揭秘 ZachXBT：与魔鬼赛跑的人

本文来自：Wired；原文作者：Andy Greenberg

编译：Odaily星球日报（ @OdailyChina ); 译者：Azuma（ @azuma_eth )

编者注：ZachXBT 可能是 加密货币现在的货币世界。

过去几年中，ZachXBT 通过亲自调查发现了大量安全事件，直接追回了数亿美元的资金，揭露了无数的暗箱操作和内幕骗局。

最近的一起案件发生在前天，Meme 项目 SHAR 意外爆红后，ZachXBT 披露该项目涉嫌合谋和 KOL 操纵，不久之后 SHAR 的真面目被揭穿，背后的操纵者直接把代币市值从 4000 万美元砸到 300 万美元。

在多年的调查中，ZachXBT也招来了不少的敌意，有人恨他曝光自己心爱的仓位，认为如果没有他，做市商可能不会这么早就收获；有人图谋已久，却在得逞之时被他揭穿；有人早已盗取数亿资金，挥霍无度、享受奢靡生活，却因为ZachXBT的调查，转眼间被送进了警局。

出于对潜在报复的担忧，ZachXBT 在网络上隐藏了自己的名字。没人知道他长什么样子，叫什么名字，多少岁，住在哪里，但业内几乎普遍认为，当灾难来临时，这只四眼鸭嘴兽（ZachXBT 的社交媒体头像）就像一位浑身散发着圣光的天使。

近日，ZachXBT接受了知名媒体Wired的采访，在采访中ZachXBT甚至提到了一些不会暴露自己身份的个人信息，以下是接受Wired采访的原文内容，由Odaily星球日报整理。

8 月 19 日，一名 20 多岁的男子（网名为 ZachXBT）走进机场准备乘飞机回家——他不愿透露具体是哪个机场、他的真实姓名或他住在哪里——这时，他的手机上弹出一条提醒。 比特币 刚刚被转移到一家小型交易所，这是他每天监控的众多交易所之一，以防出现犯罪或洗钱迹象。警报引起了 ZachXBT 的兴趣；转账总价值约为 $600,000，约为这家小型交易所通常转账金额的 10 倍。

当ZachXBT到达门口的时候，又是一声警报响起，同一家交易所又发生了第二笔超过$1百万的转账，随后又是$2百万…… 当 ZachXBT 排队登机时，他快速用手机追踪这些交易，从一个比特币地址追溯到另一个，标记可疑资金，试图在飞机起飞和机上 Wi-Fi 启动之间的半小时网络中断之前找到可疑资金的来源。 起飞之前，ZachXBT 已确定这些资金来自一个自 2012 年以来一直持有价值数亿美元比特币的地址——现在这笔九位数的资金正在被不计成本地匆忙套现，这对于任何一个持仓十多年的耐心比特币投资者来说，都是不可能做到的。

对于 ZachXBT 来说，这些异常转账显然是另一起重大盗窃案。当他仔细检查线索时，他发现有人似乎从一名不幸的受害者手中窃取了约 $2.43 亿比特币，这可能是加密货币历史上最大的个人盗窃案。

从一个人那里偷那么多钱……我必须确保自己不会发疯， ZachXBT 告诉 Wired。

随着飞机爬升至 10,000 英尺以上，机载 Wi-Fi 开启，ZachXBT 开始进一步追踪被盗资金的动向，它们通过一个又一个交易所和代币兑换服务平台转移。在接下来的几个小时里，ZachXBT 加速了资金流的分配——盗贼频繁地通过十几个平台转移代币，显然是为了混淆交易路径。

当 ZachXBT 追踪被盗资金的所有者时，他发现部分资金最初来自现已倒闭的加密货币交易所 Genesis。ZachXBT 直接向 X 上的交易所管理员发送了一条消息，请他们帮助联系受害者，受害者最终决定聘请 ZachXBT 尝试追回被盗资金。

等到飞机落地，ZachXBT 已经发现了盗窃案的三条主要线索——三条线索指向三名可能的罪犯。ZachXBT 还向他在 X 上的 65 万粉丝发送了一条消息，指出了链上正在发生的盗窃行为。很快，他就收到了一条消息，消息来源声称自己掌握了窃贼身份的线索。

