三年追回比特币，解开第一谜“门头沟”之谜

前言：猖獗的盗窃使加密这个词蒙上了一层阴影。 在成为比特币历史上最著名的盗窃案、当时全球最大的加密货币交易所 Mt.Gox 盗窃案的受害者后，Kim Nilsson 决定反击。 时隔三年，这场“比特币奇遇”终于迎来了大结局。

金·尼尔森怒火中烧。

那是 2014 年，这位软件工程师意识到他无法追踪他持有的比特币。 显然有人犯下了警察似乎无法调查的罪行，更不用说解决了。

硬币从一个名为 Mt.Gox 的比特币交易所流失，数百名投资者受到重创甚至破产。 超过 4 亿美元似乎凭空消失在网络空间中。

与他的许多受害者不同，尼尔森决定反击，与一名律师和另一名同样被盗比特币的合伙人合作，并希望追查罪魁祸首。

接下来是为期三年的互联网跟踪之旅，于去年夏天在希腊海滩结束。

在一座拥有 1000 年历史的修道院，联邦调查局特工逮捕了一名俄罗斯男子，并指控他以最新汇率洗钱价值约 40 亿美元的比特币，这是加密货币短暂历史上为数不多的代价最高的犯罪之一。

Nilsson 的比特币历险记，从乐观的比特币爱好者到坚定的计算机侦探，涵盖了加密货币的成熟，因为它们的价值和使用在近年来呈爆炸式增长。

他在比特币世界的核心发现了价值数十亿美元的盗窃和洗钱计划，这表明这个基本上不受监管的数字荒野对投资者来说是多么危险。

他的工作——他称之为“区块链考古学”——已经成为一个行业，许多私人加密货币调查公司跟踪资金流动并调查针对大银行、交易所和执法机构的潜在犯罪活动。 去弄清楚。 美国政府机构——包括 FBI、CIA 和 IRS——都有自己的加密货币调查员。

自比特币问世以来的 9 年左右时间里，价值超过 150 亿美元的加密货币在峰值时被盗，其中大部分是通过像导致 Mt. Gox 崩溃的黑客攻击一样被盗的。

这个数字不包括未公开的盗窃，也不包括用于购买被盗信用卡或支付黑客费用的加密货币，以及其他非法活动。

比特币盗窃问题由来已久，自货币诞生以来，盗窃一直是个问题。 这催生了一个新职业：像 Kim Nilsson 这样的比特币侦探。 他是 Gox 交易所大规模黑客攻击的 Mt. 受害者。

这些盗窃只是比特币目前面临的威胁之一。

比特币承诺采用匿名分布式支付系统来取代银行交易，但当人们在收集详细用户数据并将其提供给政府调查人员的大型集中交易所进行交易时，匿名性就会丢失。 另一方面，投机者造成了比特币的价格波动，使得比特币作为一种货币不可行，作为一种投资也很危险。

然后是犯罪问题：在政府监管不足以控制比特币交易的情况下，窃贼已经开发出创造性的方法，不仅可以破解交易所以彻底窃取，还可以使用比特币来促进各种其他计划。 信用卡窃贼出售被盗的卡换取比特币； 网络安全研究人员表示，黑客——包括一些来自朝鲜的黑客——已经在从用比特币支付的赎金中收集数据。

监管机构现在急于将比特币置于与传统投资相同的规则之下。

对于像尼尔森这样生活和工作在拥挤的东京高层建筑中的 36 岁瑞典人尼尔森这样的真正比特币信徒来说，这是一种颓废。

在危机后的乐观情绪中，尼尔森加入了活跃于日本数字货币领域的其他人的行列，他们纷纷涌入比特币市场。 比特币由一位名叫中本聪的神秘编码员创建，仅作为称为区块链的数字分类账中的一串代码存在于互联网上，并不是主流金融的一部分。 系统。

该分类帐由分布在世界各地的数千台计算机维护。 它的交易是公开的，但交易背后的人却不是。 这种形式确保一个人不能多次使用同一个比特币支付商品或服务。 虽然人们可以看到比特币在由字母和数字字符串标识的“地址”之间移动，但他们看不到钱包所有者的名字。

从理论上讲，这个过程是分散的，每个比特币持有者负责跟踪加密货币。 不需要银行或信用卡公司等可信赖的中介机构来确保交易的有效性。

但在现实中，很多比特币交易都是通过交易所进行的，而不是人们直接使用区块链进行的。 许多基本上不受监管的交易所运作起来很像传统金融机构，将买卖双方联系起来，并将他们的货币存入在线账户。 一旦交易所受到网络攻击，这些账户和用户信息就会被泄露。

