花了三年时间才收回 650,000 BTC。宅男是如何成为比特币侦探的？

7月初，在葡萄牙首都里斯本举行的BuildingOnBitcoin会议[1]上，BitGo前总工程师、CasaHODL现任工程师Jameson Lopp透露比特币被盗案，目前有400万比特币丢失，200万比特币在比特币网络中被盗。

詹姆森·洛普在会议上的演讲[2]

也就是说，比特币网络中的固定供应量（约 2100 28.57% of 10,000）将永远无法恢复。自比特币诞生以来，比特币被盗事件屡见不鲜，如2014年Mt.Gox被盗、2016年Bitfinex被盗……最近涉案的虚拟货币涉案金额高达6亿元被西安警方发现。盗窃。

频繁的比特币盗窃催生了一个新职业——比特币侦探。

2014 年 2 月 14 日，东京下雪了。Kolin Burges 戴着针织帽，右肩举着一个牌子，站在 Mt.Gox 交易所总部前，上面写着“MTGOX WHERE IS OUR MONEY”（Mt. Gox，我们的钱都去哪儿了）[3]。

在 Mt.Gox 冻结比特币提款后，Kolin Burges 从伦敦飞往东京。从那时到Mt.Gox宣布破产后的两个多星期，他每天都在Mt.Gox总部门口募股。签署抗议。很快其他人就和他一起抗议了。

图为金尼尔森，站在东京新宿站附近的街道上

瑞典软件工程师 Kim Nilsson 也是 Mt.Gox 事件的受害者之一，他在 Mt.Gox 中的 12.7 个比特币消失了，他非常心疼。不过，他当时在东京生活了近 10 年，留着山羊胡，温文尔雅，不喜欢像科林·伯吉斯那样直接抗议。

于是，曾经在一个下午打通《超级马里奥2》所有关卡的软件工程师，选择了这样处理Mt.Gox问题：与另外两名Mt.Gox事件的受害者Daniel Kelman 和 Jason Maurice 成立了一家名为“WizSec”的比特币安全公司来追踪盗窃行为。他说[4]：​​​​

“这可以说是当时世界上最难的智力游戏了，如果有人能解出来，那一定很棒。”

实际上，从2011年6月19日的第一次黑客攻击，到2014年2月28日申请破产，Mt.归公司所有）。 2014 年 3 月 21 日，Mt.Gox 首席执行官 Mark Karpeles 在公司官网发表声明称，“在一个旧钱包中发现了 199,999.99 个比特币”并已离线存储[5]。 Kim Nilsson 的工作是追回被盗的 650,000 比特币。

Kim Nilsson 在一个屏幕上显示代码，在另一个屏幕上显示关键信息的电子表格，并在另一个屏幕上显示注释。图片来源：华尔街日报

正如他所说，这可能是当时世界上最难的智力游戏。金尼尔森白天做他的全职工作，晚上在三个发光的电脑屏幕前喝可乐时跟踪线索。他开发了一个索引程序，使他能够快速检索区块链上每笔交易的输入、输出和地址。

2014 年 3 月，Mt.Gox 部分数据库在线泄露，Kim Nilsson 获得了泄露的数据，其中包括交易、取款、存款和用户余额的私人记录。

2014 年 5 月，一位程序员发布了对泄露信息的分析。报告发现，似乎有账户自动购买比特币来支撑 Mt. Gox 股票的价格。 Kim Nilsson 意识到可以使用泄露的数据库信息来定位与交易所相关的每个丢失的比特币钱包，追踪其交易记录，并计算 Mt.Gox 丢失的比特币数量。

Kim Nilsso 和 WizSec 的 Jason Maurice 在桌子上放着苹果派。图片来源：华尔街日报

几个月后，他收集了近 200 万个与 Mt.Gox 相关的交易地址——但不知道每个人使用了谁，也不知道这些地址来自哪里，用于什么目的。他需要内部人士的帮助[6]。这时，他发现 Mt.Gox 的 CEO Mark Karpeles 和他一样，想查明真相。于是 Kim Nilsso 和 WizSec 的另一名成员 Jason Maurice 带着苹果派的原料来到了 Mark Karpeles 的公寓。 Mark Karpeles 迅速向 Kim Nilsson 提供了内部 Mt.Gox 数据，他说[4]：