在接下来的一周里，ZachXBT 不分昼夜地工作，每晚睡眠时间不超过四五个小时，并定期与执法部门分享他的发现。 最终，ZachXBT 确定了盗窃案的嫌疑人——两名年轻的黑客，分别名为 Malone Lam 和 Jeandiel Serrano，两人都是 20 岁出头——还有另一名嫌疑人，由于尚未被捕或受到指控，Wired 选择不透露其姓名。

ZachXBT 甚至找到了黑客庆祝获得巨额横财的视频录像。在快速调查过程中，ZachXBT 甚至追踪到了窃贼的 Instagram 和 TikTok 账户，并看到其中一人花费数百万美元购买豪车、私人飞机和夜总会——嫌疑人在夜总会的消费金额一度高达 $500,000。

从登机前警报响起到三名嫌疑人中的两名被捕并受到刑事指控，只过去了不到一个月的时间。ZachXBT 提到，当他看到其中一名黑客的面部照片时，他感到一阵肾上腺素激增，但这种感觉很快就过去了。

“我并没有真正感受到任何特别的成就感，我只是把它当做其他案件来对待。”

头号“连锁侦探”

如果追踪 $2.43 亿的抢劫案对 ZachXBT 来说似乎只是寻常的一天，那可能是因为在过去三年里，他已经成为加密货币世界中最活跃、最知名的链上侦探。 自 2021 年开始业余调查以来，ZachXBT 追踪了总额达数十亿美元的被盗资金和诈骗案。ZachXBT 向《连线》杂志发送了一份电子表格，据他自己统计，该表格已直接追回约 $2.1 亿美元的被盗资金。 数百项调查中，ZachXBT 成功盗取了约 $2.25 亿韩元的资金，间接促成了约 $2.25 亿韩元的赃款被没收。ZachXBT 还揭露了各种项目和 KOL 欺诈案，追查了大型盗窃案背后的网络犯罪分子，并发现了数十起朝鲜黑客渗透某些项目甚至以员工身份渗透的案件。

在此过程中，ZachXBT 的收入几乎全部来自加密货币形式的捐款，其中大部分来自各种加密货币组织或陌生人，自 2021 年以来总计约 $130 万。与 ZachXBT 合作过的特勤局分析师乔·麦吉尔 (Joe McGill) 表示：“他是新一代的调查员。他为公众工作，他的成功完全取决于他工作的成功。”

ZachXBT 多年来一直是一名加密货币义警，但他一直严格隐藏自己的真实身份。在互联网上，他的个人资料图片就是他的头像——一只穿着侦探风衣和运动衫的鸭嘴兽。 为了避免小偷、骗子和许多其他潜在敌人的报复，ZachXBT 从未公开露面，也没有透露自己的真实姓名或确切年龄，只是在 Wired 不会试图挖掘这些细节的条件下才同意接受采访。

麦吉尔回忆说，在他们早期的一些电话会议中，ZachXBT 不仅关闭了摄像头，还使用了变声程序，有时候声音会变得尖锐，像《南方公园》里的角色，有时候又会把声音的音调压低，让人想起一些恐怖电影里的声音。当时还在数据分析公司 TRM Labs 工作的麦吉尔说：“一开始很奇怪，但我尊重他的隐私，因为这个匿名的家伙确实在做着伟大的工作。”

ZachXBT 几乎每周都会发现多起加密货币诈骗和盗窃案，其速度通常比执法机构的行动速度快得多，以至于 Five Is 创始人兼加密货币调查员 Nick Bax 半开玩笑地怀疑他可能是某种机器人。

“他是一台机器，” 巴克斯大笑。

去年，他们曾联手追踪一起盗窃案，2021 年，一个名为 AnubisDAO 的加密货币项目被盗 $60 万美元。周六晚上，Bax 向 ZachXBT 提供了一份包含 500 多笔交易的清单，每笔交易及其关联地址都需要进行详细的人工分析。Bax 以为这会让 ZachXBT 忙上至少几天，但到了第二天下午早些时候，ZachXBT 已经完成了对每一笔交易的审查，并确定了哪些交易与案件有关。

“我很震惊，”巴克斯说。“他肯定在电脑前坐了 12 个小时。”

