您没有来错地!为了更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 资讯 币链圈 查看内容

BTC“惊天大劫案”真相揭迷,“数字侦探”Nilsson历时三年追查全复盘

2018-8-30 01:46| 投稿: xiaotiger |来自: 互联网

摘要: T.Gox的中译名又叫门头沟,总部位于日本东京,早在2010年就开始参与比特币交易,是最早参与这项业务的平台之一,比特币交易量曾占据全球的80%。2014年2月,MT.Gox宣布停止交易并随后申请破产,导致其倒闭的直接原因 ...

链得得App注:2018年8月25日,日本交易所Mt.Gox开启债权人申请系统,债权人有望得到BTC赔偿。这让曾经的比特币被盗第一案又重新拉回了人们的视线。

MT.Gox的中译名又叫门头沟,总部位于日本东京,早在2010年就开始参与比特币交易,是最早参与这项业务的平台之一,比特币交易量曾占据全球的80%。2014年2月,MT.Gox宣布停止交易并随后申请破产,导致其倒闭的直接原因:由于受到黑客攻击,总计744000个比特币失窃,而且这一损失多年都未被发现,并且除了交易所75万个比特币之外,门头沟表示平台自身的10万个比特币也被盗,被盗金额总计85万枚比特币。

一时间针对MT.Gox事件众说纷纭,官方表示主要原因由于黑客入侵,但是有分析人士认为是交易所本身监守自盗。但最终受害者依旧是MT.Gox事件中损失了比特币的用户。

MT.Gox事件的受害人之一Kim Nilsson,从2014年比特币被盗案件开始,进行了历时三年的调查研究,长期关注MT.Gox事件,并成立了 WizSec 公司专门分析了失窃比特币的流向,他认为"门头沟"失窃比特币几经周转,大部分都去了 BTC-e 交易所。本文综合自华尔街日报,从MT.Gox事件开始,还原了Kim Nilsson长达三年调查比特币被盗案的始末。

MT.Gox交易所一场诡异的比特币盗窃案

在找寻Mt. Gox失窃案的真相期间,Kim Nilsson只能进行最基本的操作

故事的开始,源于一场诡异的比特币盗窃案。

在2014年,居住在日本的一名普通软件工程师Kim Nilsson坐在电脑前怒火中烧。

他发现自己名下的比特币无法从MT.Gox交易所中取出。这显然是蓄意犯罪,但在当时警方也无能为力,因为在当时的情况下警方甚至无法理解发生了什么情况,更何况去解决问题了。

Nilsson丢失的比特币本该存在一家宣布破产的比特币交易所Mt.Gox。该交易所价值超过4亿美元的比特币不翼而飞,数以百计的投资者即便没有心碎欲绝,也倍感失落。

和许多受害者不同,Nilsson决心反击,他同一位律师以及另一个损失比特币的受害者合作,追查比特币的失踪详情。去年夏天,他们历时三年的一宗网络追踪在希腊的一处沙滩画上了句号。在一座千年历史的古老修道院,美国联邦调查局(FBI)探员逮捕了一名俄罗斯男子,指控他利用比特币洗钱,以新近交易所交易价估算,洗钱规模约为40亿美元。这是加密数字货币短暂历史上涉案金额最高的一宗刑事案件。

从比特币坚定的拥护者摇身一变成网络侦探,Nilsson与比特币亲密接触的经历正是一部浓缩的加密数字货币发展史。这些年随着市值和应用的爆发,整个行业正在混乱中走向成熟。Nilsson揭露的那宗网络盗窃和洗钱案涉资数十亿美元,它就发生在比特币世界。MT.Gox事件向我们展示了,对投资者而言,这个无警方和政府管制的数字蛮荒之地有多么危险。

Nilsson称自己的工作是“区块链考古“,这已经成为一门行当。现在涌现了一批针对数字货币的私人调查公司,它们追踪资金流,为大银行、交易所和执法机关等机构探查其中可能存在什么网络犯罪活动。这些公司有自己的数字货币调查员,服务客户包括FBI、美国中情局(CIA)和国税局(IRS)。

比特币问世约九年来,以巅峰期价格估算,失窃的比特币合计市值超过150亿美元,其中不少都来自导致Mt.Gox崩盘的那次事件。这一统计数字还不包括未曾公开的失窃比特币,以及转售被盗信用卡或者支付环节遭到黑客攻击等其他不法活动中涉及的比特币。

