宅男的报复：比特币被盗后用了三年时间才扳倒价值40亿美元的洗钱集团

2014 年，Kim Nilsson 在发现有人非法窃取他的比特币时大发雷霆。 虽然，这明明是犯罪行为，但警方似乎并不理解，更不想依靠警方来解决这个问题。

比特币莫名其妙地从现已倒闭的比特币交易所 Mt. Gox 中消失了。 当时，Mt. Gox 的数百名投资者发现，这个交易平台虽然没有破产，但却陷入了极度混乱，超过 4 亿美元的比特币似乎凭空消失在了网络空间中。

与许多其他受害者不同，尼尔森先生决定反击，他们两人与同样丢失比特币的两名合伙人（其中一名是律师）联手追查比特币窃贼的下落。 就这样，三人开始了长达三年的跟踪调查互联网弱点的旅程。 调查之旅于去年夏天在希腊海滩圆满结束。 在一座拥有 1000 年历史的修道院的阴影下，联邦调查局特工逮捕了一名俄罗斯男子，并指控他通过最近的汇率洗钱价值约 40 亿美元的比特币，这种现在已经短暂存在的加密货币。 发展史上的重大犯罪事件之一。

Nilsson 先生依靠计算机跟踪侦探的乐观坚持，开始了对比特币的长期而冒险的调查，其中还包括由于近年来价值和使用的爆炸性增长而导致的加密货币的混乱成熟。 他在比特币世界的核心发现了价值数十亿美元的盗窃和洗钱计划，这在很大程度上揭示了不受监管的数字荒野对投资者来说有多么危险。

他的工作——他称之为“区块链考古学”——已经成为一个行业，许多加密货币私人调查公司现在专注于追踪资金流动和侦查大银行、交易所和执法部门可能犯下的罪行。 犯罪。 美国政府机构——包括联邦调查局、中央情报局和国税局——也有自己的加密货币调查员。

在比特币首次亮相后的九年左右的时间里，这种加密货币在其巅峰时期的价值超过 150 亿美元，而当时它被盗，其中大部分来自 Mt. Gox 等交易平台崩溃。 这不包括尚未公布的盗窃案件，或在其他非法活动中使用加密货币，例如购买被盗的信用卡或向黑客付款。

这些盗窃只是比特币面临的威胁之一，比特币让银行过时，并通过承诺分散和匿名的支付系统使金融世界数字化。

当人们进行收集大量详细用户数据的大型集中交换时，匿名性正在逐渐消失，所有这些数据都可供政府调查人员使用。 投机者的推动使比特币的价格波动不定，使其作为现金流不可行，作为投资也很危险。

随之而来的是犯罪：在政府监管不力和比特币交易不可逆转的情况下，一些网络窃贼开发了创造性的方法，不仅可以闯入交易所，还可以将比特币用于各种目的。 其他事件。 信用卡窃贼正在出售被盗的比特币卡； 网络安全研究人员表示，根据数据，包括一些来自朝鲜的黑客已经开始使用比特币支付赎金。 监管机构现在希望将比特币置于与传统投资相同的规则之下。

对于比特币的真正信徒，例如在东京狭窄的高层建筑中生活和工作的 36 岁瑞典人 Nilsson 先生，监管机构提出这种监管的想法简直是愚蠢。

在后危机的乐观浪潮中，Nilsson 先生和日本数字货币界的其他热心成员纷纷涌入比特币世界。 比特币最初是由一个或多个名叫中本聪的神秘编码员创建的，它仅作为数字分类账中的一串代码在线存在，称为区块链，存在于金融系统之外的主流中。

分类账由分布在世界各地的数千台计算机维护，其中的交易是公开可见的，但背后的人却保密。 这种安排确保一个人不能多次使用相同的比特币来支付商品或服务，虽然可以看到比特币在由字母和数字串组成的识别“地址”之间移动，但钱包所有者的名字仍然是匿名的。 众所周知。

从理论上讲，该过程是分散的，每个所有者负责跟踪密码。 根据区块链的工作方式，银行或信用卡公司等受信任的中介机构无需确保交易的有效性。

事实上，很多比特币交易都是通过比特币交易平台进行的，而不是用户直接上区块链。 许多交易所基本上不受监管，其运作方式与传统金融机构非常相似，将买家与卖家联系起来，并将他们的货币存入在线账户。 这些账户，以及用户信息的交换收集，被黑客攻击的风险很高。

