揭祕ZachXBT：與惡魔賽跑的人

編譯：Odaily星球日報（ @OdailyChina ）；譯者：Azuma（ @azuma_eth ）

8 月 19 日，一位網名為 ZachXBT 的 20 多歲男子正走進機場准備搭乘回家的航班 —— 他不愿透露是哪一座機場，他的真名是什么，家在哪裏 —— 這時他看到手機上跳出一條了警報。一筆比特幣剛剛被轉移到了一家小型交易所，這是他日常監測的諸多交易所之一，目的是為了尋找各種犯罪或洗錢的跡象。這條警報引起了 ZachXBT 的興趣，該筆轉账的總價值約為 60 萬美元，是這家小交易所常規轉账的 10 倍左右。

當 ZachXBT 到達登機口時，另一條警報又來了，同一交易所又發生了第二筆價值超過 100 萬美元的轉账，接着又來了一筆 200 萬美元…… 當 ZachXBT 排隊登機時，他快速地手機上追蹤這些交易，從一個又一個比特幣地址回溯，標記可疑資金，試圖在飛機起飛到機載 Wi-Fi 啓動之間的半小時斷網時間來臨前找出可疑資金的來源。 在起飛之前，ZachXBT 已經確定這些資金來自一個自 2012 年以來一直持有價值數億美元比特幣的地址 —— 現在這筆高達九位數的資金正在不計成本地匆忙變現，任何一個具備耐心且持倉超過十年的比特幣投資者都不可能如此操作。

在 ZachXBT 看來，這些異常的轉账很明顯就是又一起巨額竊案。當他再次仔細檢查自己的线索時，他發現似乎有人從某個不幸的受害人處盜走了約 2.43 億美元的比特幣，這可能是加密貨幣歷史上針對個人的最大竊案。

ZachXBT 告訴《連线》： “從一個人手裏偷走了這么多錢……我必須確保自己沒有發瘋。”

當飛機攀升至一萬英尺以上，機載 Wi-Fi 啓動之後，ZachXBT 开始進一步追蹤被盜資金的動向，因為它們正在通過一個又一個交易所和代幣兌換服務平臺進行轉移。在接下來的幾個小時內，ZachXBT 加速繪制出了資金流動的分布圖 —— 竊賊之所以會通過十幾個平臺頻繁轉移代幣，顯然是為了混淆交易路徑。

當 ZachXBT 沿着线索追溯到失主後，他發現部分資金最初來自現已倒閉的加密貨幣交易所 Genesis。ZachXBT 在 X 上直接給該交易所的管理員發了消息，請他們幫忙聯系受害者，最終受害者決定僱傭 ZachXBT 來嘗試追回被盜資金。

當航班降落時，ZachXBT 已經發現了這場竊案的三個主要线索 —— 三個线索分別指向三個可能的罪犯。ZachXBT 還在 X 上向其 65 萬名粉絲發了消息，指出了這場鏈上正在發生的盜竊。很快，他就收到了一條消息，消息來源聲稱掌握了竊賊的身份线索。

在接下來的一周裏，ZachXBT 夜以繼日的工作，每晚的睡眠時間不超過四、五個小時，且還會定期與執法機構分享其發現。 最終，ZachXBT 確認了這場盜竊的嫌疑人 —— 兩名年輕的黑客 Malone Lam 和 Jeandiel Serrano，二人都才 20 歲出頭 —— ZachXBT 還確認了另一名涉案涉嫌人，但 Wired 選擇不公开其姓名，因為該嫌疑人尚未被捕或被起訴。

ZachXBT 甚至還查到了一段視頻錄像，錄像的內容為涉案黑客們得手後在慶祝這筆巨大的意外之財。在這場極速調查中，ZachXBT 甚至還追蹤到了竊賊的 Instagram 和 TikTok 上 账號，看到了其中一人在豪車、私人飛機和夜店方面豪擲數百萬美元 —— 涉案嫌疑人一晚曾在某家夜店消費高達 50 萬美元。

從登機前的警報響起，到三名嫌疑人中的兩人被捕並受到刑事指控，前後還不到一個月。ZachXBT 提到，當他看到其中一名涉案黑客的面部照片時，他曾感覺到了短暫的腎上腺素激增，但這種感覺很快就過去了。

