宅男的复仇:比特币被盗后,花三年将40亿美元洗钱集团拉下马
2014年,Kim Nilsson发现有人通过非法途径盗取了他的比特币,他感到非常愤怒。虽然,这显然是犯罪行为,但是警察却似乎无法理解,更不用说想要依靠警察来解决这个问题了。
比特币从一个目前已倒闭的比特币交易平台——Mt. Gox中莫名失踪了。当时,Mt. Gox的数百名投资者发现该交易平台虽然没有破产,但是却陷入了极端混乱中,超过4亿美元的比特币似乎就这样凭空消失在了网络空间中。
与许多其他受害者不同,Nilsson先生决定奋起反击,他两位与两位同样失去比特币的伙伴一起合作,共同追踪比特币偷盗者的下落,其中一位伙伴是一位律师。三人就这样开始了互联网软肋的追踪调查之旅,长达三年。去年夏天,在希腊海滩(Greek beach)上,这次调查之旅成功结束。在一座拥有1000年历史的修道院阴影下,联邦调查局特工逮捕了一名俄罗斯男子,并指控他通过最近汇率进行了价值约40亿美元的比特币洗钱行为,这也成为了目前短暂的加密货币发展历史中大宗犯罪事件之一。
Nilsson先生靠着计算机痕迹侦探的乐观坚持,他展开了这场漫长而充满风险的比特币调查历程,这个过程也包含了加密货币因为近年来爆炸式增长的价值和使用而混乱成熟的过程。他在比特币世界的中心发现了一项数十亿美元的盗窃和洗钱计划,这在很大程度上揭露了,未被规范化的数字荒野对于投资者来说是充满了危险的。
他的工作——被他称为“区块链考古学”,已经成为了一个行业,一大堆加密货币私人调查公司现在主要业务就是跟踪资金流动并检测大银行、交易所和执法部门可能犯下的罪行。美国政府机构——包括联邦调查局(Federal Bureau of Investigation),中央情报局(Central Intelligence Agency)和国内税收局(Internal Revenue Service)也都有了自己的加密货币调查员。
在比特币首次亮相后的九年左右的时间里,加密货币在高峰价格价值估值超过150亿美元,而也就是那个时候它被盗了,其中大部分都因为像Mt. Gox一样的交易平台崩溃了。这还不包括尚未公布的盗窃案件,或其他非法活动中使用的加密货币,如购买被盗信用卡或给黑客付款。
这些偷盗行为仅仅只是比特币所面临的威胁之一,比特币通过许诺建立一个分散的匿名支付系统,让银行变得过时,让金融世界电子化。
当人们在进行的大型集中式交易时,其实就收集了大量详细的用户数据,匿名性正在逐渐消失,这些数据都将其提供给政府调查人员。投机者的推动让比特币的价格呈现巨大的波动,使得比特币作为一种现金流是不可行的,作为投资也是危险的。
继此之后就是出现犯罪:由于很少有政府监督,且比特币交易无法逆转,一些网络盗贼已经开发出了一些创造性的方式,不仅仅是闯入交易平台,而且还会利用比特币来进行各种其他事件。信用卡小偷出售偷盗而来的比特币卡;网络安全研究人员表示根据数据,黑客已经开始采取比特币支付赎金的方式了,其中包括一些来自朝鲜的黑客。监管机构现在希望能将比特币纳入与传统投资相同的规范下。
对于比特币真正的信徒,比如生活和工作在一个狭窄的东京高楼中36岁的瑞典人Nilsson先生来说,监管机构的这种监管设想简直就是一件蠢事。
在金融危机后的乐观潮流中,Nilsson先生和其他热情的日本数字货币社区成员,涌入了比特币世界。一开始,比特币由一位神秘的编码人员或一些编码人员以Satoshi Nakamoto的名字创建,比特币只在网上作为一串代码存在于数字分类账中,称作区块链,存在于在主流的金融系统之外。
分类账由分散在世界各地的数千台计算机维护着,它上面的交易是公开可见的,但背后的人却是保密的。该安排确保一个人不能使用相同的比特币多次支付商品或服务,虽然可以看到比特币在由字母和数字字符串组成的标识“地址”之间移动,但钱包所有者的名字仍然是不可知的。
理论上,该过程是分散的,每个所有者都负责跟踪密码。区块链的运作形式没有必要让信托中介机构(例如银行或信用卡公司)去确保交易的有效性。
实际上,许多比特币交易都是通过比特币交易平台进行的,而不是用户去直接使用区块链。许多交易所基本上不受监管,其功能与传统金融机构非常相似,它将买家与卖家联系在一起并将其货币存入网上账户。这些帐户,以及用户信息的交换收集,很有可能受到黑客的攻击。
Mt. Gox的总部位于东京,是第一家也是最大的此类交易平台之一。它提供了一个购买和销售比特币的平台,以及为用户提供维护有数字密码保护的数字钱包服务,其中存储了比特币。2012年,Nilsson先生从朋友那里买了他的第一个比特币。一年后,他开始从Mt. Gox购买加密货币,在上面累积了一定金额。
Nilsson先生已经在东京生活了大约十年,他在下巴上留着一簇的小胡须,穿衣风格停留在20世纪90年代黑客的样子或说是Rush音乐会的那种风格。
