BTC“破天荒”真相大白，“数字侦探”尼尔森历时三年追查审查

ChainDD App Note：2018年8月25日，日本交易所Mt.Gox开通债权人申请系统，债权人有望获得BTC赔偿。这使第一起比特币盗窃案重新成为人们关注的焦点。

MT.Gox的中文名也叫门头沟。它的总部设在日本东京。早在2010年就涉足比特币交易，是最早参与这项业务的平台之一。世界的 80%。 2014 年 2 月，MT.Gox 宣布停止交易并随后申请破产，这是其崩溃的直接原因：总共 744,000 比特币因黑客行为被盗，而这一损失多年来一直未被发现，除了交易所75 除了10000比特币外，门头沟表示平台本身的100000比特币也被盗，总共被盗850000比特币。

一段时间以来，关于 MT.Gox 事件众说纷纭。该官员表示，主要原因是黑客攻击，但一些分析师认为是交易所本身。但最终的受害者仍然是在 MT.Gox 事件中丢失比特币的用户。

MT.Gox 事件的受害者之一 Kim Nilsson 从 2014 年的比特币盗窃案开始了为期三年的调查研究，长期密切关注 MT.Gox 事件，并建立了WizSec 公司专门分析了被盗比特币的流向。他认为，“门头沟”被盗的比特币已经被翻了好几次，大部分都去了BTC-e交易所。本文编译自《华尔街日报》，从 MT.Gox 事件开始，还原 Kim Nilsson 对比特币盗窃案的三年调查。

MT.Gox 交易所发生的一起奇怪的比特币盗窃案

在寻找 Mt. Gox 盗窃真相的过程中，Kim Nilsson 只能进行最基本的操作

故事从一个奇怪的比特币盗窃开始。

2014 年，生活在日本的普通软件工程师 Kim Nilsson 一怒之下坐在电脑前。

他发现他名下的比特币无法从 MT.Gox 交易所提取。明明是蓄意犯罪，但当时警方也无能为力，因为警方连当时的情况都搞不明白，更别提解决了。

Nilsson 丢失的比特币应该在 Mt. Gox，一家宣布破产的比特币交易所。交易所丢失了价值超过 4 亿美元的比特币，这让数百名投资者感到失望，甚至心碎。

与许多受害者不同，尼尔森决心反击，与一名律师和另一位比特币丢失的受害者一起追查比特币失踪的细节。去年夏天，他们为期三年的网络跟踪在希腊的一个海滩上结束了。在一座拥有千年历史的修道院中，联邦调查局特工逮捕了一名俄罗斯男子，并指控他使用比特币洗钱，以最近的交易所交易价格计算，估计价值约为 40 亿美元。这是加密货币短暂历史上涉案金额最大的最大刑事案件。

从比特币的坚定拥护者到网络侦探，尼尔森与比特币的亲密经历是加密数字货币发展史的浓缩。随着近几年市值和应用的爆炸式增长，整个行业在混乱中走向成熟。尼尔森揭露的价值数十亿美元的网络盗窃和洗钱案发生在比特币世界。 MT.Gox 事件向我们展示了这个没有警察和政府控制的数字荒地对投资者来说是多么危险。

Nilsson 将他的工作称为“区块链考古”，这已成为一种职业。现在有大量针对数字货币的私人调查公司，追踪资金流向，并为大型银行、交易所和执法机构等机构调查可能的网络犯罪活动。这些公司拥有自己的数字货币调查员，为 FBI、CIA 和美国国税局 (IRS) 等客户提供服务。

在比特币问世约九年后，在其最高价格时，被盗比特币的总市值超过 150 亿美元，其中许多来自导致 Mt. Gox 倒闭的事件。该统计数据不包括未公开的被盗比特币，以及涉及其他非法活动的比特币，例如转售被盗信用卡或黑客付款。

比特币承诺成为去中心化的匿名支付系统，令金融界兴奋不已，使银行成为过时的历史遗迹。但它面临着许多威胁，盗窃只是冰山一角。

只要用户在大型集中式交易所进行交易，匿名性是不可能的，这些交易所会收集详细的用户数据并将其提供给政府调查人员。在投机者的推动下，比特币价格出现了巨大的波动，使得比特币成为一种风险投资，无法成为真正的货币。