“我並沒有真正感到任何特別的成就感，我只是把它當作其他案件一樣來對待。”

頭號“鏈上偵探”

如果對 ZachXBT 來說，追蹤一起價值 2.43 億美元的竊案就像是普普通通的一天，那可能是因為在過去的三年中，他已經成為了為加密貨幣世界中最高產、最知名的鏈上偵探。 自 2021 年开始進行業余調查以來，ZachXBT 已經追蹤了總額高達數十億美元的被盜資金及詐騙行為。 ZachXBT 發給了《連线》一份表格，根據他自己的統計，他已在數百次調查直接追回了約 2.1 億美元的贓款，並間接助力了約 2.25 億美元贓款的扣押。ZachXBT 還會揭露了各種項目方及 KOL 的 rug 騙局，追蹤大型竊案背後的網絡犯罪分子，並發現了數十起朝鮮黑客入侵甚至是作為員工潛入某些項目的案件。

在此過程中，ZachXBT 的收入幾乎完全來自於加密貨幣形式的捐助，這些捐款大多來自各種加密貨幣組織或是陌生人，自 2021 年以來總計約達 130 萬美元。與 ZachXBT 合作過的特勤局分析師 Joe McGill 說道：“他是新一代的調查員，他為大衆而工作，他的成功完全取決於其工作的成功。”

在 ZachXBT 從事加密貨幣“義警”的這幾年，他一直牢牢地隱藏着自己的真實身份。在互聯網上，他的頭像就是他的化身 —— 一只穿着又像偵探風衣又像衛衣的鴨嘴獸。 為了避免來自竊賊、騙子等諸多潛在“敵人”的報復，ZachXBT 從未公开露面，也沒有透露過他的真實姓名或確切年齡，且只同意在《連线》不試圖挖掘這些細節的條件下才接受採訪。

McGill 回憶表示，在他們早期進行過的一些電話會議中，ZachXBT 不僅會關閉攝像頭，甚至還會使用變聲程序，有時聽起來很高亢，就像是《南方公園》裏的人物，有時則會加深聲音的音調，讓人不禁聯想到某些恐怖片裏的聲音。當時仍就職於數據分析公司 TRM Labs 的 McGill 表示：“起初這非常奇怪，但我尊重他的隱私，因為這個匿名的家夥正在做着真正偉大的工作。”

ZachXBT 幾乎每周都會揭露多起加密貨幣詐騙和盜竊，通常比執法機構的工作要快得多，以至於 Five I's 的創始人及加密貨幣調查員和 Nick Bax 半开玩笑地懷疑他可能是某種機器人。

Bax 笑道： “他就是一臺機器。”

去年，他們曾合作追蹤了一起竊案， 2021 年一家名為 AnubisDAO 的加密貨幣項目曾被盜 6000 萬美元。Bax 在周六晚上給了 ZachXBT 一份內含 500 多筆交易的清單，每筆交易及其相關地址都需要進行細致的人工分析。Bax 原以為那會讓 ZachXBT 至少忙上好幾天，但到了第二天下午早些時候，ZachXBT 已經完成了對每一筆交易的審查，並確定了哪些交易與案件相關。

“我震驚了。” Bax 說：“他肯定連續 12 小時都坐在電腦前。”

ZachXBT 的許多調查結果都會直接發布在其 X 账戶上。隨着時間的推移，他的調查結果越來越被執法機構所重視 —— 現在他經常會在公开發布前先與執法機構分享他的發現。這么做的結果是，其調查工作的影響正在變得愈發真實、嚴肅。

MetaMask 的一名安全研究員，也是 ZachXBT 在各項調查中（包括 2.43 億美元的竊案）最親密的合作者之一 Taylor Monahan 表示：“隨着 ZachXBT 的影響越來越大，他的言行已經產生了經濟影響和法律影響，假如 ZachXBT 現在去發布一個關於某人的帖子，如果內容合理，那個人就會被捕。”

