揭开ZachXBT的传奇：如何破获2.43亿盗窃案

8月19日，一位二十多岁的年轻人，网名ZachXBT，正准备回家。他对自己的机场、真名和住址都不愿透露。

🔔 这时，他的手机响起了一条警报：一笔比特币被转移到一家小型加密货币交易所。这个交易所是他长期监控的对象之一，主要是为了追踪与犯罪洗钱相关的资金流动。这条警报引起了他的注意：交易金额约为60万美元，远超该交易所日常交易规模的10倍。

✈️ 当他到达登机口时，手机又响了：同一交易所又发生了一笔超过100万美元的交易。随后又有一笔200万美元的交易。

在排队登机时，ZachXBT迅速在手机上追踪这些资金，倒查比特币地址，并标记了可疑资金，试图在飞机起飞后的半小时内查明资金来源。

在飞机起飞前，他已经确定这笔资金来自一个自2012年起就未动用过的大额比特币钱包，总金额达数亿美元。而现在，这笔价值九位数的巨款正在被急于套现，并且支付了高额交易费用，这显然不是一个持币十多年的投资者会接受的。 在微小发报道看来，这可真是一场巨额盗窃案。

经过仔细查证，ZachXBT 发现一位受害者被盗走了约 2.43 亿美元的比特币，可能是历史上最大的一起个人加密货币盗窃案。他对《连线》杂志表示：“这数额实在太离谱了，竟然只是一个人的损失，我简直不敢相信我的眼睛。”

当飞机飞到一万英尺以上，Wi-Fi 重新连接后，ZachXBT 开始追踪被盗资金的流向。

资金通过多个交易所和币币兑换平台被转移。在接下来的几个小时里，他加速绘制出这些资金流动的图谱，发现黑客通过十几个平台试图掩藏资金的踪迹。

ZachXBT 沿着线索追溯到比特币的失主，发现部分资金来源于已经倒闭的 Genesis 加密货币交易所。他通过 X 平台（原 Twitter）私信联系该交易所的管理员，请他们联系受害者，最终促使受害者聘请他调查被盗资金。

在到达目的地后，ZachXBT 发现被盗资金分成了三条主要流向，指向他认为的三名嫌疑人。他还在 X 平台上向超过 65 万的粉丝发布消息，警示区块链上正在进行的盗窃活动。

不久，他收到一名线人的消息，称掌握黑客身份的线索。

接下来的一周，ZachXBT 日夜奋战，睡眠时间仅有四到五个小时，并定期将调查结果分享给执法机关。他最终确定了两名二十出头的年轻黑客——Malone Lam 和 Jeandiel Serrano。ZachXBT 还确认了另一名嫌疑人，但《连线》杂志选择暂时不公开他的姓名，因为该人尚未被逮捕或指控。

更劲爆的是，他还获得了一段视频，显示其中一人在完成盗窃后兴奋庆祝。在他的快速调查中，ZachXBT 追踪到这些嫌疑人的 Instagram 和 TikTok，看到其中一人挥霍数百万美元，买豪车、乘私人飞机，甚至在夜总会一晚消费高达 50 万美元。

自从飞机上收到警报后，不到一个月，三名嫌疑人中的两人被逮捕并面临刑事指控。

当 ZachXBT 看到其中一名黑客的拘捕照时，短暂的激动随即平静下来。他表示：“我并没有特别的成就感，这只是又一起普通案件。” 比特币盗窃案调查结果｜微小发报道

加密货币界的私人侦探🕵️‍♂️

追踪一起价值 2.5 亿美元的盗窃案对 ZachXBT 来说，简直就是网上的一天常态。过去三年，他已成为全球最活跃的独立加密货币侦探。

自 2021 年作为业余调查员上路以来，他已经追踪了数十亿美元的失窃资金和诈骗案件。根据他提供给《连线》杂志的数据，他的数百起调查直接促成了大约 2.1 亿美元的犯罪加密货币被追回，间接帮助受害者追回了约 2.25 亿美元。

他揭露了通过拉高出货骗局推销代币的网红，追踪大型加密盗窃案背后的黑客，还揭发了数十起朝鲜黑客入侵加密公司、甚至以员工身份渗透的事件。

在这条路上，他几乎完全依靠加密货币捐赠来支持自己的工作，获得了来自加密货币组织的资助和陌生人通过社交媒体提供的捐款，自 2021 年以来，这笔款项已累计约 130 万美元。「他是新一代的调查员，为大众服务，」曾与他合作的特勤局分析师 Joe McGill 表示，「他的成功完全取决于他调查的成果。」