Mt. Gox 总部位于东京，是同类交易平台中的第一个，也是最大的交易平台之一。 它提供买卖比特币的平台，以及为用户维护存储比特币的受数字密码保护的数字钱包的服务。 2012 年，Nilsson 先生从朋友那里购买了他的第一个比特币。 一年后，他开始从 Mt. Gox 购买加密货币，积累了一定数量。

Nilsson 先生在东京生活了大约十年，留着簇绒胡须，穿着 1990 年代黑客或 Rush 音乐会风格的连衣裙。

买家当时并不知道 Mt. Gox 遇到了麻烦。 黑客在 2011 年获得了私钥，并开始从在线钱包中窃取比特币，四年间窃取了近 630,000 个比特币。

Mt. Gox 所有者 Mark Karpelès 是一名旅居东京的法国侨民，他一直试图隐瞒盗窃行为，直到 2014 年初，Mt. Gox 才停止取款并申请破产。

数百名受害者因比特币短暂历史上最大的崩盘而悲痛欲绝。 一名加利福尼亚男子损失了大约 40,000 美元，一名芝加哥投资者损失了 50,000 多美元。 台湾律师丹尼尔·凯尔曼 (Daniel Kelman) 丢失了 44.5 个比特币，约合 40 万美元，他前往东京了解盗窃的真相。

在摩天大楼酒吧的一次比特币聚会上，律师丹尼尔凯尔曼遇到了夏威夷人杰森莫里斯小伙被抓了出来后比特币，莫里斯将尼尔森先生介绍给了律师丹尼尔凯尔曼，告诉他尼尔森先生有计划了解Mt. GOX的事件。

在 Tedd's Bigger Burger 吃晚饭时，Maurice 先生和他的夏威夷盟友制定了一个计划，如何找到丢失的加密货币并将其成功用于商业活动。

律师凯尔曼先生回忆起他的合作伙伴说：“你知道那些关于肯尼迪遇刺事件的纪录片，你看过他们之后 20 年吗？这将是 20 年后的我们。”

Nilsson 先生、Kelman 先生和 Messrs 先生以 Messrs 先生采用的代号命名了他们的公司 WizSec，并采用了标语“比特币安全专家”。 但这项业务从未真正起飞。

“很快，我主要从事技术工作，”尼尔森先生说。 我们没有钱购买新技术或办公室，所以我们开始在东京市中心调查外一栋高层建筑中的 650 平方英尺的公寓里开始。

Nilsson 先生正在使用他在网上订购的家用电脑来玩视频游戏的某些部分，但没有足够的计算能力来有效地搜索比特币的区块链。 如果您搜索，可能需要一整夜。

相反，尼尔森先生走传统路线，开发了一个程序来索引区块链，让他能够快速搜索每笔交易的输入、输出和地址。

虽然这种搜索模式正在出现，但也很难破译，因为区块链无法识别每笔交易背后的用户，也没有将区块链地址与真人联系起来的在线电话簿。

幸运的是，一次数据泄露让他得以继续调查。 Mt. Gox 的数据库一部分被泄露了，一部分在互联网上小伙被抓了出来后比特币，还有一部分泄露给了记者。 Nilsson 先生获得了泄露的数据，其中包括交易记录、取款、存款和用户余额的私人记录。

2014 年 5 月，另一位程序员发表了对泄露信息的分析。 它发现账户以一种看似自动化的方式实施了购买比特币的过程，设定价格以支撑 Mt. Gox 股票。

Nilsson 先生查看了该报告，意识到他可以使用该数据库来确定从 Mt. Gox 丢失了多少比特币，方法是找到与交易所相关的每个丢失的比特币钱包，然后跟踪它们的交易。

比特币调查接管了他的生活。 但他的全职工作仍在继续，他的夜晚在三个亮着的屏幕前度过，一个是代码行，另一个是记录关键信息的电子表格，第三个是笔记。

经过几个月的工作，尼尔森先生拥有近 200 万个与 Mt. Gox 相关的地址，但他不知道谁在使用它们，也不知道它们的目的是什么，他需要内部人士的帮助。

当时，日本执法机构正在调查 Mt. GOX，其负责人卡佩莱斯先生一直保持低调。 Kelman 先生的调查显示，Karpelès 经常使用一种名为 Internet Relay Chat 的消息传递应用程序。 凯尔曼先生说：“有一天我在 IRC 上，我刚开始指责马克挪用公款。”

Karpelès 先生急于洗清自己的罪名，并同意在一家汉堡店与 Nilsson 先生和 Kelman 先生会面。 他确认了 Nilsson 先生整理的账户信息，并帮助他开发了完整的 Mt. Gox 通讯录。 两位投资者表示，Karpelès 先生还告诉他们一些直到很久以后才会公开的事情：Mt. Gox 上的可疑交易是由 Karpelès 先生策划的，目的是掩盖不明犯罪者的盗窃行为。

