他解开了第一起神秘案件“门头沟”之谜，用了三年时间追回被盗的比特币

前言：猖獗的盗窃让加密这个词尘埃落定。在成为比特币历史上最著名的盗窃案的受害者后，当全球最大的加密货币交易所 Mt. Gox 决定反击时，历时三年的“比特币大冒险”终于迎来了大结局。

今天，Bianews 将呈现这个“悲伤而肮脏”的故事的翻译。 （华尔街新闻原帖）

金尼尔森沸腾了。

那是 2014 年，软件工程师发现他无法查看他持有的比特币。很明显，有人犯下了警方似乎无法调查的罪行，更不用说解决了。

代币从一家名为 Mt.Gox 的比特币交易所丢失，数百名投资者受到严重打击，甚至破产。超过 4 亿美元似乎在网络空间中凭空消失了。

与他的许多受害者不同，尼尔森决定反击，与一名律师和另一位同样是比特币盗窃案受害者的合伙人合作，并希望追查肇事者。

紧随其后的是一个为期三年的互联网跟踪，去年夏天在希腊海滩结束。

在一座拥有 1000 年历史的修道院中，联邦调查局特工逮捕了一名俄罗斯男子，并指控他以最新汇率清洗价值约 40 亿美元的比特币。加密货币短暂历史上最大的犯罪之一。

Nilsson 在比特币领域的大冒险，从乐观的比特币迷到坚定的计算机侦探，他的比特币之旅涵盖了随着加密货币价值和用途的爆炸式增长而成熟。

他在比特币世界的核心发现了价值数十亿美元的盗窃和洗钱计划，这表明这个基本上不受监管的数字荒野对投资者来说是多么危险。

他的工作——他称之为“区块链考古”——已经成为一个行业，大量私人加密货币调查公司跟踪资金流动并可能针对大型银行、交易调查执法机构的犯罪行为。美国政府机构——包括 FBI、CIA 和 IRS——都有自己的加密货币调查员。

自比特币问世以来的 9 年左右时间里，超过 150 亿美元的加密货币以最高价格被盗，其中大部分是通过黑客攻击被盗的，例如 Mt. Gox 遭遇同样的黑客攻击。

这个数字也不包括用于购买被盗信用卡或支付黑客攻击和其他非法活动的未披露盗窃或加密货币。

比特币被盗问题由来已久，自货币诞生以来，盗窃问题就一直存在。这催生了一个新职业：像 Kim Nilsson 这样的比特币侦探。他是 Mt. Gox 交易所大规模黑客攻击的受害者。

这些盗窃只是比特币当前面临的威胁之一。

比特币承诺使用匿名分布式支付系统来取代银行交易，但当人们在大型中心化交易所进行交易、收集详细的用户数据并将其提供给政府调查人员时，匿名性就会丢失。不再存在。另一方面，投机者造成了比特币的价格波动，使得比特币作为一种货币不可行，作为一种投资也很危险。

还有犯罪问题：由于政府监管不足以控制比特币交易，小偷已经开发出创造性的方法，不仅可以侵入交易所直接窃取，还可以使用比特币为各种其他程序提供便利。信用卡窃贼出售被盗卡换取比特币；网络安全研究人员表示，黑客——包括一些来自朝鲜的黑客——已经在从以比特币支付的赎金中获取数据。

监管机构现在渴望将比特币纳入更多与传统投资相同的规则中。

36 岁的瑞典人 Nilsson 在东京一座拥挤的高层建筑中生活和工作，对于像他这样真正的比特币信徒来说，这是一种堕落。

在金融危机后的乐观情绪中，尼尔森与活跃在日本数字货币社区的其他人一起涌入比特币市场。由一位名叫中本聪的神秘编码员创建，比特币仅作为数字分类账中的一串代码存在于互联网上，称为区块链，而不是主流金融的一部分。系统。

此分类帐由分布在世界各地的数千台计算机维护。它的交易是公开的，但背后的人却不是。这种形式确保一个人不能多次使用同一个比特币来支付商品或服务。虽然人们可以看到比特币在由字母和数字字符串标识的“地址”之间移动，但他们看不到钱包所有者的姓名。

理论上，这个过程是分散的，每个比特币持有者都有责任跟踪密码。不需要银行或信用卡公司等受信任的中介机构来确保交易的有效性。

但实际上，很多比特币交易是通过交易所进行的，而不是人们直接使用区块链。许多基本上不受监管的交易所的运作方式与传统金融机构非常相似，将买卖双方联系起来，并将他们的货币存入在线账户。一旦交易所受到网络攻击，这些账户和用户信息就会被泄露。