在追求成为加密货币“正义警察”的过程中，ZachXBT 始终十分谨慎，保持匿名。他在线上只以一只穿着侦探风衣或有时是连帽衫的鸭嘴兽卡通形象示人。为了避免加密犯罪分子和骗子的报复，他从未公开过自己的真实面貌、姓名或具体年龄，只有在《连线》杂志同意不追查这些信息的前提下，他才愿意接受采访。

特勤局分析师 McGill 回忆，早期的电话会议中，ZachXBT 不仅关掉摄像头，甚至还使用变声软件，有时声音像《南方公园》里的尖叫角色；有时又把声音调得低沉，仿佛来自恐怖电影。「一开始确实挺怪异的，」当时在加密追踪公司 TRM Labs 工作的 McGill 说，「但我尊重他的隐私，因为这个匿名的人确实在做着非常出色的工作。」 加密调查界的明星 🌟，Five I's 的创始人 Nick Bax 指出，ZachXBT 几乎每周都能揭露许多加密货币诈骗和盗窃事件，速度远超执法机关的反应。他半开玩笑地猜测，ZachXBT 可能真的是个机器人。

“他简直像台机器，”Bax 说。

去年，他们合作追踪了 2021 年 AnubisDAO 项目中的 6000 万美元盗窃案。Bax 周六晚上给了 ZachXBT 一份包含 500 笔交易的清单，要求手动分析以及关联的区块链地址。“我还以为这能让他忙上几天”，结果第二天下午，ZachXBT 就搞定了所有分析，并找出了与盗窃案相关的交易。“我简直震惊，”Bax 表示，“他肯定是连续 12 小时不间断地盯着电脑。”

ZachXBT 的调查结果通常毫无仪式感地在他 X 平台上发布。

随着时间推移，他的工作吸引了执法机构的越来越多关注——如今，他常常在公开发布前与这些机构分享调查结果，侦探工作的后果也越来越严峻。

“随着 Zach 的影响力增加，这些案件带来了财务和法律上的后果，”加密公司 MetaMask 的安全研究员 Taylor Monahan 提到。她是 ZachXBT 的调查合作伙伴之一，曾参与过 2.43 亿美元盗窃案的追踪。“如果 Zach 现在发布关于某人的帖子，并且细节到位，那个人很可能会被逮捕。”

从受害者到揭发者 🚀

那么，ZachXBT 是如何在没有正式培训或组织支持的情况下，甚至比执法部门的加密调查员更快、更准确地追踪资金流向的呢？

他自己也不太确定。“这个问题挺难，我也不知道为什么我这么擅长，”ZachXBT 在电话采访中告诉《连线》杂志。他认为自己愿意不分昼夜工作是关键——毕竟，加密市场从不休市——再加上多年对区块链的深入研究。“你越看区块链，吃饭、睡觉甚至呼吸都在研究它，时间久了，一切就变得清晰，”他说。“你能开始发现那些关联。我能看着一个钱包，几秒钟内判断它是不是坏人。”

ZachXBT 的区块链知识来自于他作为加密货币爱好者和交易者的经历——而他自己也曾是这个加密经济中的众多受害者之一。 在2017年，ZachXBT 以一种天真的姿态，一掷千金，投入了几千美元购买各种加密代币，结果这些代币最终惨遭贬值。这背后的原因，往往是那些被称为rug pull的黑心操作，代币创建者突然抛售手中资产，导致其他投资者的财富化为乌有。ZachXBT 回忆道：“当时我想，‘这将改变世界。’我一直持有这些代币，从未卖出。”结果呢？他成了受害者。

到了2018年，他的投资几乎都缩水了，使用的Electrum钱包还因为恶意软件的更新被黑客侵入，损失惨重，接近1.5万美元。

这一切让他意识到，得换个策略。他不再盲目买入持有，而是开始深入研究加密货币背后的区块链技术。几乎所有区块链都是公开透明的，任何懂行的人都能查阅到不同地址的交易记录。通过这种方式，他观察到了更大、更成功的投资者是如何交易代币和比特币的，并努力模仿他们的操作。

经过几年的区块链分析，到2020年，ZachXBT 已经对加密货币交易的追踪相当得心应手，能够识别出那些普通投资者根本看不到的骗局。

他发现，一些网红利用他们的影响力，向成千上万的粉丝公开宣传某个加密资产，瞬间推高价格。通过区块链追踪资金流动，他揭露了这些网红其实在宣传之后立刻抛售手中的代币，简直是典型的“拉高出货”骗局。