当时买家们不知道Mt. Gox已经陷入困境。黑客在2011年获得了私钥,并开始从网上钱包中窃取比特币,四年内盗窃了将近630,000。
Mt. Gox的所有者MarkKarpelès——一名在东京的法国外籍人士,在2014年初之前都一直在试图隐瞒这些盗窃事件,直到Mt. Gox停止提款并申请破产。
这场比特币短暂历史上最大的崩溃事件让数百名受害者感到心灰意冷。一名加州男子损失约4万美元,一名芝加哥投资者损失超过5万美元。居住在台湾的律师丹尼尔·凯尔曼(Daniel Kelman),损失了44.5比特币,约合40万美元,他前往东京,希望能够知道这次盗窃事件的真相。
在摩天大楼酒吧举行的比特币聚会上,律师丹尼尔·凯尔曼(Daniel Kelman)遇到了夏威夷人Jason Maurice,Jason Maurice向律师丹尼尔·凯尔曼(Daniel Kelman)介绍了Nilsson先生,告诉他Nilsson先生有方案可以来了解Mt. GOX事件。
在Tedd的Bigger Burger餐厅共进晚餐时,Maurice先生和他的夏威夷同盟们策划了如何找出失踪加密货币的计划并将其成功用于企业。
律师Kelman先生回忆起他的伙伴们,说:“你知道那些关于肯尼迪暗杀事件的纪录片吧,你看到他们之后的20年了吗?这也将是20年后的我们。”
在Messrs先生取的一个代号之后,Nilsson先生,Kelman先生和Messrs先生给他们的公司取名为WizSec,并采用了“比特币安全专家”的标语。但是这项业务从未真正发展起来。
Nilsson先生说:“很快,我主要做的就技术方面的工作。”我们没有资金用于新技术或办公室,我们就在位于东京市中心外的高层建筑中,一个650平方英尺的公寓里展开调查。
Nilsson先生使用的是自己的家用电脑,这个电脑只是为了进行视频游戏而在线订购了一些部件,并没有足够的计算能力来有效搜索比特币的区块链。如果搜索的话,可能需要一整晚的时间。
相反,Nilsson先生并没采用传统的办法,而是开发了一个程序来索引区块链,这使他能够快速搜索每个交易的输入信息、输出信息和地址。
尽管这种搜索模式正在形成,但也很难破译,因为区块链并不能识别每笔交易背后的用户,也没有将区块链地址与真人联系起来的在线电话簿。
幸运的是,一次数据泄露让他得以继续调查下去。Mt. Gox的部分数据库泄漏,其中一些数据泄露到了互联网上,另一部分泄露给了记者。Nilsson先生获得了泄露的数据,这些数据包括交易记录,提款、存款和用户余额的私人记录。
2014年5月,另一位程序员发布了对泄露信息的分析。它发现账户以一种看似自动化的方式实现购买比特币的过程,并设定了以支撑Mt. Gox股票的价格。
Nilsson先生回顾了这份报告,他意识到他可以利用这个数据库来计算出Mt. Gox丢失了多少比特币,他定位了交易所相关的每个丢失的比特币钱包,然后跟踪他们的交易。
比特币的调查占据了他的生活。但他的全职工作仍在继续,他的夜晚都在三个发光屏幕前度过,一个屏幕上是代码行,另一个是电子表格记录关键信息,第三个是笔记。
经过数月的工作,Nilsson先生拥有近两百万个与Mt. Gox相关的地址,但他不知道谁使用了这些地址,或者出于什么目的,他需要内部人士的帮助。
那个时候,日本执法部门正在调查Mt. GOX,它的负责人卡Karpelès先生非常低调。Kelman先生通过调查知道了Karpelès经常使用一个通讯应用程序,叫做Internet Relay Chat。Kelman先生说:“有一天我登录上了IRC,我刚刚开始指责马克贪污钱”
Karpelès先生就开始急于清除为自己洗脱罪名,并同意在一家汉堡餐厅与Nilsson先生和Kelman先生见面。他确认了Nilsson先生编写的帐户信息,并帮助他制定了完整的Mt. Gox地址簿。这两位投资者表示,Karpelès先生还告诉了他们一些要之后很晚才会公开的事情:Mt. Gox上面产生的可疑交易是Karpelès先生为了隐瞒未知肇事者盗窃而制造出来的。
Karpelès先生对此拒绝发表评论,但此前曾否认挪用过Mt. GOX上的资金。
Nilsson先生调查了剩下的数千个比特币钱包,并确定了Mt. Gox应该有大约900,000比特币,而不是200,000比特币被盗。Karpelès早在2011年就知道比特币丢失了,关于“知情与否,”Nilsson先生在2015年的一篇博文中写道:“Mt. Gox至少从2012年开始,就算是技术性破产了。“
之后似乎出现了一些比特币以现金出售出去,Nilsson先生还没弄清楚到底是谁偷了他们或卖掉了他们,但他正在追踪这些剩下的比特币。
为了能炸出更多的信息,他于2015年4月在WizSec博客上发表了调查结果。他概述了他所知道的事情,以及他认为有Karpelès先生以外的人偷走了比特币。“所以,”这篇文章的结论是,“到底是谁做了这些事情?”