“希望我偷了它，这样我就可以把它找回来。”

在接下来的四年里，Kim Nilsson 花了一年半的时间处理 Mt. Gox 盗窃案。在此期间，WizSec 解散，Mark Karpeles 承认使用 Willy 的账户进行自动转账[7]。他后来因 Mt.Gox 事件被日本警方逮捕，并于 2016 年 7 月获得保释，但无法离开日本。

图为马克·卡佩莱斯出狱前后。网友认定：减肥成功了！

Kim Nilsson 没有放弃，在 2016 年初，他找到了嫌疑人。当 Kim Nilsson 追踪从 Mt.Gox 到其他交易所的比特币交易流时，他发现从 Mt.Gox 被盗的 650,000 个比特币中，有 630,000 个直接进入了同一个人控制的钱包。此人在 Mt.Gox 也有一个帐户，用户名为 WME[6]。

很难找到此人比特币被盗案，因为犯罪分子通常不会在网上使用真实身份。然而，并不是所有的犯罪分子都如此谨慎。 Kim Nilsson 在 2012 年的比特币论坛上发现了一个用户名中带有“WME”的人发脾气，抱怨加密货币交易所冻结了他的账户。他在帖子中张贴了一封律师函，他的名字是“VINNIK ALEXANDER”[8]。

图为用户“WME”在比特币论坛的聊天记录，不小心暴露了自己的真实身份

事实上，金尼尔森后来得知这是嫌疑人的真名，惊呆了，说：

“看到名字，没想到会是他的真名，我猜他会用假名什么的，怎么会有人在网上公布自己的真名和银行信息！”

看到这个名字，我的思绪像柯南闪电一样掠过金尼尔森。 Brain，他立即将这个名字传给了美国国税局特工 Gary Alford。

2017 年夏天，Alexander Vinnik 在希腊北部海滩度假时被美国警方逮捕。美国联邦检察官指控 38 岁的俄罗斯 IT 技术人员 Alexander Vinnik 非法将从 Mt.Gox 窃取的 530,000 个比特币转移到 Mt.Gox 和 BTC-e 等交易所的账户中。

图片中的人是Alexander Vinnik，图片由Kim Nilsson在一次会议上分享[9]

自调查之初，Kim Nilsson 回答了一个他自己想弄清楚的重要问题，即是否有可能弄清楚比特币的去向，但他还没有回答另一个问题[10]：

“他能把钱拿回来吗？”

Kim Nilsson 将他的工作称为“区块链考古”，现在已成为一个行业。大量私人加密货币调查公司正在追踪资金流向，并对针对大型银行、交易所和执法机构的潜在犯罪进行调查。 Chainalysis、Elliptic、CipherTrace 等比特币侦探公司在世界各地涌现，美国政府机构——包括 FBI、CIA 和 IRS 等——也有自己的加密货币调查员。他们通过跟踪区块链上的公共信息来打击网络犯罪。

参考资料：

[1]Prezi@BLOCKCHAINLAB SRL，“以比特币为基础”，2018 年 7 月 2 日

[2]图片来源：Twitter@Willy Woo，2018 年 7 月 4 日

[3]CoinDesk，“看着这个人与 Mt. Gox 的 CEO 对抗丢失的比特币”，2014 年 2 月 14 日

[4]《财富》，“Mt.Gox 和比特币最大恶棍的意外赎回”，2018 年 4 月 19 日，

[5]TECH2IPO/Transcend，“时间线：Mt. Gox 事件比特币的兴衰，2014 年 3 月 13 日

[6]华尔街日报，解决比特币最臭名昭著的抢劫案的人，2018 年 8 月 10 日

[7]威利报告，“Mt. Gox 大规模欺诈交易活动的证据，以及它如何影响比特币的价格”，2014 年 5 月 25 日

[8]比特币论坛，“针对 CryptoXchange 10 万美元的诈骗报告”，2012 年 6 月 7 日

[9]YouTube@TheBitcoinArmy，“Kim Nilsson – Cracking MtGox”，2017 年 9 月 10 日

[10]华尔街中文网二次拍摄视频，《如何破解比特币盗窃之谜》，2018年8月16日