宅男的复仇：比特币被盗后，用了三年时间打倒了一个价值 40 亿美元的洗钱集团

)] 8月13日报道（编译：Kim）

2014 年，Kim Nilsson 发现有人通过非法手段盗取了他的比特币，他非常生气。虽然，这明明是犯罪行为，但警方似乎无法理解，更想依靠警方解决问题。

比特币莫名其妙地从 Mt. Gox 上消失了，这是一个现已停业的比特币交易所。当时，数百名 Mt. Gox 投资者发现该交易所虽然没有破产，但处于极度混乱之中，价值超过 4 亿美元的比特币似乎消失在网络空间中。

与许多其他受害者不同，尼尔森先生决定反击，他们两人联手两名同样丢失比特币的合伙人追查比特币窃贼，其中一名是律师。就这样，三人开始了一段长达三年的互联网弱点追踪调查之旅。考察之旅于去年夏天在希腊海滩圆满结束。在一座拥有 1000 年历史的修道院的阴影下，联邦调查局特工逮捕了一名俄罗斯男子，并指控他通过最近的汇率清洗价值约 40 亿美元的比特币，这是目前短命的加密货币。发展史上最大的罪行之一。

凭借计算机追踪侦探的乐观坚持，尼尔森先生开始了漫长而冒险的比特币调查之旅，其中还包括近年来爆炸式增长的加密货币的价值和用途。以及混沌成熟的过程。他在比特币世界的核心发现了一个价值数十亿美元的盗窃和洗钱计划，这在很大程度上暴露了不受监管的数字荒野，对投资者来说充满危险。

他的工作 - 他称之为“区块链考古学” - 已经成为一个行业，一大群私人加密货币调查公司现在跟踪资金流动并检测大型银行，以及执法机构可能实施的交易犯罪。美国政府机构——包括联邦调查局、中央情报局和国税局——也有自己的加密货币调查员。

自比特币首次亮相以来的九年左右，该加密货币在其最高价格时价值超过 150 亿美元，当时它被盗，主要是由于 Mt. Gox 等交易平台崩溃等因素。这不包括尚未公布的盗窃案件，或用于其他非法活动的加密货币，例如购买被盗信用卡或向黑客付款。

这些盗窃只是比特币面临的威胁之一，比特币通过承诺去中心化和匿名的支付系统使银行过时并使金融世界数字化。

随着人们进行大规模的集中交易，收集大量详细的用户数据，而所有这些数据都可供政府调查人员使用，匿名性正在逐渐消失。投机者的推动使得比特币的价格如此波动，使得比特币作为现金流不可行，作为投资也很危险。

然后是犯罪：由于政府很少监督和比特币交易的不可逆转性，一些网络窃贼已经开发出创造性的方法，不仅可以闯入交易所，还可以使用比特币进行各种其他活动。信用卡窃贼出售被盗的比特币卡；数据显示，网络安全研究人员表示，包括一些来自朝鲜的黑客已经开始用比特币支付赎金。监管机构现在希望将比特币置于与传统投资相同的规范之下。

对于比特币的真正信徒，例如 Nilsson 先生，他是一位 36 岁的瑞典人，他在东京狭窄的高层建筑中生活和工作，监管机构的监管愿景简直是愚蠢的差事。

先生。在金融危机后的乐观浪潮中，尼尔森和其他日本数字货币社区的热心成员涌入了比特币世界。一开始，比特币是由一个神秘的编码员或一些名为中本聪的编码员创建的，比特币仅作为一串代码存在于称为区块链的数字分类账中，存在于金融体系之外的主流中。

账本由分散在世界各地的数千台计算机维护，其上的交易是公开可见的，但其背后的人是保密的。这种安排确保了一个人不能多次使用相同的比特币来支付商品或服务，虽然可以看到比特币在由字母和数字组成的识别“地址”之间移动，但钱包所有者的名字仍然无法识别。

理论上，该过程是分散的警察让提供比特币交易记录，每个所有者负责跟踪密码。区块链的工作方式不一定需要受信任的中介（如银行或信用卡公司）来确保交易的有效性。

实际上，很多比特币交易都是通过比特币交易所进行的，而不是用户直接进入区块链。许多交易所基本上不受监管，其运作方式与传统金融机构非常相似，将买家与卖家联系起来，并将他们的货币存入在线账户。这些账户，以及用户信息的交换收集，都面临着被黑客攻击的高风险。