总部位于东京的 Mt.Gox Exchange 曾经是最早和最大的此类交易所。 它提供买卖比特币的平台，以及维护用户存储比特币的加密数字钱包的服务。

2012 年，尼尔森从朋友那里购买了他的第一个比特币。 一年后，他从 Mt. Gox 开始购买加密货币，有了一些积蓄。

尼尔森留着胡子，身穿 1990 年代黑客（或狂奔音乐会的粉丝）的深色衣服，断断续续地在东京生活了大约十年。

为了寻找比特币盗窃的答案，尼尔森经营着一家小公司 照片：SHIHO FUKA/Wall Street News

当时比特币买家并不知道，Mt. Gox 遇到了麻烦。 黑客在 2011 年获得了交易所用户的私钥，并开始从加密钱包中窃取比特币——四年期间大约有 630,000 个比特币被盗。

Mt. Gox 的所有者、居住在东京的法国人 Mark Karpeles 一直试图隐瞒盗窃行为，直到 2014 年初，Mt. Gox 才停止取款并申请破产。

这是比特币短暂历史上最大的崩盘，有数百人遇难。 一名加利福尼亚男子损失了大约 40,000 美元； 芝加哥的一位投资者损失了 50,000 多美元。 丹尼尔·凯尔曼 (Daniel Kelman) 是一位毕业于布鲁克林的律师，曾居住在台湾。 他在 Mt. Gox 盗窃案中损失了 44.5 个比特币，按当前价格计算约为 40 万美元。 之后他去了东京，试图找到关于盗贼的线索。

在一座高层建筑的酒吧举行的比特币聚会上，律师遇到了头发蓬乱的夏威夷人杰森莫里斯。 自称“Wiz”的莫里斯告诉了他同事尼尔森的名字，说尼尔森解决了 Gox 盗窃案的 Mt. Programming 天赋。

在泰迪汉堡餐厅（莫里斯经常光顾的夏威夷连锁餐厅之一）共进晚餐时，两人讨论了一项计划，以找到丢失的加密货币并将他们的成功转化为一项业务。

“你看过那些关于肯尼迪遇刺案的纪录片。20 年后你还会看吗？” 律师凯尔曼先生告诉他的合伙人。 “20年后就是我们了。”

Nilsson、Kelman 和 Maurice 以 Maurice 的昵称命名了他们的公司 WizSec，并打出了“比特币安全专家”的口号。 这是一份没有被广泛认可的工作。

“这项业务很快让我走在了技术的前沿，”尼尔森说。

由于没有钱购买新技术或办公室，他只能在东京市中心一座高层建筑中的 650 平方英尺公寓中进行研究。

Nilsson 家里只有一台家用电脑，这台电脑是他从网上购买的游戏配件自己组装的，而且它缺乏有效搜索比特币区块链的计算能力，这可能需要一夜之间搜索。

于是尼尔森开发了一个索引区块链的程序，让他可以快速查询每笔交易的流入、流出和地址。

虽然开始发现一些盗窃模式，但它们很难破译，因为区块链无法识别每笔交易背后的人，而且没有将区块链地址与真人联系起来的在线名册。

幸运的是，他坚持了下来。 Mt. Gox 数据库的一部分被泄露，其他的被发布在互联网上，还有一些被记者找到。 尼尔森获得了泄露的数据——交易、取款、存款和用户余额的私人记录。

Mark Karpeles 经营着 Mt. Gox，直到 2014 年比特币交易所崩溃 照片：AKIO KON/Bloomberg

2014 年 5 月，另一位程序员发表了对泄露信息的分析。 它发现账户购买比特币的方式似乎是自动的，以支撑 Mt. Gox 控股公司的价值。

在回顾报告时未来三年比特币价格，Nilsson 意识到他可以使用数据库找到与比特币交易所相关的每个比特币钱包，并跟踪他们的交易以计算 Mt. Bitcoin Gox 损失了多少。

调查接管了他的生活。 他仍在做他的全职工作，晚上在三个发光的屏幕前喝可乐。 一个屏幕上显示一行代码，另一个屏幕上记录关键信息的电子表格，第三个屏幕上显示注释。

经过几个月的努力，Nilsson 获得了近 200 万个与 Mt.gox 相关的地址——但不知道每个地址的使用人或用途。 他需要来自内部的帮助。

当时未来三年比特币价格，日本执法部门正在调查 Mt. Gox，Mark Karpeles 一直保持低调。 Kelman 通过 Internet Relay Chat 的比特币频道联系了他，他知道 Karpeles 经常出现在该频道。 “我上 IRC 的那天，我就开始指责马克·卡佩莱斯挪用公款，”凯尔曼说。

