TMT观察网_独特视角观察TMT行业

在區塊鏈世界里，虛擬貨幣一旦被盜，就再也找不回來了嗎？

大多數人會給出肯定的回答，并且會對出入神秘、下手兇狠的黑客充滿敬畏感。

但黑客，并非沒有任何破綻。

2018年8月17日，西安警方破獲了一起黑客相關的網絡盜竊案件，涉案金額高達6億，而這其中相當一部分就是虛擬貨幣。

黑客是如何露出馬腳的？警方又是如何抽絲剝繭揪出他們？

對于我們普通用戶而言，在面對“一旦丟失，就永遠無法找回”的虛擬貨幣，你會選擇“因噎廢食”，還是“勇于嘗鮮”呢？

1、丟失的一個億

2018年3月30日，資深數字貨幣玩家張先生，像往常一樣打開自己的數字貨幣錢包，但一連串的“0”，讓他腦袋一陣眩暈，嗡嗡作響。

“所有的資產全部顯示的是0”，他進出了幾次頁面確認，“確實全是零”，如果不是椅子扶手撐住了身體，他有可能當時就摔倒在地。

“虛擬貨幣一旦被盜，就永遠不可能找回來了。”這是張先生腦袋里閃現的第一個念頭。

他癱坐在椅子里，絕望中，選擇了報警。

3月30日，比特幣被盜當天價格

雖然張先生并未透露具體丟失了哪些虛擬貨幣，但是按照3月30日被盜當天，比特幣48000元人民幣的價格計算，1億人民幣，相當于1850個比特幣。

據媒體報道，西安警方接到報警后，判斷這很可能是一起高級黑客入侵張先生電腦之后，盜取秘鑰，然后轉移了這筆資產，“而且幾乎沒有留下任何作案痕跡，在全國也屬罕見案例”。

警方當時并未向社會公布這一案情，這給了盜竊分子一種錯覺：受害人在保持沉默，自己是安全的，可以在恰當的時間點選擇套現。

只要套現，和現實世界接軌，警方就能順藤摸瓜找到他們。

如何理解呢？

這筆發生在2018年8月21日的轉賬，一個地址一次性給大量地址轉賬

按照警方的設想，黑客很有可能會將虛擬貨幣分散轉移至大批量的地址，再對這些虛擬貨幣進行洗錢、提幣、洗幣等操作。

例如，一位洗錢的嫌疑人，在第22個節點地址處，將比特幣轉給了“MG”，而“MG”身份已知，通過對MG進行調查，就能夠反推出，到底是誰在操控這些被監控的地址，就能順藤摸瓜找到嫌疑人。

?模擬虛擬貨幣流動線路

從事虛擬貨幣交易相關工作的國外專業人士 Aaron 認為，所有虛擬貨幣盜竊分子都會有套現的沖動，“一旦那些被警員檢測的地址，向一個已知已知身份的比特幣地址轉賬，這個時候，犯罪分子就很有可能暴露自己的身份。”

目前來說，虛擬貨幣變現途徑只有兩種：場外交易或者交易所交易。

“一旦發生變現、洗錢行為，犯罪嫌疑人就極容易露出馬角”，Aaron 認為，“事實上，警員已經在對犯罪嫌疑人用來轉移虛擬貨幣的地址進行了嚴密的監視，只要犯罪嫌疑人有套現行為，就會被追蹤到。”

因此，張先生的虛擬貨幣能不能找得回來，關鍵的點在于，犯罪分子是否能夠抵擋得住金錢誘惑，而讓那些已經被警方監控的虛擬貨幣保持“沉默”。

另一個重要的細節是，張先生丟失的虛擬貨幣價值上億人民幣，一旦套現，必定會涉及到大額轉賬行為，頻繁地大額轉賬洗錢，必定也會被銀行檢測到。

“如果盜竊者一直讓那些被盜的虛擬貨幣保持不動，警方也會束手無策的。” Aaron 說道。

警方就潛行在黑暗森林中，只要黑客忍不住將盜取的虛擬貨幣“變現”，就會留下蛛絲馬跡，被一舉抓獲。

因此，只要黑客將虛擬貨幣的錢流向法幣世界套現，勢必會被發現。

2、突破性線索

警方的調查工作在暗中緊鑼密鼓地推進著，黑客也踏入了設定好的劇本中。

“我們也借鑒了了國內外一些案例和一些做法，主要是通過追幣的流向，這個好多是在境外，我們就需要很多協調，甚至還要分宜很多外文資料，我們還要再翻譯。”西安市公安局刑偵反詐中心主任賈燾稱。