位于东京的 Mt.Gox 交易所曾经是同类交易所中最早、规模最大的一家。它提供了一个买卖比特币的平台，以及维护用户加密数字钱包的服务，比特币存储在其中。

2012 年，尼尔森从朋友那里购买了他的第一个比特币。一年后，他开始从 Mt. Gox 购买加密货币并存了一些钱。

Nilsson 留着下巴胡须，穿着深色衣服，就像 1990 年代的黑客（或者是赶赴音乐会的歌迷），他在东京断断续续地生活了大约 10 年。

为了寻找比特币盗窃案的答案，尼尔森经营着一家不起眼的企业

照片：SHIHO FUKA/华尔街新闻

p>

当时比特币买家并不知道，Mt. Gox 遇到了麻烦。黑客在 2011 年获得了交易所用户的私钥，并开始从加密钱包中窃取比特币——在 4 年内大约有 630,000 个比特币被盗。

山。 Gox 的所有者、东京的法国人 Mark Karpeles 一直试图隐瞒盗窃事件，直到 2014 年初 Mt. Gox 停止提款并申请破产。

这是比特币短暂历史上最大的崩盘，有数百名受害者。一名加利福尼亚男子损失了大约 40,000 美元；芝加哥的一位投资者损失了超过 50,000 美元。丹尼尔·凯尔曼（Daniel Kelman）是一位在布鲁克林受过教育的律师比特币账户查询，曾居住在台湾。他在 Mt.Gox 盗窃案中损失了 44.5 个比特币，按当前价格计算，损失了大约 400,000 美元。此后，他前往东京试图寻找有关小偷的线索。

在一栋高层建筑的酒吧举行的比特币派对上，这位律师遇到了一个蓬头垢面的夏威夷人 Jason Maurice。自称“Wiz”的莫里斯给他起了同事尼尔森的名字，尼尔森说他有编程才能解决 Mt. Gox 盗窃案。

在莫里斯经常光顾的夏威夷连锁餐厅之一的泰迪汉堡（Teddy's Burger）共进晚餐时，两人讨论了寻找丢失的加密货币并将其成功转化为商业利益的计划。

“你看过那些关于肯尼迪遇刺的纪录片吗，20年后你还会看到它们吗？”律师凯尔曼先生告诉他的合伙人。 “20年后的我们。”

Nilsson、Kelman 和 Maurice 以 Maurice 的绰号 WizSec 和“比特币安全专家”的口号命名他们的公司。这是一项未被广泛认可的工作。

Nilsson 说：“这项业务很快让我走上了技术的前沿。”

没有钱购买新技术或办公室，他在东京市中心的一家企业工作。调查是在一座650平方英尺的高层公寓中进行的。

Nilsson 家里只有一台家用电脑，这是他自己建造的，目的是从互联网上购买配件来玩游戏。计算机缺乏有效搜索比特币区块链的计算能力，搜索可能需要一夜之间。

于是 Nilsson 开发了一个程序来索引区块链，让他可以快速搜索每笔交易的流入、流出和地址。

虽然开始发现一些盗窃模式，但它们很难破译，因为区块链无法识别每笔交易背后的人，并且没有将区块链地址与真实姓名簿连接起来的在线链接。

幸运的是，他坚持了下来。 Mt. Gox 数据库的部分内容被泄露，部分内容被发布在互联网上，部分内容被记者找到。 Nilsson 获得了泄露的数据——交易、取款、存款和用户余额的私人记录。

Mark Karpeles 经营 Mt. Gox，直到 2014 年比特币交易所崩溃

照片：AKIO KON/彭博社

p>

2014 年 5 月，另一位程序员发布了对泄露信息的分析。它发现账户购买比特币的方式似乎是自动的，并支撑了 Mt. Gox Holdings 的价值。

回顾报告，Nilsson 意识到他可以使用这个数据库找到与比特币交易所相关的每个比特币钱包，然后追踪他们的交易来计算 Mt. Gox 丢失了多少比特币。

调查占据了他的生活。他还在做他的全职工作，晚上在三个发光的屏幕前喝可乐。一个屏幕有一行代码，另一个有关键信息的电子表格，第三个有注释。

经过几个月的努力，Nilsson 已经获得了近 200 万个与 Mt. gox 相关的地址，但不知道每个地址是谁使用的，或者用于什么目的。他在里面需要帮助。

当时，日本执法部门正在调查 Mt. Gox，而 Mark Karpeles 一直保持低调。 Kelman 通过 Internet Relay Chat 的比特币渠道与他取得了联系，他知道 Karpeles 经常在那里出现。 “有一天，我加入了 IRC，我开始指控 Mark Karpeles 挪用公款，”Kelman 说。