山。 Gox 总部位于东京，是同类交易平台中最早也是最大的交易平台之一。它提供了一个买卖比特币的平台，以及为用户维护一个存储比特币的受数字密码保护的数字钱包的服务。 2012 年，尼尔森先生从朋友那里购买了他的第一个比特币。一年后，他开始从 Mt. Gox 购买加密货币，并积累了一定数量。

先生。 Nilsson 已经在东京生活了大约十年，下巴上留着一小撮胡须，他的风格停留在 1990 年代黑客或 Rush 音乐会的风格中。风格。

当时买家并不知道 Mt. Gox 遇到了麻烦。黑客在 2011 年获得了私钥，并开始从在线钱包中窃取比特币，四年内窃取了近 63 万个。

山。 Gox 的所有者 Mark Karpelès 是一名在东京的法国侨民，他一直试图隐瞒这些盗窃行为，直到 2014 年初 Mt. Gox 停止提款并申请破产。

比特币短暂历史上最大的崩盘让数百名受害者感到沮丧。一名加州男子损失了大约 40,000 美元，一名芝加哥投资者损失了超过 50,000 美元。居住在台湾的律师 Daniel Kelman 丢失了 44.5 个比特币，约合 400,000 美元，他前往东京希望了解盗窃的真相。

在摩天大楼酒吧的比特币聚会上，律师 Daniel Kelman 遇到了夏威夷人 Jason Maurice，后者介绍了律师 Daniel Kelman 先生 Nilsson，告诉他 Nilsson 先生有计划了解 Mt. GOX 事件。

在 Tedd 的 Bigger Burger 餐厅吃晚饭时，莫里斯先生和他的夏威夷盟友制定了一个关于如何找到丢失的加密货币并将其成功用于企业的计划。

律师凯尔曼先生回忆起他的伙伴们说：“你知道那些关于肯尼迪遇刺的纪录片，你有没有在 20 年后看到它们？这将是 20 年后的今天。我们。”

先生。 Nilsson、Kelman 先生和 Messrs 先生将他们的公司命名为 WizSec，并在 Messrs 先生采用的代号之后采用了“比特币安全专家”的标语。但这项业务从未真正起飞。

先生。 Nilsson 说：“很快，我主要从事技术工作。”我们没有钱购买新技术或办公室，我们在东京市中心外的一栋高层建筑中，调查是在 650 平方英尺的公寓中展开的。

尼尔森先生正在使用他自己的家用电脑，他在网上订购了仅用于视频游戏的零件，并且没有足够的计算能力来有效地搜索比特币的区块链。如果搜索，可能需要一整个晚上。

相比之下，Nilsson 先生避开了传统方法，开发了一个程序来索引区块链，这使他能够快速搜索每笔交易的输入、输出和地址。

虽然这种搜索模式正在兴起，但也很难破译，因为区块链并没有识别每笔交易背后的用户，也没有将区块链地址与真实人联系起来的在线电话簿。

幸运的是，一次数据泄露让他得以继续调查。 Mt. Gox 的部分数据库泄露，一些在互联网上，另一些泄露给记者。 Nilsson 先生获得了泄露的数据，其中包括交易记录、取款、存款和用户余额的私人记录。

2014 年 5 月，另一位程序员发布了对泄露信息的分析。它发现这些账户以一种看似自动化的方式启用了购买比特币的过程，并设定了支持 Mt. Gox 股票的价格。

先生。 Nilsson 回顾了报告，意识到他可以使用这个数据库来计算 Mt. Gox 丢失了多少比特币，他找到了与交易所相关的每个丢失的比特币钱包，然后跟踪他们的交易。

比特币调查占据了他的生活。但他的全职工作仍在继续，他在三个发光的屏幕前度过了他的夜晚，一个是代码行，另一个是记录关键信息的电子表格，第三个是笔记。

经过几个月的努力，Nilsson 先生拥有近 200 万个与 Mt. Gox 相关的地址，但他不知道谁在使用这些地址，或者出于什么目的需要内部人员的帮助。

当时，日本执法部门正在调查 Mt. GOX，其负责人 Karpelès 先生一直保持低调。 Kelman 先生通过研究发现，Karpelès 经常使用名为 Internet Relay Chat 的消息传递应用程序。 “有一天我登录了 IRC，我刚开始指责 Mark 挪用公款，”Kelman 先生说。

先生。 Karpelès 急于洗清自己的名声，同意在一家汉堡餐厅与 Nilsson 先生和 Nilsson 先生会面。认识凯尔曼先生。他确认了 Nilsson 先生整理的账户信息，并帮助他开发了一个完整的 Mt. Gox 通讯录。两位投资者表示，Karpelès 先生还告诉了他们一些直到很久以后才会公开的事情：Mt. Gox 上的可疑交易是由 Karpelès 先生创建的，目的是隐瞒未知犯罪者的盗窃行为。