3個月后，警方“捕獲到一條突破性線索”。盡管媒體沒有詳細解讀線索是什么，但可以確定，是“追幣的流向”得到了結果。

潛伏在黑暗森林中的黑客，終于按捺不住。

根據西安警方的通告得知，這些黑客們不僅變現了，而且還大量變現：他們大張旗鼓地在北京等地購買了房產、豪車、理財產品。

黑客套現，購買的豪車、豪宅

據媒體報道，此次案件共有三名嫌疑人，均為高級黑客，曾供職于國內知名網絡科技公司。該團伙通過多次非法入侵、控制公司企業和個人網絡系統，獲取大量違法收益，初步查明的涉案金額就達6億元。

“三名黑客之所以被抓，我個人認為是因為他們大量套現，銀行賬號被人盯上了。”行業內資深從業者南宮遠這樣評價道，“數億資金的異動，央行早就盯上了。”

“他們的變現過程暴露了自己的身份，”虛擬貨幣資深投資者李想認為，“警方肯定是追查到了一些能確認‘大盜’身份的比特幣地址”。

外界的猜測基本屬實，三個黑客們的一舉一動，都在警方掌握中。

西安市公安局刑偵局民警衛元祥稱，“哪些比特幣是嫌疑人用來轉移贓款的，哪些比特幣地址是用來幣幣交易的，那些比特幣是用來洗幣的，哪些用于提幣的地址，我們全部查清了。”

事件至此已經告破。無論如何，在成千上萬的地址中，警方通過“捕獲到一條突破性線索”，就能抓到這些“江洋大盜”，無異給那些蠢蠢欲動，想要盜取虛擬貨幣的黑客們，一個強有力的震懾。

同時也在說明一個問題：虛擬貨幣是合法財產，收到法律保護。

據國外媒體報道稱，僅在2018年上半年，“黑客”就竊取了價值7.31億美元，約合人民幣48億元的加密貨幣。

在國外，另外一起虛擬貨幣盜竊案的偵破，也頗為傳奇。

3、復仇“門頭溝”

2017年7月23日，俄羅斯男子Vinnik，正在希臘海濱享受著休假帶來的舒適與愜意。

然而，一群聯邦警察的突然出現，打破這里的寧靜。

聯邦警察的到來，與發生在2014年的 Mt.Gox 天量比特幣被盜案件有關。而 Vinnik 則這起盜竊案的主角之一。

直到 Vinnik 面對聯邦警察的那一刻，他腦海中還存在這樣的僥幸：都過去3年了，應該是萬無一失的。

那么，到底是什么，讓 Vinnik 所認為的“萬無一失”，變成絕對失敗呢？

答案是：一筆現金。

“門頭溝”事件當天，比特幣價格

Nilsson 是當年“門頭溝”事件中的受害者之一，也是一位計算機極客。

2013年，Nilsson 用自己的一半積蓄購買了2000多個比特幣，結果在幾個月之后的2014年2月份，全部被盜。

當他得知自己投資比特幣的交易所，早在2011年就已經開始被黑客盜竊時，他腦海中對于虛擬貨幣世界的自由、信仰等價值觀，瞬間崩塌。

“居然會有人將這個崇尚自由的世界玩弄于股掌之間，”他決定站在正義這一邊，對這些作惡分子窮追猛打。

在兩位相同想法朋友幫助下，同時 Mt.Gox 的創始人也提供了一些交易所數據補充。這些資料被匯總起來，構成了巨大的信息海洋。

終于，經過幾個月的努力，Nilsson 在這浩瀚的數據海洋中，發現這位江洋大盜竟然將一筆比特幣轉入了一個已知身份的比特幣地址，同時還向與該地址相關的賬戶匯中匯入了一筆現金，并且備注了字樣：WME。

“正是這筆現金匯款，與匯款中的備注，給破案提供了“突破性線索”。”Nilsson 說道。

緊接著，Nilsson 搜索了互聯網所有與“WME”相關的線索。順藤摸瓜，Nilsson 使案情再次突破。

“有一個叫‘WME’的，是大額虛擬貨幣線下交易從業人員”，這加深了Nilsson 的懷疑，“如果能鎖定這位‘WEM’就好了。”Nilsson 這樣想。

事如人愿，Nilsson 發現這位“WME”，在另外一起經濟糾紛匯中居然留下了詳細信息，包括“WME”的銀行賬號，真實姓名。

然后瑞典海濱那場警員抓人的場景就上演了。

而“WME”的真實姓名是 Alexander Vinnik，“門頭溝”驚天大案的幕后黑手之一。這起盜竊案的后續賠償方案還在進行中，而這些賠償，對于 Nilsson 而言，與他原先的比特幣數量相比，可能是“九牛之一毛”。