为了清白，Karpeles 同意在另一家汉堡餐厅与 Nilsson 和 Kelman 会面。他确认了 Nilsson 整理的账户信息，并帮助他完成了 Mt. Gox 交易地址的完整列表。两位投资者说，他还告诉了他们一些直到很久以后才公开的事情：Mt. Gox 上的可疑交易是 Karpeles 掩盖身份不明的盗窃项目的结果。

Karpeles 拒绝置评，但此前否认从 Mt. Gox 挪用资金。

Nilsson 翻遍了剩余的数千个钱包并得出结论，虽然 Mt. Gox 应该有大约 900,000 个比特币，但它只剩下不到 200,000 个。

其实早在 2011 年，他就发现加密货币不见了。 “不管是有意还是无意，”他在 2015 年的一篇博文中写道，“至少从 2012 年开始，Gox 在技术上就已经无力偿债了。”

这些比特币流向其他交易之后，一些似乎被兑换成现金。 Nilsson 不知道是谁在偷窃或卖掉它们，但他觉得自己离线索更近了一步。

如需更多信息比特币账户查询，他于 2015 年 4 月在 WizSec 博客上发表了他的发现。他概述了他所知道的以及他认为不是窃取比特币的 Karpeles。

“谁做的？”

不久之后，尼尔森得到了意想不到的消息。加里·奥尔福德（Gary Alford）是美国国税局（IRS）特工，在加密界被称为“调查员”，他确定了暗网“丝绸之路”的所有者。

这是迄今为止最大的与比特币相关的起诉。在调查与丝绸之路相关的比特币事件时，Alford 还调查了 Nilsson 正在调查的比特币盗窃案的一部分。

这让 Nilsson 感到不舒服，他进入比特币市场的部分原因是为了避开监管机构。

“显然在我的圈子里，得到 IRS 的帮助是一种耻辱”，“不欢迎纳税人”。

但 Kelman 和 Nilsson 相信，凭借其广泛的影响力、强大的资金和技术，政府或许能够提供帮助。

“这就像一条单行道，”凯尔曼说。 “我们给了他们一切。” Kelman 认为 Alford 的干预只是为了确保“你们都在正确的轨道上”。

Kim Nilsson 和 Jason Maurice，在 Mark Karpeles 在东京的家中制作苹果派

照片：马克·卡佩莱斯

Nilsson 在追踪从 Mt. Gox 的加密货币流入其他交易所（包括一个名为 BTC-E 的交易所）的过程中走得更远。在调查过程中，他发现了一些意想不到的事情：Mt. Gox 比特币钱包里藏着从其他交易所偷来的比特币。

Nilsson 将其中一些交易与来自 Mt. Gox 数据泄露的信息进行了交叉引用。他看到一些从 Mt. Gox 被盗的加密货币被存入了 Mt. Gox 的其他账户，其中一个账户收到了现金存款，上面写着“WME”。

Nilsson 知道拥有 WME 账户的人持有被盗的 Mt. Gox 加密货币。他只需要弄清楚那个人是谁。从那时起，Nilsson 就从区块链分析转向了老式的网络搜索调查。

通过调查，尼尔森发现了一位在莫斯科经营货币兑换业务的 WME 人，他于 2011 年在 Bitcointalk.org 上写道，“你好，我已经交易了 10 多年。好吧，现在我在比特币，我可以用它交换一切。”

“我倾向于大量交易，”WME 补充道。

Nilsson 还更深入地发现 WME 钱包与加密货币交易所 BTC-E 相关联。

Mt. Gox 的一些比特币最终进入 BTC-E 账户，但似乎从未被交易，留在与 BTC-E 管理员相关的钱包中。 BTC-E会不会与盗窃有关？

下一步是找出 WME。

这看起来很困难，一般的犯罪分子每次交易使用不同的钱包，并注意不要留下假名与真实身份相关的信息，这使得很难抓到。

虽然 WME 明显粗心大意，但 Nilsson 表示 WME 对身份的处理“粗心”，这提供了线索。

第一个是将 WME 与特定帐户相关联。 Nilsson 发现了一个名为“WME”的用户在 2012 年发布的一篇帖子，该帖子声称被另一家交易所骗走了钱：“这是针对 CryptoXchange 公司的骗局报告，该公司从我那里偷了超过 10 万美元，并拒绝归还。”

为了支持其案件，WME 发送了自己与 CryptoXchange 公司之间的一些信息交换，以及他的律师给该公司的一封信。在消息的底部，CryptoXchange 告诉 WME，他的钱存放在一个名为“VINNIK ALEXANDER”的账户中。

尼尔森惊呆了，“我什至不相信这是真名，”他说，“我还以为是假名什么的，为什么会有人在网上发布他们的真名和银行信息？”

