alford。
2017年夏天, Alexander Vinnik在希腊北部的一个海滩度假时,被美国警方逮捕 。美国联邦检察官指控38岁的俄罗斯IT技术男Alexander Vinnik,非法转移53万个Mt.Gox被盗的比特币,并将其转入Mt.Gox、BTC-e等交易所的账户中。
图中男子为Alexander Vinnik,图片来自Kim Nilsson在一场会议上的分享 [9]
自调查起始,Kim Nilsson解答了他自己想弄清楚的一个重要问题,即 是否有可能弄清楚比特币的去向 ,但他尚未解答另一个问题 [10] :
“他能把钱拿回来吗?”
Kim Nilsson把他的工作称之为“区块链考古”,如今, “区块链考古”已经成为一个产业 。一大批加密货币私人调查公司正在跟踪资金流动,并对潜在的针对大型银行、交易所和执法机构的犯罪行为进行调查。全球范围内出现了像Chainalysis、Elliptic、CipherTrace这样的比特币侦探公司,还有美国政府机构--包括联邦调查局、中央情报局和国税局等等也都有自己的加密货币调查员。他们通过追踪区块链上的公开信息,来打击网络犯罪。