不久之后,他得到了一个意想不到的消息。美国国税局的代理人加里·奥尔福德(Gary Alford),一个加密圈中的调查者,他认为Silk Road是这些比特币流向的地方,这是一个可以用比特币购买毒品和武器的在线市场。这是有史以来与比特币有关最大的的起诉之一,而Alford先生在进行比特币与Silk Road的调查,调查中与Nilsson先生的调查出现了一些重合的地方。
这是一个尴尬的时刻。Nilsson先生进入比特币市场的部分原因就是为了摆脱监管机构。“显然,在我的圈子里,美国国税局名声并不好,税务人员往往并不受到欢迎。”
但是Messrs和Nilsson先生认为,美国政府有着其广泛的影响力和优越的资金和技术,可能会对此有所帮助。
然而合作的结果却恰恰相反,Kelman先生说:“我们和他的合作就像一条单行道,我们把我们的所知道的信息都提供给他了,而Alford先生却只说了句‘你们的调查方向是正确的’”。
Nilsson先生加大了他的调查力度,他还跟踪了离开Mt. Gox进入其他交易平台的比特币流,包括一个名为BTC-E的交易平台。然后他发现了一些意想不到的东西:Mt. Gox比特币最终流向的钱包,还涉及了其他看似不相关的知名比特币平台中的被盗窃比特币。
Nilsson先生用Mt. Gox泄露的信息交叉引用了其中一些交易信息,他看到一些从Mt. Gox平台上被偷走的比特币存入了Mt. Gox的其他帐户,其中一个账户已经收到一张附有附注的现金存款,附注上只有“WME”的标识。这个持有WME账户的人,就是拥有了被盗的Mt. Gox比特币的人,现在他只需要弄清楚那个人是谁。
那时,Nilsson先生从区块链分析转向了老式网络拖网分析。
更多的调查都指向一个声称在莫斯科经营货币兑换业务的WME人物。
WME在2011年在Bitcointalk.org网站上留下过这样的言论:“您好,我从事交易平台事务10多年,现在我开始使用比特币进行交易,我可以将它们换成任何东西,“。
WME补充道“我优先考虑大笔资金项目”。
Nilsson先生进行了深入调查,发现WME钱包与加密交换的BTC-E相连。
来自Mt. Gox的一些比特币最终进入BTC-E账户并且似乎永远不会流出去,这个过程并不存在交换的过程,他们仍然留在与BTC-E管理员相关的钱包中。那BTC-E账户是否就是掌握在盗窃者手中?
下一步是确定WME是谁。
这似乎很难。犯罪分子的每个交易都使用不同的钱包,并且小心翼翼地从不留下任何可以通过假名与真实身份联系起来的信息。
但WME显然有些不小心,他留下了一条“粗心的身份处理”,成为了Nilsson先生调查可用的线索。
首先,是关联WME与特定帐户相关的帖子。然后,Nilsson先生发现了2012年的一个留言板帖子,其中一个愤怒的“WME”用户声称另一个交易平台“诈骗裹挟了我的钱财”。
该帖子称:“这是一份针对CryptoXchange平台的诈骗申诉,CryptoXchange从我那里偷走了10万美元,并且拒绝赔偿。”
为了支持他的这条申诉,WME在他自己和CryptoXchange之间发布了消息,以及他律师送给了该公司的一封信。在一条消息的底部,CryptoXchange平台告知了WME存放了他资金的地方:一个由“VINNIK ALEXANDER”拥有的账户。
Nilsson先生感到震惊,他说:“我甚至从来没有相信过这会是一个真名,我一直认为这是别名或其他什么。为什么加密的人会在网上发布他的真实姓名和银行信息?”
