盗窃六亿，黑客慌了

31区的第148期推送

● ● ●

在区块链世界里，虚拟货币一旦被盗，就再也找不回来了吗？

大多数人会给出肯定的回答，并且会对出入神秘、下手凶狠的黑客充满敬畏感。

但黑客，并非没有任何破绽。

2018年8月17日，西安警方破获了一起黑客相关的网络盗窃案件，涉案金额高达6亿，而这其中相当一部分就是虚拟货币。

黑客是如何露出马脚的？警方又是如何抽丝剥茧揪出他们？

对于我们普通用户而言，在面对“一旦丢失，就永远无法找回”的虚拟货币，你会选择“因噎废食”，还是“勇于尝鲜”呢？

1

丢失的一个亿

2018年3月30日，资深数字货币玩家张先生，像往常一样打开自己的数字货币钱包，但一连串的“”，让他脑袋一阵眩晕，嗡嗡作响。

“所有的资产全部显示的是0”，他进出了几次页面确认，“确实全是零”，如果不是椅子扶手撑住了身体，他有可能当时就摔倒在地。

“虚拟货币一旦被盗，就永远不可能找回来了。”这是张先生脑袋里闪现的第一个念头。

他瘫坐在椅子里，绝望中，选择了报警。

3月30日，比特币被盗当天价格

虽然张先生并未透露具体丢失了哪些虚拟货币，但是按照3月30日被盗当天，比特币48000元人民币的价格计算，1亿人民币，相当于1850个比特币。

据媒体报道，西安警方接到报警后，判断这很可能是一起高级黑客入侵张先生电脑之后，盗取秘钥，然后转移了这笔资产，“而且几乎没有留下任何作案痕迹，在全国也属罕见案例”。

警方当时并未向社会公布这一案情，这给了盗窃分子一种错觉：受害人在保持沉默，自己是安全的，可以在恰当的时间点选择套现。

只要套现，和现实世界接轨，警方就能顺藤摸瓜找到他们。

如何理解呢？

这笔发生在2018年8月21日的转账，一个地址一次性给大量地址转账

按照警方的设想，黑客很有可能会将虚拟货币分散转移至大批量的地址，再对这些虚拟货币进行洗钱、提币、洗币等操作。

例如，一位洗钱的嫌疑人，在第22个节点地址处，将比特币转给了“MG”，而“MG”身份已知，通过对MG进行调查，就能够反推出，到底是谁在操控这些被监控的地址，就能顺藤摸瓜找到嫌疑人。

从事虚拟货币交易相关工作的国外专业人士 Aaron 认为，所有虚拟货币盗窃分子都会有套现的冲动，“一旦那些被警员检测的地址，向一个已知已知身份的比特币地址转账，这个时候，犯罪分子就很有可能暴露自己的身份。”

目前来说，虚拟货币变现途径只有两种：场外交易或者交易所交易。

“一旦发生变现、洗钱行为，犯罪嫌疑人就极容易露出马角”，Aaron 认为，“事实上，警员已经在对犯罪嫌疑人用来转移虚拟货币的地址进行了严密的监视，只要犯罪嫌疑人有套现行为，就会被追踪到。”

因此，张先生的虚拟货币能不能找得回来，关键的点在于，犯罪分子是否能够抵挡得住金钱诱惑，而让那些已经被警方监控的虚拟货币保持“沉默”。

另一个重要的细节是，张先生丢失的虚拟货币价值上亿人民币，一旦套现，必定会涉及到大额转账行为，频繁地大额转账洗钱，必定也会被银行检测到。

“如果盗窃者一直让那些被盗的虚拟货币保持不动，警方也会束手无策的。” Aaron 说道。

警方就潜行在黑暗森林中，只要黑客忍不住将盗取的虚拟货币“变现”，就会留下蛛丝马迹，被一举抓获。

因此，只要黑客将虚拟货币的钱流向法币世界套现，势必会被发现。

2

突破性线索

警方的调查工作在暗中紧锣密鼓地推进着，黑客也踏入了设定好的剧本中。

“我们也借鉴了了国内外一些案例和一些做法，主要是通过追币的流向，这个好多是在境外，我们就需要很多协调，甚至还要分宜很多外文资料，我们还要再翻译。”西安市公安局刑侦反诈中心主任贾焘称。

