在2016年8月数字货币交易所Bitfinex遭黑客攻击后,FBI花了数年时间寻找破案的线索,当时黑客盗走了现在价值45亿美元的比特币。最终,帮助他们找到两名嫌疑人的却是很常见的东西:一张500美元的沃尔玛礼品卡。
华尔街见闻文章此前详细介绍过这起“史上第二大的比特币盗窃案”,包括:
“雌雄大盗”Ilya Lichtenstein先生和Heather Morgan女士各自的履历背景,前者生于俄罗斯,6岁移居美国,经营着一家名为MixRank的在线营销技术公司;
“雌雄大盗”并不是直接将被盗比特币从Bitfinex交易所发送至Lichtenstein名下的数字钱包,而是在中间经过了名叫AlphaBay的“暗网市场”;
“暗网市场”操作很复杂,调查难度大,于是2017年7月,FBI联同其他机关查封并关闭了AlphaBay。
如今来看,这些背景都是推进案件进展的关键环节。
加密货币有时比硬通货更容易追踪
加密货币具有的匿名性和无障碍国际转移能力,使其长期以来一直被当作大小犯罪分子的首选目标。
然而,尽管有“不可追踪”的美誉,但分析人士表示,加密货币有时比硬通货更容易追踪,因为其每笔交易都是公开的,会留下永久的痕迹。只要加密货币和真实身份绑定在一起,就会露出蛛丝马迹。
在“暗网”AlphaBay被关闭之后,加密货币洗钱变得更加困难。据华尔街日报,加密货币分析公司Elliptic Enterprises Ltd的联合创始人Tom Robinson表示:
”有些地方仍然可以在没有监控的情况下匿名套现,但现在已经很少了。”
随后,这些被盗的比特币被存入了几家交易所新创建的账户,这些账户是盗窃案发生前后两人用外国电子邮件创建的。
不过很快,一些交易所要求核实一些账户持有人的身份,在没有收到回复后,交易所冻结了这些账户,冻结金额超过30万美元。
没有办法,最后这些比特币被转移到两人创建的与其真实身份和业务相关的账户中。
这时候,FBI有迹可循了。
厉害了!聚类分析
比特币的每一笔交易都被记录在公共账簿上,任何人都可以查看,这会产生大量的数据。
但分析这些数据的模式可以发现似乎有共同来源或联系的集群。
根据该案件法庭文件,联邦特工使用软件工具进行聚类分析,以寻找案件相关线索。
2020年5月3日,一小部分比特币从集群被转移到了一个出售预付卡的交易所,作为回报,一张价值500美元的沃尔玛礼品卡被发送到了一个俄罗斯注册的电子邮件中。
然而,据代理称,这笔交易是通过一个与纽约一家云服务提供商有关的IP地址进行的,随即调查人员将之与Lichtenstein相关联。
法庭文件称,礼品卡的一部分随后通过沃尔玛的手机应用程序兑换。三次购买都是用Morgan的名字在线进行的,使用的是她的一个电子邮件,同时提供了这对夫妇的公寓地址。
在2019年2月至2020年12月期间,相当于目前价值约780万美元的比特币通过该集群在多个加密交易所的账户之间流动。
2021年1月,调查人员要求华盛顿的地方法官Zia Faruqui签发搜查令,搜查与这对夫妇有关的电子邮件账户;8月,Faruqui批准了逮捕令,他指出,区块链账簿的公开性质意味着,使用它的人没有宪法规定的隐私权。
他写道,依靠聚类分析来指导搜索,就像依靠一个机密来源为调查人员提供线索一样。
1月5日,联邦特工带着搜查令出现在这对夫妇的华尔街公寓。
检察官在法庭文件中说,在公寓里,调查人员缴获了一个写着“一次性手机(burner phone)”的塑料袋、超过 4 万美元的现金和50多个电子设备。
调查人员最后访问了Lichtenstein的电子邮件和云账户,他们发现了一份文件,列出了数字钱包中的所有地址,其中存放着从Bitfinex交易所窃取的大部分比特币。
还有一个细节:两人执意留在美国
这对夫妇的律师表示,他们无意离开美国,并强调Morgan在纽约冷冻了用于体外受精的卵子。
这对夫妇的律师之一Samson Enzer在周一的听证会上说,“如果他们离开,实际上就是抛弃了自己的未来。”
两人的律师在法庭文件中表示,其实去年11月两人也已经获悉了这项调查,当时一家互联网服务提供商告诉他们,当局在一年前的传票中要求提供与这对夫妇有关的记录。
也是在当月,他们举行了婚礼。
现在,34岁的Lichtenstein和31岁的Morgan被控合谋洗钱和诈骗联邦政府。最严重的罪名最高可判处20年监禁。不过,联邦检察官尚未指控两人实施了黑客攻击。
在周一的听证会上,法官下令将Lichtenstein收押,但允许Morgan在等待审判期间以300万美元的保释金在家服刑。