從受害者到吹哨人

在沒有任何正規訓練或組織支持的情況下，ZachXBT 是如何做到比執法機構更快、更高效地追蹤加密貨幣安全事件的呢？他自己也不太確定：“這很難回答，我也不知道我為什么擅長做這些。”

在接受《連线》的電話採訪時，ZachXBT 將此歸因於他愿意全天候工作（畢竟區塊鏈永不停歇）以及對區塊鏈的熟悉，這種熟悉源自於多年來對無數筆交易的鑽研。他說道： “你越是深入地鑽研區塊鏈，就像你喫飯、睡覺和呼吸那般，隨着時間的推移，它就开始變得愈發清晰。你將开始能夠捕捉到那些聯系。現在我只要看一眼某地址，給我幾秒鐘時間對其進行剖析，就能告訴你是否屬於一個不良行為者。”

除了多年作為加密貨幣愛好者的經驗積累之外，ZachXBT 還披露他自己也曾是一些加密貨幣安全事件的受害者。大約在 2017 年，ZachXBT 曾天真地購买了價值數千美元的加密貨幣，這些代幣最終普遍因 rug 而大幅貶。“我當時买進時就想，這有望改變世界。所以我一直拿着，從未賣出……最後我成了被騙的那個人。”

到了 2018 年，不僅僅是這些投資都失敗了，ZachXBT 使用的一個錢包 Electrum 也被黑了，他又損失了近 15000 美元。

只到那個時候，ZachXBT 才決定回過頭重新思考自己的操作。他不再只是簡單地購买或持有代幣，而是开始對加密貨幣的鏈上動向進行分析 —— 幾乎所有區塊鏈的地址和交易都是公开可見的 —— ZachXBT 決定看看那些更成功的大型投資者是如何交易的，然後嘗試模仿他們的操作。

通過不斷地分析鏈上行為，到了 2020 年，ZachXBT 對追蹤加密貨幣交易已經足夠熟悉，能夠發現那些普通投資者看不見的隱藏騙局。他看到了某些 KOL 公开向數十萬粉絲推廣某個加密資產，試圖推高其價格，但當 ZachXBT 在鏈上跟蹤其資金後，卻發現這些 KOL 實際上緊接着是在不斷出售自己的持倉，這似乎是經典的“拉高出貨”騙局。ZachXBT 表示：“這么做有些像是在做一個告密者，但我注意到了那些活動，又想到了自己在 2017 年和 2018 年的遭遇，所以就想到了為什么不發一個帖子告訴大家呢？然後這些帖子就开始爆火了。”

那一年的晚些時候，NFT 熱潮正式开啓，ZachXBT 又开始以類似的方式審查 NFT 項目，如 Bored Bunny 和 Billionaire Dogs Club 等等，以追蹤那些流入它們的資金真正去了哪裏。當時，一些 NFT 項目僅憑一套小小的卡通 jpg 圖片就能籌資數百萬美元，他們會承諾給予這些 NFT 各種特權，比如參加獨家活動或俱樂部等等。然而，ZachXBT 卻通過鏈上分析看到有些項目實際上只會打散資金並裝進自己的口袋，有時 ZachXBT 甚至會發現一些 NFT 項目實際上是另一個早期項目的改頭換面，而更早的這些項目已被證明是一場騙局。

在某些情況下，ZachXBT 關於部分 NFT 項目的披露確實可以提醒潛在买家，阻止那些可疑的項目方。 但隨着時間的推移，ZachXBT 對一次又一次揭露同樣的、明顯的騙局感到了厭倦，並對事件的普遍結局感到沮喪 —— 在他揭露的 NFT 騙局中，沒有一個人面臨刑事指控。

到了 2022 年初，ZachXBT 注意到一群黑客开始活躍於 X 之上並發布各種釣魚鏈接，這種釣魚攻擊已導致了數千萬美元的被盜。每當一個悲痛的受害者發布其積蓄被盜的消息時，ZachXBT 就會與他們聯系，然後仔細追蹤他們失去的資金。他將這些鏈上线索與他在 Discord 和 Telegram 頻道中發現的线索結合了起來 —— 有些年輕的加密貨幣黑客喜歡光顧某些頻道，ZachXBT 找到了幾個青少年的網絡账號，他們疑似正在背後進行釣魚活動，並吹噓自己的“战績”。