因为有望成为去中心化的匿名支付系统,让银行成为过时的历史遗物,比特币已经令金融界为之兴奋。但它正面临众多威胁,偷窃只是冰山一角。

只要用户在中心化的大交易所交易,匿名就无从谈起,因为这类交易所都收集详细的用户数据,向政府的调查员提供这些数据。在投机者的推动下,比特币价格遭遇巨大的波动,这让比特币无法成为真正的货币,沦为有危险的投资。

犯罪随之而生。由于几乎毫无政府监管,也没有任何方式能撤销比特币的教育,窃贼们创造了新的手段,不但能深入交易所的腹地,还能利用比特币,促成形形色色的骗局。网络安全研究者指出,盗贼窃取了信用卡之后将卡转售,换来比特币,而包括部分朝鲜人在内,一些黑客则是盗取用户的数据,勒索比特币赎金。监管机构现在希望,将适用于传统投资的监管法规用来管治比特币。

对Nilsson这类比特币的真正信徒来说,这意味着比特币的衰落。

Kim Nilsson的反击之路

现年36岁的Nilsson拥有瑞典国籍,目前在日本东京一栋逼仄的高层建筑里生活和工作。和其他日本数字货币爱好者一样,当他们蜂拥投入比特币怀抱的时候,人们都沉浸在后金融危机时代的乐观情绪里。比特币由化名为中本聪的一位或多位神秘程序员创造,只存在于互联网,是一个数字账本上的一连串代码,这个账本被称为区块链。它是主流金融系统之外的化外之地。

区块链这个账本由遍布全球数以千计的电脑的维护。在它基础上进行的交易都公开可见,但交易者却并非如此透明公开。这种安排保证了用户不可用同一个比特币重复购买支付商品或者服务。比特币可以在连串字母和数字组成的“地址”之间移动,而这些地址背后的钱包持有者却始终隐匿无踪。

理论上说,这种过程是去中心化的,每个钱包的持有者都有责任密切注意密码的动向。银行或者信用卡发行公司等可信的中介无需保证交易所正当合法,区块链已经为他们代劳。

在现实世界,促成很多比特币交易的是交易所,而不是区块链的直接使用者。而交易所虽然履行的职能类似传统的金融机构,却大多不受政府监管,他们将买家和卖家联系在一起,并用线上账户持有交易双方的数字货币。这些账户和交易所收集的信息容易遭到黑客攻击。

总部设在东京的Mt.Gox是首批遭此劫难的交易所,也是当时交易量最大的交易所。它提供买卖比特币的平台,同时为用户保管存放比特币并受密码保护的数字钱包。2012年,Nilsson向一个朋友购买了人生中第一枚比特币。一年后,他在Mt. Gox买入比特币,累计了少许规模。

Nilsson下巴上蓄着小胡子,习惯一身黑衣,装扮俨然上世纪90年代的黑客,或是喜欢看摇滚乐队Rush演唱会的乐迷。他已经断断续续在东京住了大概十年。

Mt. Gox并不知道买家的身份,懵懵懂懂地陷入了困境。2011年,一些黑客获得了私钥,开始盗取线上钱包内的比特币,四年间共盗走约63万之多。

Mt. Gox的老板Mark Karpelès是一个住在东京的法国移民,他曾试图掩盖比特币失窃,到2014年初,再也瞒不住了。Mt. Gox被迫中止取币,递交了破产申请。

这是比特币短暂历史上最大规模的失窃案,交易所几百名用户成为受害者。一名美国加州的男士损失约4万美元,芝加哥的一名投资者损失超过5万美元。一位在纽约布鲁克林求学而后安居台湾的律师Kelman遗失44.5个比特币,以当前市价约合40万美元。他后来到访东京,希望抓住盗窃比特币的人。

在东京一栋摩天大厦的酒吧里,比特币圈内人士组织了一场聚会,律师Kelman在那期间结识了夏威夷人Jason Maurice。Maurice是Nilsson的同事,顶着一头松松垮垮的头发,Nilsson给他起了个绰号,叫魔术师。这些编程的人才被召集起来,希望可以解决Mt. Gox事件。

在Maurice常去的一家汉堡连锁店Teddy’s Bigger Burger吃晚饭时,几个人认真讨论了一番,拿出一个计划,试图找到失窃的比特币,并将此发展成一门生意。