ZachXBT 的许多调查结果都直接发布在他的 X 账户上。随着时间的推移，他的调查结果越来越受到执法机构的重视——现在他经常在公开发布之前与他们分享他的调查结果。因此，他的调查工作的影响变得越来越真实和严重。

MetaMask 安全研究员 Taylor Monahan 是 ZachXBT 在多项调查中最亲密的合作者之一，包括 $2.43 亿盗窃案，他表示：“随着 ZachXBT 的影响力不断扩大，他的言行已经产生了财务和法律后果。如果 ZachXBT 现在发布关于某人的帖子，如果内容合理，那么这个人就会被逮捕。”

从受害者到告密者

ZachXBT在没有任何正式培训或组织支持的情况下，如何比执法机构更快、更有效地追踪加密货币安全事件？他自己也不确定：“这很难回答，我也不知道我为什么擅长这个。”

在接受《连线》电话采访时，ZachXBT 将此归因于他愿意全天候工作（毕竟区块链从不休息）以及他对区块链的熟悉，这源于多年来对无数交易的研究。 他说：“你对区块链的研究越多，就像你吃饭、睡觉和呼吸一样，随着时间的推移，它就会变得越来越清晰。你开始能够捕捉到这些联系。现在我只需看一个地址，花几秒钟分析一下，我就能告诉你它是否是一个坏人。”

除了多年加密货币爱好者的经历，ZachXBT 还透露，自己也曾是一些加密货币安全事件的受害者。2017 年左右，ZachXBT 天真地购买了价值数千美元的加密货币，最终由于普遍的恐慌而大幅贬值。买入时，我以为，这有改变世界的潜力。于是就一直持有，从未卖出……最后，我成了被骗的那个人。

到了2018年，不仅这些投资失败了，ZachXBT使用的钱包之一Electrum也遭到了黑客攻击，他损失了近$15,000多。

直到那时，ZachXBT 才决定回头重新考虑自己的操作。他不再简单地购买或持有代币，而是开始分析加密货币的链上动向——几乎所有区块链地址和交易都是公开可见的——并决定看看更成功的大型投资者如何交易，然后尝试模仿他们的操作。

到了 2020 年，ZachXBT 已经足够熟悉追踪加密货币交易，通过不断分析链上行为，他发现了普通投资者无法察觉的隐藏骗局。他看到一些 KOL 公开向数十万粉丝宣传一种加密资产，试图推高其价格，但当 ZachXBT 在链上追踪他们的资金时，他发现这些 KOL 实际上在事后立即出售其持有的资产，这似乎是一个典型的哄抬和抛售骗局。ZachXBT 说：这有点像吹哨人，但我注意到了这些活动，并想到了 2017 年和 2018 年发生在我身上的事情，所以我想为什么不发消息告诉大家呢？然后这些帖子开始走红。

同年晚些时候，NFT 热潮正式开始，ZachXBT 开始以类似的方式审查 Bored Bunny 和 Billionaire Dogs Club 等 NFT 项目，以追踪流入其中的资金究竟流向了何处。当时，一些 NFT 项目仅凭一组小小的卡通 jpg 图片就能筹集数百万美元，而且会承诺给予这些 NFT 各种特权，例如参加专属活动或俱乐部。然而，ZachXBT 通过链上分析看到，一些项目其实只是将资金分散，装入自己的口袋。有时 ZachXBT 甚至发现，一些 NFT 项目其实是另一个早期项目的换品牌，而这些早期项目已被证明是骗局。

在某些情况下，ZachXBT 对一些 NFT 项目的披露确实可以警示潜在买家，并阻止可疑的项目方。 但随着时间的推移，ZachXBT 厌倦了一次又一次地揭露同样明显的骗局，并对事件的总体结果感到沮丧——他揭露的 NFT 骗局中没有人面临刑事指控。

到 2022 年初，ZachXBT 注意到一群黑客在 X 上活跃起来，并发布了各种钓鱼链接，而这种钓鱼攻击已经导致数千万美元被盗。每当有悲痛的受害者发布消息称他们的储蓄被盗时，ZachXBT 就会联系他们，然后仔细追踪他们丢失的资金。他将这些链上线索与他在 Discord 和 Telegram 频道中找到的线索结合起来——一些年轻的加密货币黑客喜欢光顾某些频道，ZachXBT 发现了几个青少年在线账户，他们涉嫌是钓鱼活动的幕后黑手，并吹嘘自己的成就。