ZachXBT 说：“这更像是个举报者的角色。”当他注意到这些活动时，总会想起自己在2017年和2018年上当受骗的经历，心想：“为什么不发个帖子揭露它呢？”这让他的话题迅速引发关注。

NFT热潮来袭，ZachXBT 同样对 Bored Bunny 和 Billionaire Dogs Club 等项目进行了深入审查，揭示了资金的真实流向。这些NFT卖家凭借几张卡通图片就能募得数百万美元，声称投资这些NFT能享受独家活动或俱乐部特权。

然而，ZachXBT 通过区块链分析发现，这些卖家实际上只是将资金“洗白”，揣进自己口袋。有时，他甚至发现某些NFT卖家是之前已被证明是骗局的项目的“翻版”。 在某些情况下，ZachXBT 的 NFT 卖家帖子确实让买家望而却步，阻止了可疑卖家的继续“表演”。不过，随着时间推移，他对这种高透明度、反复上演的骗局感到厌倦，尤其是对没有人因此遭到刑事指控感到沮丧。

2022 年初，ZachXBT 发现了一群黑客正在入侵知名加密货币用户的 Twitter 账户，发布钓鱼链接，指向能掏空用户钱包的以太坊智能合约，导致数千万美元被盗。每当受害者发帖哭诉自己的钱财被掏空时，ZachXBT 都会主动联系，并仔细追踪失去的资金。他将区块链上的线索和自己在加密货币黑市的 Discord 和 Telegram 频道中的消息结合，最终找到几个可能与钓鱼活动相关的青少年在线昵称，这些人还在网上炫耀他们的赃款。

此时，ZachXBT 已在加密货币的地下世界声名显赫，甚至有个他认为是嫌疑人的人在 Twitter 上发帖炫耀购买了一块镶钻的 Audemars Piguet 腕表，还嘲讽地提到“mr xbt”。通过一个奢侈手表的 Discord 频道，ZachXBT 找到了这块手表的卖家，成功说服对方提供了这名青少年购买近 5 万美元手表的收货地址和真实姓名。

没有公开记录显示这些“窃贼”是否被捕，可能是因为嫌疑人都是未成年人，相关指控要么被封存，要么从未提出。不过，ZachXBT 发现了一份没收通知，显示在他于 X 平台发布调查结果的一个月后，FBI 从他识别出的青少年嫌疑人处没收了超过 20 万美元的加密资产和那块钻石手表。

同年，ZachXBT 用类似手法追踪到另一场网络钓鱼活动中被盗的价值 250 万美元的 NFT，目标是一对法国黑客。几个月后，法国检察官逮捕了五名嫌疑人，法新社报道指出，ZachXBT 在 X 平台发布的帖子帮助了对两名主要嫌疑人的调查。他表示：“看到执法部门根据我分享的信息采取行动，真让我感到成就感。也许我所做的事情真的有了些成效。”

自从两年前首次引起执法部门的注意以来，ZachXBT 的调查规模和某些情况下的结果都急剧扩大。 在2023年2月，ZachXBT成功追踪到加密项目Platypus失窃的近900万美元，几个小时内便锁定了一名嫌疑人。没过多久，法国警方抓捕了两名嫌疑人，虽然最终对他们的指控被撤销，但警方还是追回了数百万美元，Platypus也在推特上向ZachXBT表示感激。

同年，他又追踪到加密公司Uranium Finance被盗的2500万美元，这笔钱大部分似乎是通过交易稀有的《万智牌》卡片进行洗钱的。当臭名昭著的网络犯罪团伙“Scattered Spider”对拉斯维加斯的凯撒娱乐公司展开勒索攻击，并勒索到1500万美元时，ZachXBT协助追回了其中的1200万美元，其他调查人员透露了这个消息。

差不多在同一时期，ZachXBT发布了一项重要调查，揭露了朝鲜黑客实施的25起加密货币盗窃案，总金额超过2亿美元，约700万美元在他的帮助下被冻结。这些黑客行为中，有一半的案件是首次公开。

之后，他继续调查，揭露了一个约30名朝鲜IT工作者组成的网络，他们渗透科技公司并以加密货币形式获利。在一个案例中，一名与朝鲜有关的技术人员被NFT公司Munchables雇佣，成功窃取了6200万美元的加密资产。ZachXBT帮助识别并标记这笔资金后，窃贼因无法轻易变现，最终被迫将钱归还。