Karpelès 先生拒绝置评，但此前曾否认在 Mt. GOX 上挪用资金。

Nilsson 先生调查了剩余的数千个比特币钱包，并确定大约 900,000 个比特币应该从 Mt. Gox 被盗，而不是 200,000。 Karpelès 早在 2011 年就知道比特币丢失了，Nilsson 先生在 2015 年的一篇博文中写道，“无论有意还是无意，Mt. Gox 至少从 2012 年开始就在技术上破产了。”

一些比特币似乎已经被出售换取现金，尼尔森先生还没有弄清楚是谁偷了或卖了它们，但他正在追踪剩余的比特币。

为了发现更多信息，他于 2015 年 4 月在 WizSec 博客上公布了他的发现。他概述了他所知道的以及他认为除了 Karpelès 先生之外还有其他人偷走了比特币。 “那么，”文章总结道，“到底是谁干的这些事？”

不久之后，他得到了意想不到的消息。 IRS 代理人 Gary Alford 是加密社区的调查员，他认为丝绸之路是比特币的去向，这是一个可以用比特币购买毒品和武器的在线市场。 市场。 这是有史以来最大的与比特币相关的起诉之一，Alford 先生正在进行比特币和丝绸之路调查，这与 Nilsson 先生的调查有些重叠。

这是一个尴尬的时刻。 尼尔森进入比特币市场的部分原因是为了逃避监管。 “显然，在我的圈子里，美国国税局的名声不好，税务员通常也不受欢迎。”

但 Messrs 先生和 Nilsson 先生认为，美国政府凭借其广泛的影响力和优越的资金和技术，可以提供帮助。

然而合作的结果却恰恰相反。 凯尔曼先生说：“我们与他的合作就像一条单行道。我们向他提供了我们所知道的所有信息，但阿尔福德先生只是说，‘你的调查方向是正确的’”。

Nilsson 先生还通过跟踪比特币从 Mt. Gox 流向其他交易所（包括一个名为 BTC-E 的交易所）的流程来加强他的调查。 然后他发现了一些意想不到的事情：Mt. Gox 比特币最终流向的钱包，以及从其他看似无关的知名比特币平台窃取的比特币。

尼尔森先生将其中一些交易与 Mt. Gox 泄露的信息进行了交叉对比，他看到从 Mt. Gox 平台窃取的部分比特币被存入了其他 Mt. Gox 账户，其中一个账户收到了一笔 A 现金存入一张简单写着“WME”的便条。 这个拥有 WME 账户的人就是被盗的 Mt. Gox 比特币的拥有者，现在他只需要弄清楚那个人是谁。

那时，尼尔森先生从区块链分析转向了老式的网络拖网分析。

进一步的调查指向一名 WME 人物，他声称在莫斯科经营货币兑换业务。

WME在2011年在Bitcointalk.org网站上留下了这样的声明：“你好，我从事交易平台业务已经10多年了，现在我开始用比特币进行交易，我可以用它们兑换任何东西，”。

“我优先考虑大笔资金项目，”WME 补充道。

Nilsson 先生进行了深入调查，发现 WME 钱包与加密货币交易所 BTC-E 相关联。

来自 Mt. Gox 的一些比特币最终进入了 BTC-E 账户并且似乎从未离开过，在此过程中没有交换，它们留在与 BTC-E 管理员关联的钱包中。 BTC-E账户在小偷手中？

下一步是确定 WME 是谁。

好像很难。 犯罪分子每次交易都使用不同的钱包，并且小心翼翼地不留下任何可以通过假名与真实身份相关联的信息。

但 WME 显然粗心大意，留下了“粗心处理身份”，这成为 Nilsson 先生调查的线索。

第一个是将 WME 与与特定帐户相关的帖子相关联。 然后尼尔森先生看到了 2012 年的一个留言板帖子，其中一位愤怒的“WME”用户声称另一个交易平台“骗了我的钱”。

“这是针对 CryptoXchange 平台的诈骗索赔，它从我这里偷走了 100,000 美元并且拒绝支付，”帖子说。

为了支持他的说法，WME 发布了他和 CryptoXchange 之间的消息，以及他的律师给公司的一封信。 在消息的底部，CryptoXchange 平台告知 WME 他将资金存入何处：“VINNIK ALEXANDER”拥有的账户。

