揭秘ZachXBT:与恶魔赛跑的人
本文来自:《连线》(Wired);原文作者:Andy Greenberg
编译:Odaily星球日报(@OdailyChina);译者:Azuma(@azuma_eth)
编者按:ZachXBT 可能是加密货币世界当下最响亮的名字之一。
过去数年间,ZachXBT 已通过个人调查侦破了大量安全事件,直接追回了数亿美元的资金,揭露了无数起暗箱操作及内幕骗局。
最近的案例发生于前天,在 Meme 项目 SHAR 意外“蹿红”之后,ZachXBT 曾披露该项目涉嫌阴谋做局及 KOL 操盘。不久后 SHAR 原形毕露,背后操盘者直接将该代币的市值从 4000 万美元砸至 300 万美元。
在多年的调查工作中,ZachXBT 也招致了不少的敌意,有人憎恨他揭穿了自己心爱的仓位,心想没有他的话庄家或许不会这么早收割;有人阴谋布局良久,却在得手之际被他赤裸裸地揭穿;有人本已盗走上亿资金,正在挥金如土地享受奢靡生活,转瞬却被 ZachXBT 的调查送进了局子。
出于对潜在报复的担忧,ZachXBT 在互联网上隐去了姓名,没人知道他长什么样?叫什么?多大?住在哪?但业界几乎已形成了普遍共识 —— 当灾祸降临己身之时,这只“四眼鸭嘴兽”(ZachXBT 的社交媒体头像)就像是披洒着圣光的天使。
近日,ZachXBT 罕见地接受了知名媒体《连线》的专访,在访谈中 ZachXBT 更是罕见地提到了一些不至于暴露身份的个人信息。以下为《连线》专访的原文内容,由 Odaily 星球日报编译。
8 月 19 日,一位网名为 ZachXBT 的 20 多岁男子正走进机场准备搭乘回家的航班 —— 他不愿透露是哪一座机场,他的真名是什么,家在哪里 —— 这时他看到手机上跳出一条了警报。一笔比特币刚刚被转移到了一家小型交易所,这是他日常监测的诸多交易所之一,目的是为了寻找各种犯罪或洗钱的迹象。这条警报引起了 ZachXBT 的兴趣,该笔转账的总价值约为 60 万美元,是这家小交易所常规转账的 10 倍左右。
当 ZachXBT 到达登机口时,另一条警报又来了,同一交易所又发生了第二笔价值超过 100 万美元的转账,接着又来了一笔 200 万美元……当 ZachXBT 排队登机时,他快速地手机上追踪这些交易,从一个又一个比特币地址回溯,标记可疑资金,试图在飞机起飞到机载 Wi-Fi 启动之间的半小时断网时间来临前找出可疑资金的来源。在起飞之前,ZachXBT 已经确定这些资金来自一个自 2012 年以来一直持有价值数亿美元比特币的地址 —— 现在这笔高达九位数的资金正在不计成本地匆忙变现,任何一个具备耐心且持仓超过十年的比特币投资者都不可能如此操作。
在 ZachXBT 看来,这些异常的转账很明显就是又一起巨额窃案。当他再次仔细检查自己的线索时,他发现似乎有人从某个不幸的受害人处盗走了约 2.43 亿美元的比特币,这可能是加密货币历史上针对个人的最大窃案。
ZachXBT 告诉《连线》:“从一个人手里偷走了这么多钱……我必须确保自己没有发疯。”
当飞机攀升至一万英尺以上,机载 Wi-Fi 启动之后,ZachXBT 开始进一步追踪被盗资金的动向,因为它们正在通过一个又一个交易所和代币兑换服务平台进行转移。在接下来的几个小时内,ZachXBT 加速绘制出了资金流动的分布图 —— 窃贼之所以会通过十几个平台频繁转移代币,显然是为了混淆交易路径。
当 ZachXBT 沿着线索追溯到失主后,他发现部分资金最初来自现已倒闭的加密货币交易所 Genesis。ZachXBT 在 X 上直接给该交易所的管理员发了消息,请他们帮忙联系受害者,最终受害者决定雇佣 ZachXBT 来尝试追回被盗资金。
当航班降落时,ZachXBT 已经发现了这场窃案的三个主要线索 —— 三个线索分别指向三个可能的罪犯。ZachXBT 还在 X 上向其 65 万名粉丝发了消息,指出了这场链上正在发生的盗窃。很快,他就收到了一条消息,消息来源声称掌握了窃贼的身份线索。