Nilsson先生把这个名字传给了美国国税局的代理人Alford先生。到那时已经是2016年的夏天了,Nilsson先生已经调查这个案子两年了。
他当时不知道的是,BTC-E正是政府调查人员调查的目标。还停留在肯尼迪时代的联邦法院内,代理人和检察官利用美国司法部的传票权、技术手段和预算查到了Nilsson先生也查到的地方。
网络安全研究人员表示,BTC-E是全球罪犯的首选交换机构。它在欧洲的银行业务关系让客户可以购买比特币或将其转换成欧元和卢布。一个私营部门区块链调查员估计,到2016年,BTC-E在所有的犯罪加密货币案件中出现概率达到了60%至70%之高。
Vinnik调查的主要代理人国税局调查员Tigran Gambaryan说:“没有人知道BTC-E是谁,没人知道主人是谁。我们认为它可能在保加利亚,或者可能是塞浦路斯。”
Gambaryan先生说,代理商所知道的就是BTC-E是当时最大的比特币交易所之一,而且它“对用户的身份信息没有任何要求”。Alford先生对此拒绝发表评论。
法庭文件显示,联邦调查人员还发现了一个“WME”的控制帐户,他窃取了Mt. Gox的比特币,并与BTC-E也有关联。
通过追踪区块链交易和传唤的银行记录。他们发现,在2013年至2015年期间,一个与BTC-E和俄罗斯公民有关的账户,有向塞浦路斯和拉脱维亚的银行进行现金转移的嫌疑,该辖区范围内的洗钱者把它作为面向非洲大陆主要银行的一个传送点。
截至2016年底,检察官已经足以起诉Vinnik先生。
由于俄罗斯一般不会驱逐被指控的网络犯罪分子,美国特工寻求在其他地方逮捕他的方法。他们于2017年1月提交了一份密封的联邦起诉书,指控Vinnik先生和其同伙通过BTC-E洗钱约40亿美元。当Vinnik先生到希腊度假时,联邦调查局和当地警方已做好准备逮捕他。
7月25日,穿着休闲服装的卧底警察将Vinnik先生包围在海滩上,并将他逮捕。据一位希腊执法官员援引的法院文件称,他们查获了两台笔记本电脑,两台平板电脑,五部手机和一台路由器——这都可能成为了解BTC-E账户的证据。
Vinnik先生的未来处置尚不清楚,美国正试图引渡他,但俄罗斯表示反对,并表示希望他能回到莫斯科面接受一项9,500欧元的诈骗案调查。
在希腊法庭听证会上,Vinnik先生的俄罗斯律师否认了这些指控,声称他的客户不是BTC-E员工,并声称他正在打击美国在全球金融体系中的主导地位。这位律师呼吁希腊人和俄罗斯人共享正统的基督教传统,称他们不能向美国派遣“同一宗教的兄弟”。Vingnik先生还在驱逐听证会上阅读了圣经。
7月30日,一组希腊法官同意将Vinnik先生引渡到俄罗斯,尽管其他不同的希腊法院认为他应该去美国或法国。如果Vinnik先生在希腊的庇护申请失败,那将由司法部长决定他该被送往何处。
逮捕已经是数字货币世界中非常严重的惩处行为了。但随着Vinnik先生目前被逮捕,我们发现逮他并不太可能真正停止BTC-E的运行。参与调查的人士表示,目前尚不清楚Vinnik先生是否是BTC-E的领导者,或者是该行动中特别重要的人。事实上,他们和Nilsson先生说,它的主谋可能仍然存在于前苏联集团的某个地方,拥有大量比特币,且仍在运作。
在Vinnik先生被捕后的几天内,BTC-E以新名称重新上线。其最新的运营商身份仍无法确定,但保留了BTC-E的客户名单及其许多技术元素,但该网站出于不同的管理层之下。本月早些时候,这些运营商宣布他们正在关闭交易平台,目前难以与他们取得联系且发表评论。
知情人士说,联邦检察官认为Vinnik先生仅仅是几个BTC-E目标中的第一个。
Nilsson先生对此次逮捕感到高兴,但也仍然感到沮丧。他觉得尽管他找到了盗窃的家伙,但是他的钱仍被被卡在Mt. Gox的破产程序里。Nilsson先生期望比特币让他避开政府、金融机构以及骗子。相反,他和他比特币却正好卷入了这三个地方。他说:“这真是一个悲惨故事。”