尼尔森先生感到震惊，他说：“我什至不相信这是一个真名，我一直认为这是一个别名之类的。为什么加密的人会在网上发布他的真实姓名和银行详细信息？”

尼尔森先生将这个名字传给了国税局代理人奥尔福德先生。 那时是 2016 年夏天，Nilsson 先生已经调查此案两年了。

他当时不知道的是，BTC-E 是政府调查人员的目标。 仍然在肯尼迪时代的联邦法院，代理人和检察官利用司法部的传票权、技术和预算来达到尼尔森先生的目的。

网络安全研究人员表示，BTC-E 是全球犯罪分子首选的交易所。 它在欧洲的银行关系允许客户购买比特币或将其兑换成欧元和卢布。 一位私营部门区块链调查员估计，到 2016 年，BTC-E 出现在多达 60% 至 70% 的所有加密货币犯罪案件中。

“没有人知道 BTC-E 是谁，也没有人知道所有者是谁。我们认为它可能在保加利亚，也可能在塞浦路斯，”美国国税局调查员 Tigran Gambaryan 说，他是 Vinnik 调查的主要代理人。

Gambaryan 先生说，代理人只知道 BTC-E 是当时最大的比特币交易所之一，而且它“对其用户的身份没有要求”。 奥尔福德拒绝置评。

根据法庭文件，联邦调查人员还发现了一个“WME”控制账户，该账户窃取了 Mt. Gox 的比特币，并且还与 BTC-E 相关联。

通过区块链交易和传票追踪银行记录。 他们发现，在 2013 年至 2015 年期间，一个与 BTC-E 和俄罗斯公民相关的账户涉嫌向塞浦路斯和拉脱维亚的银行转账，洗钱者将其作为非洲大陆的主要资金来源。 银行的传送点。

到 2016 年底，检察官有足够的证据起诉 Vinnik 先生。

由于俄罗斯通常不会驱逐被指控的网络犯罪分子，因此美国特工想方设法在别处逮捕他。 他们于 2017 年 1 月提交了一份密封的联邦起诉书，指控 Vinnik 先生及其同伙通过 BTC-E 洗钱约 40 亿美元。 文尼克先生在希腊度假时，联邦调查局和当地警方准备逮捕他。

7 月 25 日，便衣警察在海滩上包围了 Vinnik 先生并将他逮捕。 根据一名希腊执法官员引用的法庭文件，他们没收了两台笔记本电脑、两台平板电脑、五部手机和一个路由器——所有这些都可能是知道 BTC-E 账户的证据。

Vinnik 先生的未来不明朗，美国正试图引渡他，但俄罗斯表示反对，并表示希望他返回莫斯科接受 9500 欧元的欺诈调查。

在希腊法庭听证会上，Vinnik 先生的俄罗斯律师否认了这些指控，声称他的客户不是 BTC-E 的员工，并声称他正在与美国在全球金融体系中的主导地位作斗争。 这位律师呼吁希腊人和俄罗斯人分享正统基督教传统，称他们不能将“同一宗教的兄弟”送到美国。 文尼克先生还在驱逐出境听证会上阅读了圣经。

7 月 30 日，一群希腊法官同意将 Vinnik 先生引渡到俄罗斯，尽管不同的希腊法院认为他应该去美国或法国。 如果 Vinnik 先生在希腊的庇护申请失败，将由司法部长决定将他送往何处。

逮捕在数字货币世界已经是非常严重的惩罚了。 但鉴于 Vinnik 先生目前被捕，我们看到逮捕他不太可能真正阻止 BTC-E 的运作。 参与调查的人士表示，尚不清楚 Vinnik 先生是 BTC-E 的领导者，还是在该行动中特别重要的人。 事实上，他们和尼尔森先生说，它的策划者可能仍然存在于前苏联集团的某个地方，拥有大量比特币并且仍在运作。

在 Vinnik 先生被捕后的几天内，BTC-E 以新名称重新上线。 其最新的运营商身份仍不确定，但 BTC-E 的客户名单和许多技术元素都保留了下来，但该网站处于不同的管理之下。 本月早些时候，运营商宣布他们将关闭交易平台，但很难联系到他们发表评论。

知情人士说，联邦检察官认为 Vinnik 先生只是 BTC-E 的几个目标中的第一个。

尼尔森先生对被捕感到高兴，但也感到沮丧。 他觉得他的钱仍然停留在 Mt. Gox 的破产程序中，尽管他已经找到了偷钱的人。 Nilsson 先生希望比特币能让他避开政府、金融机构和骗子。 相反，他和他的比特币正好涉及三个地方。 “这真是一个悲惨的故事，”他说。