到了這個時候，ZachXBT 的名聲早已響徹黑客業界，以至於某個被 ZachXBT 認為存在嫌疑的人曾在 X 專門發文嘲諷他為“mr xbt”，並炫耀自己剛剛購买的愛彼鑲鑽腕表。 ZachXBT 在一個豪華腕表 Discord 頻道中找到了該腕表的賣家，並說服這位以近 50000 美元的價格出售了這塊手表的賣家交出了該嫌疑人的送貨地址和真實姓名。

沒有公开記錄顯示這名被指控的嫌疑人是否已被捕 —— 因為嫌疑人是未成年人，指控要么正被密封，要么根本未曾提起。不過 ZachXBT 找到的一份贓款沒收通知顯示， 2022 年 10 月，也就是 ZachXBT 在 X 上公布調查情況的一個月後，FBI 從他指認的未成年嫌疑人那裏沒收了價值超過 20 萬美元的加密資產，包括那塊鑲鑽手表。

同年，ZachXBT 還使用類似的技術追蹤了另一起價值 250 萬美元的 NFT 被盜案，這些 NFT 系通過不同的網絡釣魚活動竊取，據稱是由一對法國黑客所為。在該案例中，法國檢察官在幾個月後逮捕了五名嫌疑人。根據法新社的報道，檢察官特別感謝了 ZachXBT 在 X 上發布的线索幫助他們查到了這兩名涉嫌主謀。ZachXBT 就此表示：“看到執法部門根據我分享的信息採取行動，讓我很有成就感。這讓我覺得，也許我一直在做的事情真的很有意義。”

自 ZachXBT 的調查首次引起執法部門注意的兩年後，他的調查規模（在某些情況下也是影響）已經爆炸性增長。2023 年 2 月，ZachXBT 追蹤了 Platypus 被盜的近 900 萬美元資金，在幾個小時內就識別出了其中一個涉嫌嫌疑人，一周後，法國警方逮捕了兩名嫌疑人。盡管最終對這對夫婦的指控被撤銷，但警方還是追回了幾百萬美元的贓款，Platypus 專門發文感謝了 ZachXBT。同年晚些時候，ZachXBT 還追蹤了 Uranium Finance 的 2500 萬美元竊案，其中大部分資金似乎已通過購买稀有萬智牌的方式被洗錢。之後，名為 Scattered Spider 的網絡犯罪團隊曾對拉斯維加斯的 Caesar's Entertainment 發動過勒索軟件攻擊，據參與此案並接受《連线》採訪的其他調查人員回憶，該公司被勒索了 1500 萬美元，ZachXBT 協助追蹤並追回了其中的 1200 萬美元。

大約與此同時，ZachXBT 發表了對 25 起由朝鮮黑客實施的加密貨幣盜竊的大規模調查結果，涉案資金總計超過 2 億美元，約 700 萬美元已在其協助下被凍結，這其中大約一半的黑客攻擊此前從未被公开揭露過。ZachXBT 還另一項調查揭露了一個由大約 30 名朝鮮 IT 工作者組成的網絡，他們會滲透到各種科技公司，並接受加密貨幣付薪。在今年早些時候的一起案例中，其中一名似乎與朝鮮有關的技術人員受僱於 NFT 項目 Munchables，並成功地從該項目竊取了價值 6200 萬美元的加密資產。當 ZachXBT 幫助識別並標記這些資金後，多方圍堵致使嫌疑人難以變現，最後選擇了歸還贓款。

“我要瘋了！你知道這是多少錢嗎？？？”

即便擁有如此豐富的經歷，但當 ZachXBT 在機場收到某位個人受害者被盜 2.43 億美元的短信提示時，這仍是他追捕過的最大竊案之一。

從機場回家後，ZachXBT 接下來好幾天都在繼續追蹤那些分散的資金，同時還在社交媒體上尋找三個嫌疑人的蹤跡，其中兩個以 Greavys 和 Box 為名。特別是 Greavys，其真名為 Malone Lam，從他發布的豪宅、鑽石腕表、噴氣機和跑車（包括一輛蘭博基尼 Revuelto 和一輛通常售價超過 300 萬美元的帕加尼 Huayra）照片來看，他似乎住在邁阿密。ZachXBT 還看到了一些網紅發的帖子，Greavys 給這些網紅們送了些 Hermès 手袋，每個手袋價值在 3 萬到 5 萬美元之間。他還發現了在某家夜店內服務員正舉着寫有 “WHO WANT A BIRK”的電牌照片，並標注了 Greavys 的名字。