尼尔森将这个名字传给了美国国税局探员奥尔福德。那是 2016 年的夏天。

尼尔森已经为这个案子工作了两年。

Alexander Vinnik 被指控在俄罗斯使用比特币洗钱，已在希腊海滩被捕。

照片：科斯塔斯·巴尔塔斯/路透社

他当时不知道的是，远在大洋彼岸的 BTC-E 是政府调查人员的目标。在肯尼迪时代的联邦法院内，特工和检察官利用司法部的传票权、技能和预算来到达尼尔森的位置。

网络安全研究人员表示，BTC-E 是全球犯罪分子首选的交易平台。该公司在欧洲的银行业务关系允许客户购买比特币或将其兑换成欧元和卢布。一位私营部门的区块链调查员估计，到 2016 年，BTC-E 将涉及 60% 到 70% 的所有加密货币刑事案件。

IRS 调查员 Tigran Gambaryan 说：“没有人知道 BTC-E 是谁。没有人知道它的幕后黑手。我们认为它可能在保加利亚或塞浦路斯。” Gambaryan 现在是 Vinnik 调查的首席调查员。

代理知道的是，BTC-E 是当时最大的比特币交易所之一，它没有询问任何关于“用户身份”的问题，Gambaryan 先生说。奥尔福德拒绝置评。

法庭文件显示，联邦调查人员还发现了一个“WME”账户，其中包含与 BTC-E 相关的被盗 Mt. Gox 代币。

代理跟踪区块链交易和传票银行记录。他们确定，在 2013 年至 2015 年期间，与 BTC-E 和一名俄罗斯公民关联的账户参与了向塞浦路斯和拉脱维亚银行的现金转账，这些地区的洗钱者将这些现金用作向欧洲大陆银行的主要渠道。

2016 年底，检察官有足够的证据指控 Vinnik。

由于俄罗斯通常不会驱逐网络犯罪分子，因此美国特工正在寻找在其他地方逮捕他的方法。他们于 2017 年 1 月提交了一份密封的联邦起诉书，指控 Vinnik 和未具名的同伙通过 BTC-E 洗钱约 40 亿美元。当 Vinnik 先生在希腊度假时，FBI 和当地警方准备逮捕他。

7 月 25 日，便衣警察在海滩上包围了 Vinnik，并将其逮捕。据希腊执法官员援引法庭文件称，他们缴获了两台笔记本电脑、两台平板电脑、五部手机和一台路由器——这可能是了解 BTC-E 的重要证据。

先生。文尼克的未来不明朗。美国正试图引渡他，但俄罗斯反对，并表示希望他返回莫斯科面对 9,500 欧元的欺诈案。

Kim Nilsson 在他的东京办公室展示了被盗虚拟货币流动的图表。

照片：SHIHO FUKADA/华尔街新闻

Vinnik 的俄罗斯律师在希腊的法庭听证会上否认了这些指控。他说 Vinnik 不是 BTC-E 的雇员，并声称他正在与美国在全球金融体系中的主导地位作斗争。这位律师呼吁希腊人和俄罗斯人分享共同的东正教传统，称他们不能将“同一宗教的兄弟”送到美国。 Vinnik 在整个驱逐听证会期间都在阅读圣经。

7 月 30 日，一个希腊法官小组同意将 Vinnik 引渡到俄罗斯，尽管希腊的不同法院也裁定应该将 Vinnik 引渡到美国或法国。如果 Vinnik 在希腊的庇护申请失败，将由司法部长决定将他送到哪里。

这次逮捕是数字货币犯罪世界中规模最大的一次。但是当他们突袭 Vinnik 时，特工们知道逮捕俄罗斯人不太可能阻止 BTC-E。参与调查的人士表示，尚不清楚 Vinnik 是 BTC-E 的领导人还是该行动的关键人物。事实上，他们和 Nilsson 说，它的策划者可能仍然在前苏联集团的某个地方，拥有丰富的比特币，并且仍在运营。

在 Vinnik 被捕几天后，BTC-E 以新名称重新上线。其最新的运营商身份无法确定，保留了BTC-E的客户名单和许多技术要素，但网站的管理与以往不同。本月早些时候，运营商宣布他们将关闭交易所。记者无法联系到他们。

知情人士说，联邦检察官认为 Vinnik 是几个 BTC-E 目标中的第一个。

Nilsson 对 Vinnik 被捕感到高兴，但仍然感到沮丧。他觉得他找到了一个欺骗他的人，但他的钱被困在 Mt. Gox 的破产程序中。 Nilsson 希望比特币能让他避开政府、金融机构和诈骗者。现实情况恰恰相反，他和他的几个比特币都被牵扯进来了。