3个月后，警方“捕获到一条突破性线索”。尽管媒体没有详细解读线索是什么，但可以确定，是“追币的流向”得到了结果。

潜伏在黑暗森林中的黑客，终于按捺不住。

根据西安警方的通告得知，这些黑客们不仅变现了，而且还大量变现：他们大张旗鼓地在北京等地购买了房产、豪车、理财产品。

黑客套现，购买的豪车、豪宅

据媒体报道，此次案件共有三名嫌疑人，均为高级黑客，曾供职于国内知名网络科技公司。该团伙通过多次非法入侵、控制公司企业和个人网络系统，获取大量违法收益，初步查明的涉案金额就达6亿元。

“三名黑客之所以被抓，我个人认为是因为他们大量套现，银行账号被人盯上了。”行业内资深从业者南宫远这样评价道，“数亿资金的异动，央行早就盯上了。”

“他们的变现过程暴露了自己的身份，”虚拟货币资深投资者李想认为，“警方肯定是追查到了一些能确认‘大盗’身份的比特币地址”。

外界的猜测基本属实，三个黑客们的一举一动，都在警方掌握中。

西安市公安局刑侦局民警卫元祥称，“哪些比特币是嫌疑人用来转移赃款的，哪些比特币地址是用来币币交易的，那些比特币是用来洗币的，哪些用于提币的地址，我们全部查清了。”

事件至此已经告破。无论如何，在成千上万的地址中，警方通过“捕获到一条突破性线索”，就能抓到这些“江洋大盗”，无异给那些蠢蠢欲动，想要盗取虚拟货币的黑客们，一个强有力的震慑。

同时也在说明一个问题：虚拟货币是合法财产，收到法律保护。

据国外媒体报道称，仅在2018年上半年，“黑客”就窃取了价值7.31亿美元，约合人民币48亿元的加密货币。

在国外，另外一起虚拟货币盗窃案的侦破，也颇为传奇。

3

复仇“门头沟”

2017年7月23日，俄罗斯男子Vinnik，正在希腊海滨享受着休假带来的舒适与惬意。

然而，一群联邦警察的突然出现，打破这里的宁静。

联邦警察的到来，与发生在2014年的 Mt.Gox 天量比特币被盗案件有关。而 Vinnik 则这起盗窃案的主角之一。

直到 Vinnik 面对联邦警察的那一刻，他脑海中还存在这样的侥幸：都过去3年了，应该是万无一失的。

那么，到底是什么，让 Vinnik 所认为的“万无一失”，变成绝对失败呢？

答案是：一笔现金。

“门头沟”事件当天，比特币价格

Nilsson 是当年“门头沟”事件中的受害者之一，也是一位计算机极客。

2013年，Nilsson 用自己的一半积蓄购买了2000多个比特币，结果在几个月之后的2014年2月份，全部被盗。

当他得知自己投资比特币的交易所，早在2011年就已经开始被黑客盗窃时，他脑海中对于虚拟货币世界的自由、信仰等价值观，瞬间崩塌。

“居然会有人将这个崇尚自由的世界玩弄于股掌之间，”他决定站在正义这一边，对这些作恶分子穷追猛打。

在两位相同想法朋友帮助下，同时 Mt.Gox 的创始人也提供了一些交易所数据补充。这些资料被汇总起来，构成了巨大的信息海洋。

终于，经过几个月的努力，Nilsson 在这浩瀚的数据海洋中，发现这位江洋大盗竟然将一笔比特币转入了一个已知身份的比特币地址，同时还向与该地址相关的账户汇中汇入了一笔现金，并且备注了字样：WME。

“正是这笔现金汇款，与汇款中的备注，给破案提供了“突破性线索”。”Nilsson 说道。

紧接着，Nilsson 搜索了互联网所有与“WME”相关的线索。顺藤摸瓜，Nilsson 使案情再次突破。

“有一个叫‘WME’的，是大额虚拟货币线下交易从业人员”，这加深了Nilsson 的怀疑，“如果能锁定这位‘WEM’就好了。”Nilsson 这样想。

事如人愿，Nilsson 发现这位“WME”，在另外一起经济纠纷汇中居然留下了详细信息，包括“WME”的银行账号，真实姓名。

然后瑞典海滨那场警员抓人的场景就上演了。

而“WME”的真实姓名是 Alexander Vinnik，“门头沟”惊天大案的幕后黑手之一。这起盗窃案的后续赔偿方案还在进行中，而这些赔偿，对于 Nilsson 而言，与他原先的比特币数量相比，可能是“九牛之一毛”。