“你知道那些关于刺杀美国前总统肯尼迪的纪录片吗?你见过他们(追凶者)二十年后的样子吗?我们二十年内就会是那样。”Kelman记得自己当时这样告诉合作伙伴。

Nilsson、Kelman和Maurice给公司命名为WizSec。这个名字有一半来自以莫里斯的绰号,还有部分取自要做“比特币安全顾问”这个口号。不过,这家公司从来没有真正经营过。

Nilsson说:“很快事情就演变成,在技术方面,只有我一个光杆司令。”他既没有资金投入新的技术,也没有办公室,就利用了自己在东京中央区外围一栋高层建筑里的住所,在那个约60平米的公寓里展开调查。

Nilsson只是用了自己在网上订购的零部件组装的家用电脑,而且这台电脑的最初目的也不过是想用来玩儿视频游戏,根本没有足够的算力来有效搜索比特币的区块链,搜索耗费的时间基本上要花整个晚上。

相反,Nilsson开发了一个程序来索引区块链,这使得他能够快速搜索每个交易的输入,输出和地址。尽管模式已经出现,但它们很难破译,因为区块链并不能识别每笔交易背后的人,也没有可以将区块链地址和真人联系起来的线上“黄页”。

不过,幸运的事情再次发生,也促使Nilsson继续前进。

Mt.Gox交易所部分数据库泄露,其中一些被泄露到互联网上,另一部分则被泄露给了记者。Nilsson获得了泄露的数据,其中包括交易,提款,存款和用户余额的隐私记录。

2014年5月,另一位程序员发布了泄露信息分析,结果发现交易账户在以一种看似“自动化机器人”的方式在购买比特币,并以此支撑Mt.Gox交易所设定的比特币价格。

通过重新回顾泄露的数据报告,Nilsson意识到他可以利用这个数据库计算出有Mt.Gox丢失了多少比特币,因为他可以定位每一个与该交易所有关联的比特币钱包,然后再追踪他们的交易。

调查影响了Nilsson的生活,那时候白天他仍在做自己的全职工作,晚上则在三个电脑屏幕面前喝着零度可乐开展调查工作,一个电脑处理代码,一个电脑使用电子表格记录关键信息,还有一个用于编写调查笔记。

经过了好几个月时间的努力,Nilsson获得了近两百万个与Mt.Gox交易所相关的地址。但是,他不知道谁使用了这些地址,或者出于什么目的。因此,他需要内幕人士的帮助。

那时候,日本执法部门也在调查Mt.Gox,其主管Karpelès先生非常低调,当时Kelman已经通过消息传递程序Internet Relay Chat(IRC)知道Karpelès与一个比特币渠道进行了接触。凯尔曼说道:

“有一天我登上IRC,然后开始指责Mark贪污了钱。”

为了尽快撇清关系,Karpelès同意在一家汉堡餐厅与Nilsson和Kelman见面。Nilsson把整理的账户信息带了过去,Karpelès确认了这些信息,而且还帮助他们了解完整的Mt.Gox地址。Nilsson和Kelman透露,Karpelès还告诉了他们一些事情,但是可能需要在较晚时候才能公布:Mt.Gox上的可疑交易其实是由Karpelès编写的一个程序执行的,而在这起盗窃案中,他隐瞒了这件事。

Karpelès拒绝就此事发表评论,也拒绝承认从Mt.Gox挪用贪污资金。

Nilsson分析了剩下的大约好几千个数字钱包,并且确认Mt.Gox应该拥有大约90万个比特币,而不是披露出的20万个比特币。不仅如此,他早在2011年就已经发现存在比特币被窃的事情,但不确定Mt.Gox是否知情。2015年,Nilsson在一篇博文中写道:“从技术上来看,Mt.Gox其实在2012年就已经破产了。”

在把这些比特币留给其他加密货币交易所(有的是以现金形式出售掉了)之后,Nilsson仍然没有弄清楚是谁偷了这些比特币,或是谁卖掉了这些比特币,但他仍在追踪此事。

2015年4月,Nilsson在WizSec博客上发表了调查结果,并且希望获得更多额外信息。他概述了自己所知道的一些事情,并且声称除了Karpelès之外,肯定还有人偷走了Mt.Gox的比特币。在那篇文章的结尾,Nilsson提出了一个问题:“这究竟是谁做的呢?”