「你知道那是多少钱吗？」

回到最初的盗窃案，ZachXBT在机场收到提示，发现8月19日发生的单个受害者被盗走2.43亿美元的线索，这也是他追踪过的最大盗窃案之一。

从国际航班回家后，他连续数天追踪这些分散的资金流，同时在社交媒体上监控三名嫌疑人的动向，其中两人使用网名Greavys和Box。特别是Greavys，真名Malone Lam，似乎身处迈阿密。他在线上发布的内容和照片展示了与豪华房产、钻石手表、私人飞机和豪车为伴，其中包括一辆Lamborghini Revuelto和一辆售价超过300万美元的Pagani Huayra。 zachxbt 最新调查发现，greavys 给网红们送了价值 3 万到 5 万美元的 birkin 和 hermès 包包，还在夜店里搞了个特别的活动，服务员举着“who want a birk”（谁想要个 birkin 包）的电子标牌，标上了他的名字。🎉

“看起来他们就只会狂欢和偷钱，”zachxbt 直言不讳。

几天后，zachxbt 说服了在他飞行途中第一次联系他的线人，提供了一段三名疑似盗窃黑客的屏幕共享视频。这些黑客显然没意识到自己被监视，其中一名嫌疑人在屏幕共享时，还与朋友们分享了他的屏幕，朋友似乎录下了这段视频。

在这段 90 分钟的视频中，zachxbt 指出，这三名黑客频繁互称名字。而在另一个片段中，其中一位男子意外展示了自己的 Windows 主屏幕，暴露了他的姓氏。😱

更疯狂的是，视频还捕捉到他们得手后的狂喜时刻。一名黑客在视频中兴奋地喊：“天啊！2.43 亿美元！太棒了！我快要疯了！我们搞定了，我快要爆炸了。你知道那是多少钱吗？”

9 月 18 日下午，距离 zachxbt 开始调查不到一个月，lam 在迈阿密的一处海滨出租物业中被捕，每月房租高达 6.8 万美元。box，真名 jeandiel serrano，则在洛杉矶机场被捕，当时他正和女友从马尔代夫度假回家。据检方透露，他被捕时戴着一块价值 50 万美元的手表，租住的洛杉矶房产每月房租超过 4 万美元，还花费了 100 万美元购买豪车。🚗💸

第二天，lam 和 serrano 的电汇欺诈及洗钱指控被公开。法庭文件显示，两名黑客都向执法人员承认参与了多起加密货币盗窃案。lam 特别提到，他的犯罪所得让他买了不下 31 辆高端汽车。

截至目前，2.43 亿美元中已有 7900 万美元被查封或冻结，zachxbt 还希望能找到更多被盗资金。检察官表示，即使嫌疑人已经挥霍一番，仍有超过 1 亿美元下落不明。💰 ZachXBT 的第三名嫌疑人，居住在康涅狄格州的可能性大，但至今没被指控。记者 Brian Krebs 提到一份刑事诉状，披露了一伙男子在 8 月底发生 2.43 亿美元盗窃案后，四天内在康涅狄格州抢劫了一对五十多岁的夫妇，并短暂绑架了他们，因为劫匪认为受害者的儿子可以接触到大量数字货币，这让人猜测受害者或许是 ZachXBT 追踪到的第三名资金接收者的父母。

🔍 对于 ZachXBT 而言，这次调查可能是个大转折。他首次接受受害者的聘用并获得报酬，而不是像以前那样依靠捐赠。他表示，未来可能会更多参与这种有偿工作，甚至考虑成立自己的调查公司。

💰 不过，ZachXBT 坚持说，他并不是为了通过揭露这些事件来发财。「我希望资金被查封并归还给受害者，嫌疑人被逮捕，这才是我的目标，」ZachXBT 说。「看到这些事情能帮助到人们，这才是我获得满足感的来源。」

🙌 他的合作伙伴 Taylor Monahan 来自加密钱包公司 MetaMask，与他共同进行了数十项调查。她认为，ZachXBT 依旧主要是出于正义感驱动——这源于他曾是加密货币世界的受害者，想要防止其他人重蹈覆辙。

「他和许多人有相似的经历，遭遇不幸时，身边的人只会说『真倒霉』，」Monahan 说。「他天生拒绝接受这种经历，想要改变现状。」

Monahan 进一步指出，「他和这个领域的许多人有着相同的经历：当遇到不幸的事情时，周围的人只会说『真倒霉』，但他本能地拒绝这种无奈的回应，决心改变这一切。」