Karpelès 先生拒绝置评，但此前否认在 Mt. GOX 上挪用资金。

先生。 Nilsson 调查了剩余的数千个比特币钱包，并确定 Mt. Gox 应该有大约 900,000 个比特币，而不是 200,000 个比特币被盗。早在 2011 年，Karpelès 就知道比特币已经丢失，关于“知不知道”，尼尔森先生在 2015 年的博客文章中写道：“Mt.至少从 2012 年开始，Gox 在技术上就已经破产了。”

似乎一些比特币已经被出售以换取现金，尼尔森先生尚未弄清楚是谁偷走了它们或出售了它们，但他正在追踪剩余的比特币。

为了阐明更多信息，他于 2015 年 4 月在 WizSec 博客上发表了他的发现。他概述了他所知道的以及他认为除了 Karpelès 先生之外的其他人窃取了比特币的情况。 “那么，”文章总结道，“到底是谁干的这些事情？”

不久之后，他得到了意想不到的消息。美国国税局特工加里·奥尔福德（Gary Alford）是加密货币圈的一名调查员，他认为丝绸之路是这些比特币的去处，一个可以使用比特币购买毒品和武器的在线市场。这是有史以来涉及比特币的最大起诉之一，Alford 先生正在进行比特币和丝绸之路的调查，这与 Nilsson 先生的有些重叠。

这是一个尴尬的时刻。 Nilsson 先生进入比特币市场的部分原因是为了逃避监管机构。 “很明显，在我的圈子里，IRS 的名声很差，税务员也经常不受欢迎。”

但 Messrs 和 Nilsson 先生认为，美国政府拥有广泛的影响力和优势资金和技术，可能会对此有所帮助。

然而合作的结果却适得其反，Kelman 先生说：“我们和他的合作是单行道，我们把我们知道的所有信息都给了他，而 Alford 先生只说‘你的调查是在正确的方向'”。

先生。 Nilsson 加强了他的调查，他还追踪了比特币从 Mt. Gox 流向其他交易所的情况，包括一个名为 BTC-E 的交易所。然后他发现了一些意想不到的事情：Mt. Gox 比特币最终进入的钱包还涉及从其他看似无关的知名比特币平台盗取的比特币。

Nilsson 先生将其中一些交易与 Mt. Gox 泄露的信息进行了交叉引用，他看到 Mt. Gox 平台上的一些被盗比特币存入了其他 Mt. Gox 账户，其中一个账户收到了一笔现金存款只写“WME”的注释。持有 WME 账户的人就是拥有被盗 Mt. Gox 比特币的人，现在他只需要弄清楚那个人是谁。

当时，尼尔森先生从区块链分析转向老式网络拖网分析。

进一步调查指出，一名声称在莫斯科经营货币兑换业务的 WME 人物。

WME 于 2011 年在 Bitcointalk.org 上写道：“您好，我与交易平台打交道已有 10 多年了，现在我开始使用比特币进行交易，我可以将它们兑换成任何东西”。

WME 添加了“我优先考虑大资金项目。”

先生。 Nilsson 进行了深入调查，发现 WME 钱包连接到加密货币交易所 BTC-E。

来自 Mt. Gox 的一些比特币最终进入 BTC-E 账户并且似乎永远不会流出，没有交换过程，它们留在钱包中的 BTC-E 管理员中。 BTC-E账户在小偷手里吗？

下一步是确定 WME 是谁。

这似乎很难。犯罪分子在每次交易中使用不同的钱包，并且小心不要留下任何可以通过假名与其真实身份相关联的信息。

但 WME 显然粗心大意，留下了“粗心的身份处理”，为 Nilsson 先生的调查提供了线索。

首先，是将 WME 帖子与特定帐户相关联。然后 Nilsson 先生看到了 2012 年的留言板帖子，其中一位愤怒的“WME”用户声称另一个交易平台“骗走了我的钱”。

帖子称：“这是针对CryptoXchange平台的欺诈投诉，CryptoXchange从我这里偷了10万美元，拒绝赔偿。”

为了支持他的投诉，WME 在他和 CryptoXchange 之间发布了一条消息，以及他的律师发给公司的一封信。在消息的底部，CryptoXchange 平台通知 WME 他的资金存放在哪里：“VINNIK ALEXANDER”拥有的账户。

Nilsson 先生很震惊，他说：“我什至从不相信这会是一个真名，我一直认为这是一个别名或什么的。为什么加密货币的人会在网上发布他的真名？和银行信息？”