不久之后,他得到了一个意想不到的消息。美国国税局调查员Gary Alford指控暗网“丝绸之路”的所有者涉嫌从事比特币非法交易。暗网“丝绸之路”是一个可以用比特币购买毒品和武器的在线平台,而该案件也是有史以来与比特币有关的最大一笔起诉。Gary Alford调查了所有与“丝绸之路”有关的比特币交易,而Nilsson也在寻找Mt.Gox丢失的比特币。

当然,Nilsson和Gary Alford两个似乎并不是“一条路”上的人,因为Nilsson进入比特币行业,部分原因就是想摆脱监管机构的桎梏,他说道:“显然,在我们的圈子里,与美国国税局打交道是一个耻辱,税务人员不是我们看得上的那种机构。”

但是,Kelman和Nilsson认为,美国政府可以提供更广泛的服务范围,还有丰富的资金和技术。Kelman补充说道:“这就像是一条单行道,我们给了他们一切,而Gary Alford只提供了正确轨道上的一些保证。”

Kim Nilsson、 Jason Maurice和律师Daniel Kelman共同创立了一家网络调查公司,他们正在Mt.Gox所有者Mark Karpelès东京家里的厨房准备苹果派。摄影师: MARK KARPELES

“WME”和“BTC-E”

Nilsson披露了一些从Mt.Gox流出的比特币去向,包括这些比特币流向了其他加密货币交易所,比如BTC-E。之后,他发现了一些其他令人意想不到的东西,Mt.Gox丢失的比特币钱包中流出的比特币,又从加密货币交易所转到了一些知名的比特币交易所,还有一些看似不相关的交易所手中。

Nilsson使用了一个Mt.Gox泄露出的数据交叉引用了其中一些交易,他发现一些从Mt.Gox丢失的比特币已经被存入到了其他Mt.Gox的账户里,其中一个甚至已经收到了现金存款,并且还附带了一条信息——上面只有简单的三个字母“WME”。Nilsson知道,持有“WME”账户的那个人肯定与被盗的Mt.Gox比特币有关,他需要弄清楚这个人究竟是谁。

这个时候,Nilsson开始转移战场,从此前的区块链分析转向到传统的互联网调查。

在经过了一系列深挖之后,Nilsson发现WME与一家在莫斯科经营数字货币交易的公司有关。2011年,WME曾出现在Bitcointalk.org的董事会上,当时还曾在Bitcointak.org的公告板上表示:“您好,我从事货币兑换已经有10多年时间了。现在我开始使用比特币,我可以兑换任何东西。如果有大笔资金兑换,我会优先考虑。”

Nilsson又做了进一步分析,发现WME钱包与加密货币交易所BTC-E存在关联。

这些来自Mt. Gox的一些比特币最终进入BTC-E账户,并且似乎从来未被转出去,目前仍然留在与BTC-E管理员相关联的钱包中。 BTC-E是否涉嫌参与到Mt. Gox盗窃案中?

下一步是确定“WME”的账户信息。

这似乎很难,因为每笔交易使用的是不同的钱包,并且每次都小心翼翼地从不留下与真实身份联系起来的信息,这些犯罪分子很难捕捉到。

但是“WME”账户还是粗心了,通过Nilsson所说的bug,发现了一些线索。

首先是将“WME”与特定帐户相关联的帖子。Nilsson发现了一个2012年的留言板帖子,其中一个愤怒的“WME”账户声称“另一个交易平台正在用我的钱诈骗和逃跑”。


“这是一份针对CryptoXchange的诈骗报告,CryptoXchange从我那里偷走了10万美元以上,并且拒绝退货。”这个帖子表示。

为了支持他的案子,WME在他自己和CryptoXchange之间发布了消息,并通过律师递给公司了一封信。在一则消息的底部,CryptoXchange告诉WME他的数字货币放在了哪里:一个“VINNIK ALEXANDER”名下拥有的账户。

Nilsson对此感到震惊。 “我甚至不相信这是一个真名,我认为这是别名或其他什么。”为什么币圈的人会在网上发布他的真实姓名和银行信息?