此时，ZachXBT 的名声已在整个黑客社区传开，以至于某个被 ZachXBT 认为是嫌疑犯的人在 X 上发帖专门嘲讽他是“mr xbt”，并炫耀他刚买的镶满钻石的爱彼手表。 ZachXBT 在豪华手表 Discord 频道中找到了这块手表的卖家，并说服卖家（以近 $50,000 美元的价格出售这块手表）交出嫌疑人的收货地址和真实姓名。

目前没有公开记录显示这名涉嫌嫌疑人是否已被逮捕——由于嫌疑人是未成年人，指控要么被封存，要么从未提起。然而，ZachXBT 发现的一份被盗资金没收通知显示，2022 年 10 月，即 ZachXBT 宣布对 X 展开调查的一个月后，FBI 从他认定的未成年嫌疑人手中没收了价值超过 $200,000 的加密资产，其中包括这块钻石手表。

同年，ZachXBT 还利用类似技术追踪了另一起 $2.5 百万 NFT 盗窃案，这些盗窃案通过不同的网络钓鱼活动被盗，据称是两名法国黑客所为。在那起案件中，法国检察官几个月后逮捕了五名嫌疑人。据法新社报道，检察官特别感谢 ZachXBT 在 X 上发布的线索，这些线索帮助他们追踪到了两名疑似主谋。ZachXBT 表示：“看到执法部门根据我分享的信息采取行动，我感到非常满足。这让我觉得，也许我一直在做的事情真的很有意义。”

在 ZachXBT 的调查首次引起执法部门的注意两年后，他的调查规模（在某些情况下，影响）呈爆炸式增长。2023 年 2 月，ZachXBT 追查到 Platypus 被盗的近 $9 万美元资金，并在数小时内确定了其中一名嫌疑人的身份，一周后，法国警方逮捕了两名嫌疑人。尽管对这对夫妇的指控最终被撤销，但警方追回了数百万美元的赃款，Platypus 在一篇帖子中对 ZachXBT 表示感谢。同年晚些时候，ZachXBT 还追查到 Uranium Finance 被盗的 $25 万美元，其中大部分似乎是通过购买稀有的魔法卡洗白的。随后，一个名为 Scattered Spider 的网络犯罪集团对位于拉斯维加斯的凯撒娱乐公司 (Caesar's Entertainment) 发起了勒索软件攻击，参与此案并接受《连线》杂志采访的其他调查人员回忆说，该公司被勒索了 $15 百万，ZachXBT 帮助追查并追回了其中的 $12 百万。

大约在同一时间，ZachXBT 公布了对朝鲜黑客犯下的 25 起加密货币盗窃案的大规模调查结果，共涉及超过 $2 亿，在其协助下约有 $7 百万被冻结。这些黑客攻击中约有一半从未公开披露过。ZachXBT 的另一项调查揭露了一个由约 30 名朝鲜 IT 工作者组成的网络，他们渗透到各个科技公司并接受加密货币支付。在今年早些时候的一个案件中，其中一名看似与朝鲜有关的技术人员受雇于 NFT 项目 Munchables，并成功从该项目窃取了价值 $62 百万的加密资产。在 ZachXBT 帮助识别和标记资金后，多重封锁使嫌疑人难以套现，他们最终选择归还被盗资金。

我要疯了！你知道这多少钱吗？

即使有这么多经验，当 ZachXBT 在机场收到一条短信提醒，称一名受害者的 $2.43 亿被盗时，这仍然是他有史以来追踪到的最大盗窃案之一。

从机场回家后，ZachXBT 在接下来的几天里追踪这些资金的流转，同时在社交媒体上搜索三名嫌疑人的踪迹，其中两人分别叫 Greavys 和 Box。Greavys 的真名是 Malone Lam，从他发布的豪宅、钻石手表、喷气式飞机和跑车（包括一辆兰博基尼 Revuelto 和一辆帕加尼 Huayra，通常售价超过 $3 百万）的照片来看，他似乎住在迈阿密。ZachXBT 还看到了一些网红的帖子，Greavys 曾向他们赠送爱马仕手袋，每个手袋价值在 $30,000 到 $50,000 之间。他还发现了一家夜总会的服务员举着写有“谁想要 BIRK”的牌子的照片，并标记了 Greavys。