犯罪随之而来。由于政府监管很少，也无法撤销比特币教育，小偷们创造了新的方法，不仅可以深入交易所的核心，还可以使用比特币来促进各种诈骗。网络安全研究人员指出，窃贼窃取信用卡并转售以换取比特币，而包括一些朝鲜人在内的一些黑客窃取了用户数据和比特币赎金。监管机构现在希望适用于传统投资的相同法规将适用于比特币。

对于像尼尔森这样的真正信徒来说，这意味着比特币的衰落。

金尼尔森的反击方式

36 岁的 Nilsson 拥有瑞典国籍，目前在日本东京一栋狭窄的高层建筑中生活和工作。与其他日本数字货币爱好者一样，当人们涌向比特币时，他们正沉浸在金融危机后的乐观情绪中。比特币由一个或多个化名中本聪的神秘程序员创建，仅存在于互联网上2022年盗窃比特币，是称为区块链的数字账本上的一系列代码。它是主流金融体系之外的一个异化之地。

区块链是由全球数千台计算机维护的分类帐。基于它的交易是公开可见的，但交易者并不那么透明。这种安排确保用户不能重复使用同一个比特币购买和支付商品或服务。比特币可以在字母和数字的“地址”之间移动，但这些地址背后的钱包持有者仍然不可见。

理论上，这个过程是去中心化的，每个钱包持有者都有责任留意密码的动向。银行或信用卡发卡机构等受信任的中介机构不需要确保交易所是合法的，区块链已经为他们做到了。

在现实世界中，许多比特币交易是由交易所促成的，而不是区块链的直接用户。虽然交易所的功能类似于传统金融机构，但它们大多不受政府监管。他们连接买卖双方，并使用在线账户来持有双方的数字货币。这些帐户和交易所收集的信息很容易受到黑客攻击。

总部位于东京的Mt.Gox是最早遭受这场灾难的交易所之一，也是当时交易量最大的交易所。它提供了一个买卖比特币的平台，同时保留了一个受密码保护的数字钱包，供用户存储比特币。 2012 年，尼尔森从朋友那里购买了他的第一个比特币。一年后，他在 Mt. Gox 购买了比特币，积累了少量。

Nilsson 的下巴上留着小胡子，习惯穿着黑色，穿得像 1990 年代的黑客或摇滚乐队 Rush 音乐会的粉丝。他在东京断断续续地生活了大约十年。

山。不知道买家身份的Gox不知不觉陷入了困境。 2011年，一些黑客获得了私钥，开始从网上钱包中盗取比特币，四年内盗取了约63万枚比特币。

山。 Gox 所有者 Mark Karpelès 是一名居住在东京的法国移民，他试图掩盖比特币盗窃案，但到 2014 年初，他再也无法隐瞒。 Mt. Gox 被迫暂停提款并申请破产。

这是比特币短暂历史上最大的盗窃案，数百名交易所用户成为受害者。一名加州男子损失了大约 40,000 美元，芝加哥的一名投资者损失了超过 50,000 美元。曾在纽约布鲁克林求学后定居台湾的律师凯尔曼损失了 44.5 个比特币，按当前市价计算约为 400,000 美元。他后来访问了东京，希望能抓住比特币小偷。

在由比特币内部人士组织的派对上，律师 Kelman 在东京摩天大楼的一家酒吧遇到了夏威夷人 Jason Maurice。莫里斯是尼尔森的同事，头发蓬松，尼尔森给他起了绰号“魔术师”。这些编程人才被召集在一起，希望能解决 Mt. Gox 事件。

在莫里斯经常光顾的汉堡连锁店 Teddy's Bigger Burger 共进晚餐时，几个人进行了认真的讨论，并提出了一个计划，试图找到被盗的比特币并将其变成一项业务。

“你知道那些关于前总统肯尼迪遇刺的纪录片吗？二十年后你见过他们（追捕者）吗？二十年后我们也会这样。” Kelman 记得我当时告诉我的搭档。

Nilsson、Kelman 和 Maurice 将公司命名为 WizSec。一半的名字来自莫里斯的绰号，还有一部分来自“比特币安全顾问”的口号。然而，该公司从未真正运营过。

尼尔森说：“很快就变成了，就技术而言，我是唯一一个赤裸裸的指挥官。”他既没有资金投资新技术也没有办公室，所以他利用了他在东京中央区的位置。周边一栋高层住宅的住宅在60平方米左右的公寓内进行调查。

Nilsson 只是一台用他在网上订购的零件组装而成的家用电脑，而这台电脑原本是用来玩电子游戏的，它根本没有足够的计算能力来进行有效的搜索 有了比特币的区块链，搜索基本上可以花费一整晚.