在接下来的一周里,ZachXBT 夜以继日的工作,每晚的睡眠时间不超过四、五个小时,且还会定期与执法机构分享其发现。最终,ZachXBT 确认了这场盗窃的嫌疑人 —— 两名年轻的黑客 Malone Lam 和 Jeandiel Serrano,二人都才 20 岁出头 —— ZachXBT 还确认了另一名涉案涉嫌人,但 Wired 选择不公开其姓名,因为该嫌疑人尚未被捕或被起诉。
ZachXBT 甚至还查到了一段视频录像,录像的内容为涉案黑客们得手后在庆祝这笔巨大的意外之财。在这场极速调查中,ZachXBT 甚至还追踪到了窃贼的 Instagram 和 TikTok 上 账号,看到了其中一人在豪车、私人飞机和夜店方面豪掷数百万美元 —— 涉案嫌疑人一晚曾在某家夜店消费高达 50 万美元。
从登机前的警报响起,到三名嫌疑人中的两人被捕并受到刑事指控,前后还不到一个月。ZachXBT 提到,当他看到其中一名涉案黑客的面部照片时,他曾感觉到了短暂的肾上腺素激增,但这种感觉很快就过去了。
“我并没有真正感到任何特别的成就感,我只是把它当作其他案件一样来对待。”
从受害者到吹哨人
在没有任何正规训练或组织支持的情况下,ZachXBT 是如何做到比执法机构更快、更高效地追踪加密货币安全事件的呢?他自己也不太确定:“这很难回答,我也不知道我为什么擅长做这些。”
在接受《连线》的电话采访时,ZachXBT 将此归因于他愿意全天候工作(毕竟区块链永不停歇)以及对区块链的熟悉,这种熟悉源自于多年来对无数笔交易的钻研。他说道:“你越是深入地钻研区块链,就像你吃饭、睡觉和呼吸那般,随着时间的推移,它就开始变得愈发清晰。你将开始能够捕捉到那些联系。现在我只要看一眼某地址,给我几秒钟时间对其进行剖析,就能告诉你是否属于一个不良行为者。”
除了多年作为加密货币爱好者的经验积累之外,ZachXBT 还披露他自己也曾是一些加密货币安全事件的受害者。大约在 2017 年,ZachXBT 曾天真地购买了价值数千美元的加密货币,这些代币最终普遍因 rug 而大幅贬。“我当时买进时就想,这有望改变世界。所以我一直拿着,从未卖出……最后我成了被骗的那个人。”
到了 2018 年,不仅仅是这些投资都失败了,ZachXBT 使用的一个钱包 Electrum 也被黑了,他又损失了近 15000 美元。
只到那个时候,ZachXBT 才决定回过头重新思考自己的操作。他不再只是简单地购买或持有代币,而是开始对加密货币的链上动向进行分析 —— 几乎所有区块链的地址和交易都是公开可见的 —— ZachXBT 决定看看那些更成功的大型投资者是如何交易的,然后尝试模仿他们的操作。
通过不断地分析链上行为,到了 2020 年,ZachXBT 对追踪加密货币交易已经足够熟悉,能够发现那些普通投资者看不见的隐藏骗局。他看到了某些 KOL 公开向数十万粉丝推广某个加密资产,试图推高其价格,但当 ZachXBT 在链上跟踪其资金后,却发现这些 KOL 实际上紧接着是在不断出售自己的持仓,这似乎是经典的“拉高出货”骗局。ZachXBT 表示:“这么做有些像是在做一个告密者,但我注意到了那些活动,又想到了自己在 2017 年和 2018 年的遭遇,所以就想到了为什么不发一个帖子告诉大家呢?然后这些帖子就开始爆火了。”
那一年的晚些时候,NFT 热潮正式开启,ZachXBT 又开始以类似的方式审查 NFT 项目,如 Bored Bunny 和 Billionaire Dogs Club 等等,以追踪那些流入它们的资金真正去了哪里。当时,一些 NFT 项目仅凭一套小小的卡通 jpg 图片就能筹资数百万美元,他们会承诺给予这些 NFT 各种特权,比如参加独家活动或俱乐部等等。然而,ZachXBT 却通过链上分析看到有些项目实际上只会打散资金并装进自己的口袋,有时 ZachXBT 甚至会发现一些 NFT 项目实际上是另一个早期项目的改头换面,而更早的这些项目已被证明是一场骗局。