先生。尼尔森将这个名字传给了美国国税局特工奥尔福德先生。那时是 2016 年夏天，尼尔森先生已经调查了两年。

他当时不知道 BTC-E 是政府调查人员的目标。仍然在肯尼迪时代的联邦法院，特工和检察官利用司法部的传票权力、技术和预算来达到尼尔森先生所做的事情。

网络安全研究人员表示，BTC-E 是全球犯罪分子的首选交易所。它在欧洲的银行关系允许客户购买比特币或将其兑换成欧元和卢布。一位私营部门的区块链调查员估计，到 2016 年，BTC-E 出现在 60% 到 70% 的所有刑事加密货币案件中。

美国国税局调查员 Tigran Gambaryan 是 Vinnik 调查的主要代理人，他说：“没有人知道 BTC-E 是谁，也没有人知道所有者是谁。我们认为它可能在保加利亚，也可能在塞浦路斯。”

所有代理人都知道，BTC-E 是当时最大的比特币交易所之一，并且“对用户的识别信息没有任何要求，”Gambaryan 先生说。奥尔福德先生拒绝发表评论。

法庭文件显示，联邦调查人员还发现了一个“WME”的控制账户，该账户窃取了 Mt. Gox 的比特币，并且还与 BTC-E 有关联。

通过跟踪区块链交易和传票的银行记录。他们发现，在 2013 年至 2015 年期间，一个与 BTC-E 和俄罗斯公民有关的账户涉嫌向塞浦路斯和拉脱维亚的银行进行现金转账，辖区内的洗钱者将这些账户用作该大陆主要 A 转账点的来源。银行。

截至 2016 年底，检察官的实力足以指控 Vinnik 先生。

由于俄罗斯通常不会驱逐被指控的网络犯罪分子，因此美国特工已设法在其他地方逮捕他。他们于 2017 年 1 月提交了一份密封的联邦起诉书，指控 Vinnik 先生及其同伙通过 BTC-E 洗钱约 40 亿美元。当 Vinnik 先生在希腊度假时，FBI 和当地警方准备逮捕他。

7 月 25 日，便衣警察在海滩上包围了 Vinnik 先生并将其逮捕。根据希腊执法官员引用的法庭文件，他们缴获了两台笔记本电脑、两台平板电脑、五部手机和一台路由器——所有这些都可能是 BTC-E 账户的证据。

Vinnik 先生的未来不明朗，美国正试图引渡他，但俄罗斯反对并表示希望他返回莫斯科接受 9,500 欧元的欺诈调查。

在希腊法庭听证会上，Vinnik 先生的俄罗斯律师否认了这些指控，声称他的客户不是 BTC-E 的员工，并声称他正在与美国在全球金融体系中的主导地位作斗争。这位律师呼吁希腊人和俄罗斯人分享正统的基督教传统警察让提供比特币交易记录，称他们不能将“同一宗教的兄弟”送到美国。 Vingnik 先生还在驱逐听证会上阅读了圣经。

7 月 30 日，一群希腊法官同意将 Vinnik 先生引渡到俄罗斯，尽管另一个希腊法院认为他应该去美国或法国。如果 Vinnik 先生在希腊的庇护申请失败，将由司法部长决定将他送到哪里。

逮捕在数字货币世界已经是非常严重的惩罚。但由于 Vinnik 先生目前已被捕，我们发现他的被捕实际上不太可能阻止 BTC-E 的运行。参与调查的人士表示，尚不清楚 Vinnik 先生是 BTC-E 的领导人，还是在行动中特别重要的人。事实上，他们和 Nilsson 先生说，它的策划者可能仍然存在于前苏联集团的某个地方，拥有大量比特币，并且仍在运作。

在 Vinnik 先生被捕后的几天里，BTC-E 以新名称重新上线。其最新运营商的身份仍不确定，但 BTC-E 的客户名单及其许多技术元素仍然存在，但该网站处于不同的管理之下。运营商本月早些时候宣布将关闭其交易平台，目前很难联系到他们发表评论。

知情人士说，联邦检察官认为，Vinnik 先生只是几个 BTC-E 目标中的第一个。

尼尔森先生对逮捕感到高兴，但仍然感到沮丧。他觉得即使他找到了小偷，他的钱仍然被困在 Mt. Gox 的破产程序中。 Nilsson 先生希望比特币能够保护他免受政府、金融机构和诈骗者的侵害。相反，他和他的比特币恰好涉及三个地方。 “这是一个非常悲伤的故事，”他说。