相反，Nilsson 开发了一个程序来索引区块链，这使他能够快速搜索每笔交易的输入、输出和地址。尽管模式已经出现，但它们很难破译2022年盗窃比特币，因为区块链无法识别每笔交易背后的人，并且没有可以将区块链地址与真实人联系起来的在线“黄页”。

幸运的是，尼尔森继续前进。

Mt.Gox 交换数据库的部分内容已泄露，其中一些在互联网上，而另一些则泄露给了记者。 Nilsson 获得了泄露的数据，其中包括交易、取款、存款和用户余额的私人记录。

2014 年 5 月，另一位程序员发布了对泄露信息的分析，发现交易账户正在购买比特币，这似乎是一个“自动机器人”，以支持 Gox 交易所设定的 Mt. Bitcoin 价格。

通过查看泄露的数据报告，Nilsson 意识到他可以使用数据库来计算 Mt. Gox 丢失了多少比特币，因为他可以找到与交易钱包相关的每个比特币，然后跟踪他们的交易。

调查塑造了 Nilsson 的生活，当他白天和晚上仍然在做他的全职工作时，在三个电脑屏幕前喝零可乐，一个处理代码，一个使用电子表格记录关键信息，以及有一个用来写调查笔记的。

经过几个月的努力，Nilsson 已经获得了近 200 万个与 Mt.Gox 交易所相关的地址。但是，他不知道这些地址是谁使用的，或者用于什么目的。因此，他需要知情人的帮助。

当时，日本执法部门也在调查 Mt. Gox，其负责人 Karpelès 先生非常低调，而 Kelman 已经通过消息程序 Internet Relay Chat (IRC) 知道 Karpelès 曾在与比特币频道联系。 凯尔曼说：

“有一天我上了 IRC，我开始指责 Mark 挪用公款。”

为了尽快摆脱这段关系，Karpelès 同意在一家汉堡餐厅 Meet Kelman 与 Nilsson 见面。 Nilsson 带来了整理好的账户信息，Karpelès 确认并帮助他们了解了完整的 Mt.Gox 地址。 Nilsson 和 Kelman 透露，Karpelès 也告诉了他们一些事情，但可能需要稍后公布：Mt. 上的可疑交易掩盖了这一点。

Karpelès 拒绝对此事发表评论，也拒绝承认从 Mt.Gox 挪用资金。

Nilsson 分析了剩余的数千个左右的数字钱包，并确认 Mt.Gox 应该有大约 900,000 个比特币，而不是披露的 200,000 个比特币。不仅如此，他早在 2011 年就已经发现了比特币盗窃案，但不确定 Mt. Gox 是否知道这件事。 2015 年，尼尔森在一篇博文中写道：“从技术上讲，Mt.Gox 实际上在 2012 年就破产了。”

在将这些比特币留给其他加密货币交易所之后（其中一些以现金出售），尼尔森仍然没有弄清楚是谁偷走了比特币或出售了它们，但他仍在追踪此事。

2015 年 4 月，Nilsson 在 WizSec 博客上发布了调查结果，并希望了解更多信息。他概述了他所知道的一些事情，并声称除了 Karpelès 以外的人一定偷了 Mt. Gox 的比特币。在那篇文章的最后，尼尔森问了一个问题：“这到底是谁干的？”

很快，他得到了意想不到的消息。美国国税局调查员加里奥尔福德指控暗网“丝绸之路”的所有者涉嫌参与非法比特币交易。暗网丝绸之路，一个可以使用比特币购买毒品和武器的在线平台，是有史以来最大的与比特币相关的起诉书。 Gary Alford 调查了所有与丝绸之路相关的比特币交易，而 Nilsson 正在寻找在 Mt.Gox 丢失的比特币。