ZachXBT 说道：看起来他们的日常生活就是聚会和偷钱。

几天后，他说服了飞行期间最先向他通风报信的线人，让他发送了一段三名疑似参与盗窃的黑客共享屏幕的视频。 他们不知道的是，其中一名黑客在屏幕共享过程中还与另一组朋友分享了他的屏幕，并被其中一名朋友记录了下来。 在长达 90 分钟的视频中，ZachXBT 听到三名黑客多次互相称呼真实姓名，其中一名黑客还短暂展示了他的 Windows 主页，并透露了他的姓氏。

视频甚至拍下了黑客得手后欣喜若狂的反应：“天呐！天呐！$2.43亿！真的！我快疯了！啊！完蛋了！完蛋了！我快疯了！你知道这是多少钱吗???”

9 月 18 日下午晚些时候，在 ZachXBT 开始调查后不到一个月，Lam 在迈阿密海滨豪宅被捕，他每月支付 $68,000 美元租金。Box 的真名是 Jeandiel Serrano，他和女友从马尔代夫度假返回后在洛杉矶机场被捕。据检察官称，Serrano 被捕时戴着一块 $500,000 美元的手表，住在洛杉矶附近的一所房子里，每月租金超过 $40,000 美元，并花费 $1 百万购买豪车。第二天，Lam 和 Serrano 被指控电信欺诈和洗钱。根据法庭文件，两名黑客都向执法部门承认他们参与了多起加密货币盗窃案，Lam 还承认用偷来的钱购买了不少于 31 辆豪车。

到目前为止，$2.43 亿抢劫案中的 $79 亿已被扣押或冻结。ZachXBT 希望找到更多资金。检察官表示，即使在黑客花光所有资金后，仍有超过 $1 亿的资金下落不明。

根据公开记录，ZachXBT 确定的第三名嫌疑人似乎住在康涅狄格州，但尚未受到任何犯罪指控。然而，记者 Brian Krebs 指出，一份刑事起诉书描述了一群男子于 8 月底（盗窃案发生四天后）在康涅狄格州劫持了一对 50 多岁的夫妇的兰博基尼车，并短暂地将他们扣为人质，因为劫车者“认为受害者的儿子拥有大量数字货币”——这表明受害者可能是 ZachXBT 第三名嫌疑人的父母。

对于 ZachXBT 个人来说，这次调查可能是一个转折点，因为这是他第一次直接受雇于案件受害者并因其有效的调查而获得报酬，而不是作为一名依靠捐款的志愿者工作。 他说他可能会转行从事更有报酬的工作，甚至创办自己的调查公司。

但 ZachXBT 坚称他并非想通过调查致富：“我希望看到资金被没收，看到资金返还给受害者，看到罪犯被逮捕，这是我的目标，这是我决心要做的。看到我的工作让其他人受益，这就是我的骄傲。”

MetaMask 的 Taylor Monahan 是 ZachXBT 的合作者，他们曾一起进行过数十次调查。她认为 ZachXBT 的行动主要还是出于一种正义感——这种正义感来自于他曾经是加密货币世界混乱的受害者，他不希望其他人也有同样的遭遇。

“他和业内许多人一样，有过不好的经历，周围的人都说他运气不好，但他本能地想要改变这种状况，”莫纳汉说。

本文来源于网络：揭秘ZachXBT：与魔鬼赛跑的人

相关：在 Safepal Ton Fest 上探索下一代 Ton 游戏

引言 近期，Telegram（TG）与Ton网络频频成为热门话题。8月28日，由于$DOGS笔交易激增，Ton网络出现拥堵，导致垃圾回收功能超负荷运转，众多验证节点暂时失去共识。为了恢复网络正常运行，需要在中午12点左右重启验证节点。 那么，Ton网络上都有哪些应用？它的用户是谁？我们一起来探索一下。 1、Ton生态现状 Ton生态依托TG的10亿用户，经过半年的高速发展，Ton链上活跃钱包数已达1400万，但渗透率仅为1.4%。相比之下，2023年微信支付渗透率……