ZachXBT 說：“看起來他們的日常就是聚會和偷錢。”

幾天後，他說服了在飛行途中首次向他提供线索的线人，讓他發來了一段視頻，視頻內容是三名似乎參與了盜竊的黑客在共享屏幕。 他們不知道的是，其中一名涉案黑客在那次屏幕共享中與另一群朋友也分享了自己的屏幕，又被那其中的一個人錄了下來。 在 90 分鐘的視頻中，ZachXBT 多次聽到這三名黑客互相稱呼對方的真名，其中某個時刻，一名黑客還曾短暫地展示了其 Windows 主頁，這也暴露了他的姓氏。

視頻甚至捕捉到了黑客們得手後的狂喜反應：“哦，我的天！哦，我的天！ 2.43 億美元！是真的！我要瘋了！啊！我們完了！我們完了！我要瘋了！你知道這是多少錢嗎？？？”

9 月 18 日下午晚些時候，就在 ZachXBT 的調查开始後不到一個月，Lam 在邁阿密的一個海濱豪宅被捕，他每月為此支付 6.8 萬美元的租金。另一名嫌疑人 Box 的真名是 Jeandiel Serrano，他則是在和女友從馬爾代夫度假回來的洛杉磯機場被捕。根據檢察官的說法，Serrano 被捕時戴着一塊價值 50 萬美元的手表，在洛杉磯附近住着一棟月租金超過 4 萬美元的房子，且在豪車上已消費了 100 萬美元。第二天，對 Lam 和 Serrano 的電匯欺詐及洗錢指控被公布。根據法庭文件，兩名黑客都向執法人員承認他們參與了多場加密貨幣竊案，Lam 還承認利用這些贓款購买了不少於 31 輛豪車。

截至目前，這場總額高達 2.43 億美元的竊案中已有 7900 萬美元被扣押或凍結。ZachXBT 希望還能找到更多的資金。檢察官表示，即使是在黑客如此揮霍之後，仍有超過 1 億美元下落不明。

根據公开記錄，ZachXBT 指出的第三名嫌疑人似乎住在康涅狄格州，但尚未被控任何罪行。然而，記者 Brian Krebs 指出了一份刑事訴狀，描述了一群男子 8 月底（即竊案發生後的四天）曾於康涅狄格州在一對五十多歲夫婦的蘭博基尼上劫車，並短暫綁架了他們，因為劫車者“相信受害者的兒子可以接觸到大量數字貨幣” —— 這表明受害者可能是 ZachXBT 指出的第三名嫌疑人的家長。

對 ZachXBT 個人來說，這場調查可能是一個轉折點，因為這是他第一次在某起案件中被受害者直接聘用，並因他的有效調查而收到報酬，而非作為志愿者依靠着捐款進行工作。 他說他可能會轉型做更多的有償工作，甚至可能成立自己的調查公司。

但 ZachXBT 堅持表示他並不是想通過其調查而致富：“我想要看到資金被扣押，看到資金被歸還給受害者，看到罪犯們被逮捕，那就是我的目標，那就是我決心要做的事情。看到我的工作對別人有益，這就是我自豪感的來源。”

MetaMask 的 Taylor Monahan 是 ZachXBT 的合作者，他們已經一起進行了數十次調查，她相信 ZachXBT 的行動仍主要出於正義感 —— 這種正義感來自於他曾經也是加密貨幣世界亂象的受害者，他不希望其他人有同樣的遭遇。

Monahan 說道：“他和這個行業中的許多人一樣，都曾有過不好的經歷，周圍的每個人都在說你真倒黴，但他本能地抵觸這種現象，想要改變這一狀況。”

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。