当然，Nilsson 和 Gary Alford 似乎并没有走上“一条路”，因为 Nilsson 进入比特币的部分原因是他想摆脱监管机构的束缚，他说：“显然，在我们的圈子里，与 IRS 打交道是一种耻辱，而税务员不是我们所尊敬的那种机构。”

但是，Kelman 和 Nilsson 认为，美国政府可以提供更广泛的服务，以及丰富的资本和技术。 Kelman 补充说：“这就像一条单行道，我们给了他们一切，而 Gary Alford 只提供了一些保证，保证他们走在正确的轨道上。”

Kim Nilsson、Jason Maurice 和律师 Daniel Kelman 正在 Mt.Gox 所有者 Mark Karpelès 的东京家中的厨房准备苹果派。摄影师：马克·卡佩莱斯

“WME”和“BTC-E”

Nilsson 披露了 Mt.Gox 的一些比特币去了哪里，包括其他加密货币货币交易所，例如 BTC-E。之后，他又发现了一些其他意想不到的事情，比特币从 Mt.Gox 丢失的比特币钱包里流出，从加密货币交易所流向了一些知名的比特币交易所，还有一些看似无关的在交易所手中。

Nilsson 使用 Mt.Gox 泄漏交叉引用了其中一些交易，发现从 Mt.Gox 丢失的一些比特币已存入其他 Mt.Gox 账户，其中 One 甚至收到了一笔现金存款消息——简单的三个字母“WME”就可以了。 Nilsson 知道持有“WME”账户的人一定与被盗的 Mt.Gox 比特币有关，他需要弄清楚这个人的真实身份。

此时，尼尔森开始转移战场，从之前的区块链分析转向传统的互联网调查。

经过一系列深入挖掘，Nilsson 发现 WME 与一家在莫斯科经营数字货币交易所的公司有关联。 2011 年，WME 出现在 Bitcointalk.org 板上，当时在 Bi​​tcointak.org 公告板上说：“你好，我做货币兑换已经 10 多年了。什么都可以换。如果有大额资金往来，我会优先处理。”

Nilsson 做了进一步分析，发现 WME 钱包与加密货币交易所 BTC-E 有关联。

其中一些来自 Mt. Gox 的比特币最终进入了 BTC-E 账户，似乎从未被转出，留在与 BTC-E 管理员关联的钱包中。 BTC-E 是否涉嫌参与 Mt. Gox 抢劫？

下一步是确定“WME”账户信息。

这似乎很困难，因为每笔交易都使用不同的钱包，并且每次都小心翼翼地不留下与真实身份相关的信息，这些罪犯很难被抓到。

但是“WME”账号一不小心，通过尼尔森所说的bug找到了一些线索。

第一个是将“WME”与特定帐户相关联的帖子。 Nilsson 发现了一个 2012 年的留言板帖子，其中一个愤怒的“WME”帐户声称“另一个交易平台正在骗取我的钱”。

“这是针对 CryptoXchange 的诈骗报告，CryptoXchange 从我这里偷了超过 100,000 美元并拒绝归还，”该帖子称。

为了支持他的案件，WME 在他自己和 CryptoXchange 之间发布了一条消息，并通过律师向公司递交了一封信。在消息的底部，CryptoXchange 告诉 WME 他的数字货币存放在哪里：一个由“VINNIK ALEXANDER”拥有的帐户。

尼尔森震惊了。 “我什至不相信这是一个真名，我认为这是一个别名或什么的。”为什么币圈会有人在网上晒出自己的真实姓名和银行信息？

Nilsson 将这个名字传给了美国国税局特工 Gary Alford。

现在是 2016 年夏天。Nilsson 已经为这个案子工作了两年。

嫌疑人亚历山大·维尼克被捕

俄罗斯人 Alexander Vinnik 被控洗钱并在希腊海滩被捕 Nilsson 当时不知道的是，BTC-E 的目标是远离政府调查。特工和检察官正在利用美国司法部的传票权力通过技术对他的调查得出相同的结论。

网络安全研究人员表示，BTC-E 是全球犯罪分子的首选交易所。它允许客户通过欧洲银行关系购买比特币或将其转换为欧元和卢布。一位私营部门区块链调查员估计，BTC-E 占 2016 年所有加密货币犯罪案件的 60% 到 70%。