为了洗清罪名，卡佩莱斯同意在另一家汉堡店与尼尔森和凯尔曼见面。 他确认了 Nilsson 整理的账户信息，并帮助他完善了 Mt. Gox 交易地址的完整列表。 两位投资者表示，他还告诉了他们一些直到很久以后才公开的事情：Mt. Gox 上的可疑交易是 Karpeles 开发的一个项目的结果，目的是掩盖身份不明的盗窃行为。

Karpeles 拒绝置评，但他此前曾否认被 Mt. Gox 挪用资金。

Nilsson 翻遍了剩下的数千个钱包，得出了虽然 Mt. Gox 应该有大约 90 万个比特币的想法，但它只有不到 20 万个结论。

其实早在2011年，他就发现加密货币不见了。 “不管是有意还是无意，”他在 2015 年的一篇博文中写道，“从技术上讲，Gox 至少从 2012 年开始就已经资不抵债。”

比特币流向其他交易所后，部分似乎被兑换成现金。 尼尔森不知道是谁在偷窃或出售它们，但他觉得自己离线索又近了一步。

有关更多信息，2015 年 4 月，他在 WizSec 博客上发布了他的发现。 他概述了他所知道的以及他如何相信不是 Karpeles 偷了比特币。

“谁做的？”

不久之后，尼尔森得到了意想不到的消息。 美国国税局特工加里奥尔福德，在加密圈被称为“调查员”，已经确定了暗网“丝绸之路”的所有者。

这是迄今为止最大的与比特币相关的起诉。 在调查与丝绸之路有关的比特币事件的同时，奥尔福德还调查了尼尔森正在调查的部分比特币盗窃案。

这让尼尔森感到不舒服，他进入比特币市场的部分原因是为了避开监管机构。

“显然，在我的圈子里，得到美国国税局的帮助是一种耻辱”，“税务员不受欢迎”。

但凯尔曼和尼尔森认为，政府凭借其广泛的影响力、强大的资金和技术，或许能够提供帮助。

“这就像一条单行道，”凯尔曼说。 “我们给了他们一切。” 凯尔曼认为，奥尔福德的介入只是为了确保“你们都在正确的轨道上”。

Nilsson 加倍努力，他追踪从 Mt. Gox 的加密货币流向其他交易所，包括一个叫做 BTC-E 的交易所。 在他的追寻中，他发现了一些意想不到的东西：Mt. Gox 比特币钱包中包含从其他交易所窃取的比特币。

尼尔森使用 Mt. 来自 Gox 数据泄露的信息交叉引用了其中一些交易。 他从 Mt. Gox 那里看到一些加密货币被存入了其他 Mt. Gox 账户，其中一个账户收到了一笔现金存款，并附有一张写着“WME”的便条。

Nilsson 知道拥有 WME 账户的人持有被盗的 Mt. Gox 加密货币。 他只需要弄清楚那个人是谁。 从那时起，尼尔森就从区块链分析转向了老式的互联网范围内的搜索调查。

Nilsson通过调查发现，一位在莫斯科经营货币兑换业务的WME人2011年在Bitcointalk.org网站上写道，“你好，我已经交易了10多年，现在我开始交易比特币。硬币交易，我可以用它交易一切。”

“我倾向于大宗交易，”WME 补充道。

Nilsson 还深入挖掘发现 WME 钱包与加密货币交易所 BTC-E 相关联。

Mt. Gox 的一些比特币最终进入了 BTC-E 账户，但似乎从未被交易过，而是留在与 BTC-E 管理员相关的钱包中。 BTC-E 是否与盗窃有关？

下一步是找出 WME。

这似乎很难。 通常，犯罪分子每次交易都使用不同的钱包，并且注意不要留下将假名与真实身份联系起来的信息，这样就很难被抓到。

虽然 WME 显然粗心大意，但尼尔森表示 WME 对身份的处理“非常粗心”，这提供了线索。

第一种是将 WME 与特定帐户相关联。 Nilsson 发现了一个 2012 年的帖子，其中一个名为“WME”的用户声称被另一个交易平台骗走了钱：“这是一份针对 CryptoXchange 的骗局报告，他从我这里偷走了超过 100,000 美元并拒绝归还。”

为了支持自己的案子，WME贴出了自己与CryptoXchange公司的一些信息交流，并附上了律师给公司的一封信。 在一条消息的底部，CryptoXchange 告诉 WME，他的钱存放在一个名为“VINNIK ALEXANDER”的账户中。

尼尔森惊呆了。 “我什至不相信这是一个真名，”他说。 “我以为这是化名之类的。为什么有人会在网上发布他们的真实姓名和银行详细信息？”