將近3年的調查經歷，算是對“門頭溝”大劫案的“復仇追擊”。同時在追擊過程中，Nilsson 也成了虛擬貨幣追蹤領域的專家。

4、從虛擬到現實

可能有人會問，虛擬貨幣被盜竊案為什么會如此錯綜復雜？

事實上，限于篇幅與科普性質，筆者已經對整個過程做了大量簡化處理，實際情況遠比文章所提到的要復雜的多。

“追了很久很久，總之動用了很多資源，國內的這些知名公司，國內外的平臺的協助。”在總結西安張先生虛擬貨幣盜竊案件時，衛元祥稱。

虛擬貨幣的記賬、轉賬方式與傳統法幣世界有著巨大的區別。最重要的兩點就是區塊鏈技術的“不可篡改性”與“匿名性”。

比特幣本質上是一個分布式的賬本存儲技術，當一筆交易發起之后，全網節點都會記賬。這保證了賬本的不可篡改性。這個特點導致張先生，還是“門頭溝”，都不可能通過“數據回滾”的方式，拿到丟失的虛擬貨幣。這就是不可篡改性。

同時，所有的虛擬貨幣都被保存在一個可公開地址中，每個人都可以通過查詢區塊鏈瀏覽器看到這些丟失的虛擬貨幣的流向，但是我們無法知道這些地址都屬于哪些人。這就是虛擬貨幣的匿名性。

這兩個特點一方面保證了虛擬貨幣的安全性，同時也導致一旦秘鑰丟失，或者虛擬貨幣被盜，就再也不可能通過傳統意義上的“數據回滾”恢復自己的虛擬貨幣。

在與虛擬貨幣偷盜者的博弈過程中，無論是西安警方，還是 Nilsson ，他們都是在凈化整個行業。

在犯罪分子與網警相互博弈中，前者永遠生存在黑暗世界，后者則在極力維護正義的邊界。

5、黑客如何“洗幣”

在警方公布案情時，提到了很重要的一點，即“弄清楚了犯罪分子哪些地址是用來洗幣的”。

對于像張先生，或者“門頭溝”，這樣的大額丟幣現象，黑客們會采用什么方式進行“洗幣”呢？

第一種就是“直線型”轉賬。

“直線型”轉賬

黑客盜取張先生的虛擬貨幣地址的私鑰之后，一次性將幣提到自己的地址中。這是最簡單的一種轉賬形式。

第二種是“雪花型”轉賬。

“雪花型”轉賬

同樣以黑客盜取張先生虛擬貨幣為例，黑客在拿到張先生的私鑰之后，先通過“直線型”轉賬將所有比特幣轉入一個地址，然后在極短的時間內，再將這筆虛擬貨幣拆分到三個以上新的地址，這是第二層地址。然后在第二層地址的基礎上再次拆分。拆分N次之后，整個拆分路徑與節點就像雪花一樣。

然后，黑客再將這些地址里面的比特幣進行洗白。洗白的方式，可以是通過交易所，也可以是通過線下交易。但是，只要黑客們忍不住想要去變現，就很容易“露出馬腳”。

西安的黑客，就是在這個環節出了問題。

第三種是“洋蔥型”轉賬。

“洋蔥型”轉賬

這次黑客拿到張先生秘鑰之后，首先一次性將絕大多數虛擬貨幣轉入一個一層地址，然后少部分轉入N個一層地址（如圖）；然后再將絕大多數轉入新的二層地址，少部分轉入N個二層地址。這樣反復操作M次，直到這些虛擬貨幣被分配到大量地址。這樣的轉賬結構，就像是洋蔥，因此上名字叫“洋蔥型”轉賬。

到來的虛擬貨幣分發的地址越多，越是難以追蹤，對調查工作的挑戰也越大。

面對黑客花樣繁多的盜竊、洗錢手段，如果你沒有良好的保護措施，虛擬貨幣私鑰等于拱手送予黑客。

據統計，從比特幣誕生至今，全球范圍內被盜的虛擬貨幣總價值高達170億美金。這其中，最大的一宗是發生在2014年的“Mt.Gox”80萬個比特幣被盜案件。而通過谷歌、百度檢索關鍵詞“虛擬貨幣安全事件”，我們得到了1100多萬個結果。

面對嚴峻的虛擬貨幣被盜、丟失的事件，如何才能保護自己的虛擬貨幣呢？

對此，負責西安虛擬貨幣被盜案的警員衛元祥這樣說，“存放錢包的介質，有可能是電腦，也有可能是硬盤，盡可能少的與網絡鏈接。多簽方案就是針對一個比特幣地址有多個秘鑰，如果你有多個秘鑰的話，就要分開存放。分開存放的話，這些秘鑰不要同時鏈接到一個網絡里面。這樣才會安全。”

------------------------

正義與邪惡，本身就是在不斷博弈中。

借用《黑天鵝》一書的作者納西姆·尼古拉斯·塔勒的一句話：“看起來，比特幣就像一場人類的自我博弈，它是一面鏡子，鏡子內外是人性的正反兩面。”

究竟誰會勝利？

這可能就像是磁鐵的陰陽，電荷的正負，在不斷博弈中形成一種平衡。

（本文部分圖片、內容來自網絡）