美国国税局调查员 Tigran Gambaryan 是 Vinnik 调查的主要代理人，他说：“没有人知道 BTC-E 是谁或他的主人是谁。我们分析它可能在保加利亚，也可能在塞浦路斯。”

该代理所知道的是，BTC-E 是当时最大的比特币交易所之一，并且“没有对用户身份进行任何审计，”Gambaryan 先生说。奥尔福德拒绝置评。

根据法庭文件，联邦调查人员还发现了一个名为“WME”的账户，该账户窃取了 Mt. Gox 的比特币并指向 BTC-E 交易所。

继续跟踪区块链交易和传票的银行记录，他们确定，在 2013 年至 2015 年期间，与 BTC-E 和一名俄罗斯公民相关的账户参与向拉脱维亚银行发送塞浦路斯现金转账，通过以下方式将资金转移到欧洲大陆这种洗钱方式。

截至 2016 年底，检察官有足够的证据对 Alexander Vinnik 提出指控。

由于俄罗斯网络犯罪分子通常不会被驱逐出境，FBI 正在寻找逮捕他的方法，并于 2017 年 1 月提交了一份密封的联邦起诉书，指控 Alexander Vinnik 和一名未具名的同伙通过 BTC-E 洗钱约 40 亿美元。当亚历山大·文尼克在希腊度假时，联邦调查局和当地警方准备逮捕。

7 月 25 日，身穿便服的便衣警察在希腊海滩上包围了亚历山大·文尼克并将其逮捕。据希腊执法官员援引法庭文件称，他们缴获了两台笔记本电脑、两台平板电脑、五部手机和一台路由器（可能有 BTC-E 的证据）。

目前还不清楚 Alexander Vinnik 的未来。美国现在正试图引渡他，但俄罗斯表示反对，称希望他返回莫斯科以欺诈 9,500 欧元的罪名受到起诉。

Kim Nilsson 在他的东京办公室展示了被盗虚拟货币流向的图表。 （图片来源：华尔街日报深田志保）

在希腊法庭听证会上，Vinnik 的俄罗斯律师否认了这些指控，称 Vinnik 不是 BTC-E 的员工，并声称他正在打击美国在全球金融领域的影响力。系统中的主导地位。这位律师呼吁希腊人和俄罗斯人分享正统的基督教传统，称他们不能将“同一宗教的兄弟”送到美国。Vingnik 在驱逐听证会上已经阅读了圣经。

7 月 30 日，希腊陪审团同意将 Vinnik 引渡到俄罗斯，尽管希腊的其他地区法院裁定应该将 Vinnik 引渡到美国或法国。如果 Vinnik 在希腊的庇护申请失败，将由司法部长决定是否最终将他引渡到该国。

这次逮捕是数字货币世界上最大的逮捕之一。尽管他们已经逮捕了 Vinnik，但不太可能完全阻止 BTC-E。参与调查的人士表示，尚不清楚 Vinnik 是否是 BTC-E 的领导者，甚至是行动中的重要人物。事实上，他们和 Nilsson 表示，BTC-E 的策划者可能仍然存在于前苏联集团的某个地方，持有大量比特币并且仍在运营。

在 Vinnik 先生被捕后的几天里，BTC-E 以新名称重新上线。其最新的运营商身份无法确定，保留了BTC-E的客户名单和技术等要素，但网站的管理方式不同。本月早些时候，运营商宣布他们将关闭交易所。无法联系到他们发表评论。

据知情人士透露，联邦检察官认为 Vinnik 只是几个 BTC-E 目标中的第一个。

尼尔森对被捕感到高兴，但仍然感到沮丧。尽管他俘虏了 Vinnik，但他的比特币仍在 Mt. Gox 的破产程序中。 Nilsson 曾希望比特币能让他避开政府、金融机构和诈骗者，但却将他所有的比特币都用于盗窃。

最后，尼尔森评论说“Mt. Gox 事件是一个悲伤而肮脏的故事”。

（本文编译自《华尔街日报》，作者：Justin Scheck、Bradley Hope、来自雅典的 Nektaria Stamouli 也对本文做出了贡献。编辑：Chai Lijun，译者：Hispear、Chaindder、Chai Lijun。）