在某些情况下,ZachXBT 关于部分 NFT 项目的披露确实可以提醒潜在买家,阻止那些可疑的项目方。但随着时间的推移,ZachXBT 对一次又一次揭露同样的、明显的骗局感到了厌倦,并对事件的普遍结局感到沮丧 —— 在他揭露的 NFT 骗局中,没有一个人面临刑事指控。
到了 2022 年初,ZachXBT 注意到一群黑客开始活跃于 X 之上并发布各种钓鱼链接,这种钓鱼攻击已导致了数千万美元的被盗。每当一个悲痛的受害者发布其积蓄被盗的消息时,ZachXBT 就会与他们联系,然后仔细追踪他们失去的资金。他将这些链上线索与他在 Discord 和 Telegram 频道中发现的线索结合了起来 —— 有些年轻的加密货币黑客喜欢光顾某些频道,ZachXBT 找到了几个青少年的网络账号,他们疑似正在背后进行钓鱼活动,并吹嘘自己的“战绩”。
到了这个时候,ZachXBT 的名声早已响彻黑客业界,以至于某个被 ZachXBT 认为存在嫌疑的人曾在 X 专门发文嘲讽他为“mr xbt”,并炫耀自己刚刚购买的爱彼镶钻腕表。ZachXBT 在一个豪华腕表 Discord 频道中找到了该腕表的卖家,并说服这位以近 50000 美元的价格出售了这块手表的卖家交出了该嫌疑人的送货地址和真实姓名。
没有公开记录显示这名被指控的嫌疑人是否已被捕 —— 因为嫌疑人是未成年人,指控要么正被密封,要么根本未曾提起。不过 ZachXBT 找到的一份赃款没收通知显示, 2022 年 10 月,也就是 ZachXBT 在 X 上公布调查情况的一个月后,FBI 从他指认的未成年嫌疑人那里没收了价值超过 20 万美元的加密资产,包括那块镶钻手表。
同年,ZachXBT 还使用类似的技术追踪了另一起价值 250 万美元的 NFT 被盗案,这些 NFT 系通过不同的网络钓鱼活动窃取,据称是由一对法国黑客所为。在该案例中,法国检察官在几个月后逮捕了五名嫌疑人。根据法新社的报道,检察官特别感谢了 ZachXBT 在 X 上发布的线索帮助他们查到了这两名涉嫌主谋。ZachXBT 就此表示:“看到执法部门根据我分享的信息采取行动,让我很有成就感。这让我觉得,也许我一直在做的事情真的很有意义。”
自 ZachXBT 的调查首次引起执法部门注意的两年后,他的调查规模(在某些情况下也是影响)已经爆炸性增长。2023 年 2 月,ZachXBT 追踪了 Platypus 被盗的近 900 万美元资金,在几个小时内就识别出了其中一个涉嫌嫌疑人,一周后,法国警方逮捕了两名嫌疑人。尽管最终对这对夫妇的指控被撤销,但警方还是追回了几百万美元的赃款,Platypus 专门发文感谢了 ZachXBT。同年晚些时候,ZachXBT 还追踪了 Uranium Finance 的 2500 万美元窃案,其中大部分资金似乎已通过购买稀有万智牌的方式被洗钱。之后,名为 Scattered Spider 的网络犯罪团队曾对拉斯维加斯的 Caesar's Entertainment 发动过勒索软件攻击,据参与此案并接受《连线》采访的其他调查人员回忆,该公司被勒索了 1500 万美元,ZachXBT 协助追踪并追回了其中的 1200 万美元。
大约与此同时,ZachXBT 发表了对 25 起由朝鲜黑客实施的加密货币盗窃的大规模调查结果,涉案资金总计超过 2 亿美元,约 700 万美元已在其协助下被冻结,这其中大约一半的黑客攻击此前从未被公开揭露过。ZachXBT 还另一项调查揭露了一个由大约 30 名朝鲜 IT 工作者组成的网络,他们会渗透到各种科技公司,并接受加密货币付薪。在今年早些时候的一起案例中,其中一名似乎与朝鲜有关的技术人员受雇于 NFT 项目 Munchables,并成功地从该项目窃取了价值 6200 万美元的加密资产。当 ZachXBT 帮助识别并标记这些资金后,多方围堵致使嫌疑人难以变现,最后选择了归还赃款。