Nilsson将这个名字传给了美国国税局IRS的代理人Gary Alford。

截止到此时,已经是2016年的夏天。Nilsson已经在这个案子上工作了两年。

嫌疑人Alexander Vinnik被逮捕

俄罗斯人Alexander Vinnik被指控利用比特币进行洗钱活动,并在希腊海滩被捕

Nilsson当时不知道的是,BTC-E的目标是远离政府调查监管。代理人和检察官正在利用美国司法部的传票权,通过技术方式达目前取得和他相同的调查结论。

网络安全研究人员表示,BTC-E是全球罪犯的首选的交易所。它通过欧洲的银行业务关系让客户购买比特币或将其转换成欧元和卢布。一个私营部门区块链调查员估计,在2016年BTC-E在所有犯罪加密货币案件中占到了60%至70%。


Vinnik调查的主要代理人,国税局调查员Tigran Gambaryan说“没有人知道BTC-E是谁,也没人知道他的主人是谁。我们分析它可能在保加利亚,也可能是塞浦路斯。”

这位Gambaryan先生表示,代理商所知道的是BTC-E是当时最大的比特币交易所之一,而且它“对用户身份没有任何的审核”。对此,Alford拒绝发表评论。

根据法庭文件显示,联邦调查人员还发现了一个名为“WME”的帐户,该账户窃取了Mt. Gox的比特币,并指向了BTC-E交易所。

再继续追踪区块链交易和传唤的银行记录中,他们确定,在2013年至2015年期间,一个与BTC-E和某位俄罗斯公民有关联的账户,涉及向塞浦路斯和拉脱维亚的银行进行现金转移,通过这种洗钱的方式将资金转移到欧洲大陆。

截至2016年底,检察官已拥有充足的证据起诉Alexander Vinnik。

由于俄罗斯网络犯罪分子一般不会被驱逐,美国联邦调查局正在寻求逮捕他的方法,并在2017年1月提交了一份密封的联邦起诉书,指控Alexander Vinnik和某位不知道姓名的同伙,通过BTC-E洗钱约40亿美元。当Alexander Vinnik途径希腊度假时,美国联邦调查局和当地警方已做好准备进行逮捕。

7月25日,穿着休闲服装的卧底警察将Alexander Vinnik包围在希腊海滩上并将他逮捕。据一位希腊执法官员援引法院文件称,他们查获了两台笔记本电脑,两台平板电脑,五部手机和一台路由器(可能存有BTC-E的证据)。

Alexander Vinnik未来如何尚不清楚。目前,美国正在试图引渡他,但俄罗斯表示反对,表示希望他回到莫斯科接受9,500欧元的诈骗案起诉。

Kim Nilsson在他的东京办事处展示了表明被盗虚拟货币流动的图表。(照片来源:华尔街日报SHIHO FUKADA)

在希腊法庭听证会上,Vinnik的俄罗斯律师否认了这些指控,表示Vinnik并不是BTC-E员工,并断言他正在打击美国在全球金融体系中的主导地位。这位律师呼吁希腊人和俄罗斯人共享正统的基督教传统,称他们不能向美国派遣“同一宗教的兄弟”.Vingnik已经在驱逐听证会上阅读了圣经。

7月30日,希腊法官团同意将Vinnik引渡到俄罗斯,尽管希腊其他地区法院裁定Vinnik应该引渡至美国或法国。如果Vinnik在希腊的庇护申请失败,将由司法部长决定将他最终引渡国家。

这次逮捕是全球数字货币领域最大的逮捕行动之一。尽管他们已经逮捕Vinnik,但是完全停止BTC-E并不太可能。参与调查的人士表示,目前尚不清楚Vinnik是否是BTC-E的领导者,甚至是该行动中重要的人。事实上,他们和Nilsson表示,BTC-E的主谋可能仍然存在于前苏联集团的某个地方,大量持有比特币并且仍在运作。

在Vinnik先生被捕后的几天内,BTC-E以新名称重新上线。其最新的运营商其身份无法确定保留了BTC-E的客户名单及其技术等元素,但该网站的管理层不同。本月早些时候,这些运营商宣布他们正在关闭交易所。无法联系他们发表评论。

知情人士表示,联邦检察官认为Vinnik仅是几个BTC-E目标中的第一个。

Nilsson对此次逮捕感到高兴,但仍然感到沮丧。尽管他抓住了Vinnik,但是他的比特币仍然在Mt. Gox执行破产程序。Nilsson曾经期望可以通过 比特币让他避开政府、金融机构和骗子,却将手中的比特币全都卷入了这起盗窃案。

在最后,Nilsson说到“Mt. Gox事件是一个悲伤而又肮脏的故事”。

(本文综合自华尔街日报,作者Justin Scheck、Bradley Hope,来自雅典Nektaria Stamouli亦对本文做出了贡献。编辑:柴利君,译者:Hispear、Chaindder、柴利君。)

本文原发布于链得得,授权钛媒体App发布。

更多精彩内容,关注钛媒体微信号(ID:taimeiti),或者下载钛媒体App


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6595071116937527822/

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部