尼尔森将这个名字传给了美国国税局特工奥尔福德。 那是2016年的夏天。

尼尔森已经为这个案子工作了两年。

俄罗斯人指控 Alexander Vinnik 使用比特币洗钱，已在希腊海滩被捕。摄影：COSTAS BALTAS/Reuters

俄罗斯人指控 Alexander Vinnik 使用比特币洗钱，已在希腊海滩被捕。

当时他不知道的是，远在大洋彼岸的 BTC-E 是政府调查人员的目标。 在肯尼迪时代的联邦法院大楼内，代理人和检察官利用司法部享有的传票权、技能和预算来到尼尔森的住所。

网络安全研究人员表示，BTC-E 是全球犯罪分子首选的交易平台。 该公司在欧洲的银行关系允许客户购买比特币或将其兑换成欧元和卢布。 一位私营部门区块链调查员估计，到 2016 年，所有加密货币刑事案件中有 60% 至 70% 涉及 BTC-E。

“没有人知道 BTC-E 是谁。没有人知道它的幕后黑手。我们认为它可能在保加利亚或塞浦路斯，”美国国税局调查员 Tigran Gambaryan 说，他目前正在领导 Vinnik 的调查。 .

Gambaryan 先生说代理人知道 BTC-E 是当时最大的比特币交易所之一，它没有询问任何关于“用户身份”的问题。 奥尔福德拒绝置评。

联邦调查人员还发现了一个“WME”账户，其中包含与 BTC-E 相关的被盗 Mt. Gox 代币。

代理人跟踪区块链交易和传票银行记录。 他们确定，在 2013 年至 2015 年期间，一个与 BTC-E 和一名俄罗斯国民相关的账户参与了向塞浦路斯和拉脱维亚银行的现金转账，这些地区的洗钱者使用这些现金转账到欧洲大陆主要渠道的银行。

2016 年底，检察官有足够的证据起诉 Vinnik。

由于俄罗斯一般不会驱逐网络罪犯，美国特工想方设法在别处逮捕他。 他们于 2017 年 1 月提交了一份密封的联邦起诉书，指控 Vinnik 和未具名的同伙通过 BTC-E 洗钱约 40 亿美元。 当 Vinnik 先生在希腊度假时，联邦调查局和当地警方准备逮捕他。

7月25日，便衣警察在海滩上包围了Vinnik并将其逮捕。 据一名希腊执法官员援引法庭文件称，他们缴获了两台笔记本电脑、两台平板电脑、五部手机和一个路由器——这可能是了解 BTC-E 的重要证据。

Vinnik 先生的未来不明朗。 美国正试图引渡他，但俄罗斯表示反对，并表示要让他返回莫斯科，面对一起涉及9500欧元的诈骗案。

Kim Nilsson 在他的东京办公室展示被盗虚拟货币流向的图表。摄影：SHIHO FUKADA/Wall Street News

在希腊的一次法庭听证会上，Vinnik 的俄罗斯律师否认了这些指控。 他说 Vinnik 不是 BTC-E 的员工，并声称他正在与美国对全球金融体系的主导地位作斗争。 这位律师呼吁希腊人和俄罗斯人分享东正教传统，称他们不能将“同一宗教的兄弟”送到美国。 Vinnik 在整个驱逐听证会上都在阅读圣经。

7 月 30 日，希腊法官小组同意将 Vinnik 引渡到俄罗斯，尽管希腊的不同法院也裁定应将 Vinnik 引渡到美国或法国。 如果文尼克在希腊的庇护申请失败，将由司法部长决定将他送往何处。

此次逮捕是数字货币犯罪领域规模最大的逮捕行动之一。 但是当他们突袭 Vinnik 时，特工们知道逮捕俄罗斯人不太可能阻止 BTC-E。 参与调查的人士表示，目前尚不清楚 Vinnik 是 BTC-E 的领导者还是行动中的关键人物。 事实上，他们和尼尔森说，它的策划者可能仍在前苏联集团的某个地方，那里盛产比特币，并且仍在运作。

在 Vinnik 被捕后的几天内，BTC-E 以新名称重新上线。 其最新的运营商（身份无法确定）保留了BTC-E的客户名单和很多技术元素，但网站的管理与以往不同。 本月早些时候，运营商宣布他们将关闭交易所。 记者无法联系到他们。

知情人士说，联邦检察官认为 Vinnik 是 BTC-E 的几个目标中的第一个。

Nilsson 很高兴 Vinnik 被捕，但仍然感到沮丧。 他认为他找到了对他撒谎的人，但他的钱却陷入了 Mt. Gox 的破产程序。 尼尔森希望比特币能让他避开政府、金融机构和骗子。 相反，他和他的几个比特币参与其中。

“这是一个悲伤而肮脏的故事，”他说。

新浪科技公众号