将近3年的调查经历，算是对“门头沟”大劫案的“复仇追击”。同时在追击过程中，Nilsson 也成了虚拟货币追踪领域的专家。

4

从虚拟到现实

可能有人会问，虚拟货币被盗窃案为什么会如此错综复杂？

事实上，限于篇幅与科普性质，笔者已经对整个过程做了大量简化处理，实际情况远比文章所提到的要复杂的多。

“追了很久很久，总之动用了很多资源，国内的这些知名公司，国内外的平台的协助。”在总结西安张先生虚拟货币盗窃案件时，卫元祥称。

虚拟货币的记账、转账方式与传统法币世界有着巨大的区别。最重要的两点就是区块链技术的“不可篡改性”与“匿名性”。

比特币本质上是一个分布式的账本存储技术，当一笔交易发起之后，全网节点都会记账。这保证了账本的不可篡改性。这个特点导致张先生，还是“门头沟”，都不可能通过“数据回滚”的方式，拿到丢失的虚拟货币。这就是不可篡改性。

同时，所有的虚拟货币都被保存在一个可公开地址中，每个人都可以通过查询区块链浏览器看到这些丢失的虚拟货币的流向，但是我们无法知道这些地址都属于哪些人。这就是虚拟货币的匿名性。

这两个特点一方面保证了虚拟货币的安全性，同时也导致一旦秘钥丢失，或者虚拟货币被盗，就再也不可能通过传统意义上的“数据回滚”恢复自己的虚拟货币。

在与虚拟货币偷盗者的博弈过程中，无论是西安警方，还是 Nilsson ，他们都是在净化整个行业。

在犯罪分子与网警相互博弈中，前者永远生存在黑暗世界，后者则在极力维护正义的边界。

5

黑客如何“洗币”

在警方公布案情时，提到了很重要的一点，即“弄清楚了犯罪分子哪些地址是用来洗币的”。

对于像张先生，或者“门头沟”，这样的大额丢币现象，黑客们会采用什么方式进行“洗币”呢？

第一种就是“直线型”转账。

“直线型”转账

黑客盗取张先生的虚拟货币地址的私钥之后，一次性将币提到自己的地址中。这是最简单的一种转账形式。

第二种是“雪花型”转账。

“雪花型”转账

同样以黑客盗取张先生虚拟货币为例，黑客在拿到张先生的私钥之后，先通过“直线型”转账将所有比特币转入一个地址，然后在极短的时间内，再将这笔虚拟货币拆分到三个以上新的地址，这是第二层地址。然后在第二层地址的基础上再次拆分。拆分N次之后，整个拆分路径与节点就像雪花一样。

然后，黑客再将这些地址里面的比特币进行洗白。洗白的方式，可以是通过交易所，也可以是通过线下交易。但是，只要黑客们忍不住想要去变现，就很容易“露出马脚”。

西安的黑客，就是在这个环节出了问题。

第三种是“洋葱型”转账。

“洋葱型”转账

这次黑客拿到张先生秘钥之后，首先一次性将绝大多数虚拟货币转入一个一层地址，然后少部分转入N个一层地址（如图）；然后再将绝大多数转入新的二层地址，少部分转入N个二层地址。这样反复操作M次，直到这些虚拟货币被分配到大量地址。这样的转账结构，就像是洋葱，因此上名字叫“洋葱型”转账。

到来的虚拟货币分发的地址越多，越是难以追踪，对调查工作的挑战也越大。

面对黑客花样繁多的盗窃、洗钱手段，如果你没有良好的保护措施，虚拟货币私钥等于拱手送予黑客。

据统计，从比特币诞生至今，全球范围内被盗的虚拟货币总价值高达170亿美金。这其中，最大的一宗是发生在2014年的“Mt.Gox”80万个比特币被盗案件。而通过谷歌、百度检索关键词“虚拟货币安全事件”，我们得到了1100多万个结果。

面对严峻的虚拟货币被盗、丢失的事件，如何才能保护自己的虚拟货币呢？

对此，负责西安虚拟货币被盗案的警员卫元祥这样说，“存放钱包的介质，有可能是电脑，也有可能是硬盘，尽可能少的与网络链接。多签方案就是针对一个比特币地址有多个秘钥，如果你有多个秘钥的话，就要分开存放。分开存放的话，这些秘钥不要同时链接到一个网络里面。这样才会安全。”

------------------------

正义与邪恶，本身就是在不断博弈中。

借用《黑天鹅》一书的作者纳西姆·尼古拉斯·塔勒的一句话：“看起来，比特币就像一场人类的自我博弈，它是一面镜子，镜子内外是人性的正反两面。”

究竟谁会胜利？

这可能就像是磁铁的阴阳，电荷的正负，在不断博弈中形成一种平衡。

（本文部分图片、内容来自网络）