比特币被盗的这五年：用门罗币追踪程序 求助FBI 横跨大西洋诉讼

想象在热火朝天的牛市，你所有的加密货币都被盗了……这就是科罗拉多州的 Andrew Schober 的真实遭遇。

在2018年，Schober在/r/BitcoinAirdrops的Reddit子论坛上无意中下载了一个被篡改的Electrum比特币钱包版本。在这个假钱包中隐藏着恶意软件：一个专门用来钓鱼比特币的剪贴板劫持程序。这个恶意软件会获取Schober机器上的任何比特币接受地址，并伪装成它，将预期的接收者地址替换为黑客控制的地址。

Schober自2014年以来一直在慢慢积累比特币，最终因为这个钓鱼程序给黑客发了 16.5个比特币，相当于他净资产的95%。当他被钓鱼时，这些比特币的价值为18万美元，但在2021年比特币的历史最高价时达到了110万美元。Schober认为这是“改变他生活的钱”。

“我在Reddit上找到了一个恶意软件的链接，将其安装在我的电脑上，很快意识到它并不是宣传中所说的那样，”Schober说。“所以我只是从我的电脑上删除了它，然后就不再考虑了。”

“但不幸的是，一旦这个木马程序安装在你的硬盘上，删除原始程序并不能摆脱这个木马。所以从那时起，它就一直在监视我的硬盘，每当我复制比特币地址时，它就会起作用。”

这个恶意软件预先编码了195,112个不同的比特币地址。“它不仅仅将比特币地址更改为一些随机的新地址，”Schober解释道。“它会匹配你复制的地址的前几个字符。所以它看起来在视觉上非常相似，如果你没有真正注意到区别，就不会察觉到。”

在Schober遭受攻击时，其中有四个地址接收到了来自不知情的受害者的比特币，这极大地缩小了他的索敌范围。

通过门罗币追踪被盗的比特币

区块链的美妙之处在于它的开放式账本。几乎所有加密货币交易都会留下数字化的痕迹。

通常情况下，跟踪这些路径涉及追踪转账以确定货币最终流向何处。

在Schober的案例中，他追踪到被同一恶意软件盗取的比特币流向了长期服务的加密货币原子交换平台ShapeShift。

ShapeShift曾经维护一个API，共享参与其交换的地址。API数据显示，Schober 遭遇的“盗贼”曾将比特币换成门罗币（XMR），并使用了相应的地址。

因此，Schober在Reddit上发帖询问是否有可能追踪门罗币的交易。链上调查员和资产追回专家Nick Bax回应了他的请求。

“他收到了五个回复，都说‘不可能’。我给他发了一条私信，说‘这真的很难做到。但我以前做过。我认识一个律师，他曾经成功追回过资金，’”Bax说。

Bax最终在2021年5月提交了链上证据，确认了Schober诉讼中的黑客身份，这已经是两年多之前的事情了。这个过程中，他分析了门罗币的交易，以高度的确定性确定了用于Schober被盗比特币的门罗币的起源。

ShapeShift 的 API 让追踪被盗 BTC 变得轻而易举 资料来源：Nick Bax

他亲自编写了门罗币追踪软件。"你标记一个输出（指令Monero区块链将交易定向到哪里），然后寻找每笔可能使用该标记输出的交易。当你这样做时，模式开始浮现出来。”

这种破解门罗币环签名的方法——现在被称为Eve-Alice-Eve (EAE) 攻击——是在 2017 年开始的、由朝鲜推动的勒索软件攻击活动WannaCry的余波中出现的。

“门罗币的RingCT……隐藏了确切的UTXO（未使用交易输出）被消费情况，但提供给区块链分析师一份包含可信'环成员'列表，其中有一个正在被消费，其余都是‘诱饵’”，Bax在一篇博客中详细介绍了他的调查结果。

门罗币中现已修补的错误可能使得当时更容易将真实的 UTXO 与诱饵分开，从而追踪交易。

神之一手：敲响 FBI 的门

Bax确定Schober所谓的黑客通过ShapeShift将从另一名受害者那里窃取的一些BTC转换为门罗币，然后通过协议将其发送回以再次将其转换为 BTC。

洗掉的BTC被定向到一个以“1BeNEdict”开头的“虚荣地址”。（Odaily星球日报注：虚荣地址指哈希函数计算随机产生字符串时，通过不停地重复生成地址，直到地址中包含希望出现的字符串，就像“靓号”。）

至于Schober的比特币，最终出现在Bitfinex上。加密货币交易热钱包实际上是黑匣子，因为它们的余额代表了汇集的客户资金。

一旦加密货币进入热钱包，几乎不可能确定它们被提取到哪里，除非金额相同且不常见——甚至该证据也不是确定的。

Schober和Bax的调查就在那里卡住了一年多，Schober曾传唤Bitfinex披露接收被盗BTC的账户所有者，但遭到拒绝。

“Bitfinex只会回应执法机关对客户信息的请求，而不是民事请求，因为Bitfinex不会介入民事事务，尤其是在美国，因为美国法院对我们没有管辖权。”Bitfinex法律顾问Sarah Compani通过电子邮件回复Schober的律师Ethan Mora说。

“像FTX和Bitfinex这样的加密货币交易所在英属维尔京群岛或开曼群岛设立公司的原因是出于这些法律原因，它们不必遵守美国法律或任何其他法律。”Schober说道。

“他们可以待在那里，采取法外行动。他们甚至没有给我们一个答案。”

由于无法直接进入Bitfinex，Mora启动了所谓的Touhy请求，要求FBI的网络部门提供与该机构对恶意软件的调查相关的文件和其他信息。Schober在失去比特币后立即向FBI报案。 “FBI开始向涉及该恶意软件的公司发出传票，比如Reddit（发布恶意软件的地方）和GitHub（托管恶意软件的地方）。”Schober说道。传票发生在2018年底，2019年初。FBI甚至在调查过程中没收了他的电脑几个月。

经过大约10个月的时间，Touhy请求成功了。突然间，Schober的团队得到了Bitfinex内部数据，指出了与接收他被盗比特币的账户相关联的确切IP和电子邮件地址。

“在我们得到司法部关于Touhy问题的答复之前，我们真不知道FBI的调查发现了什么。”Mora说道。

虚荣地址又回来了

得益于FBI的传唤，Schober的团队能够在一系列在线服务中确定黑客的账户：Gmail、Keybase、Reddit、Twitter和Github。在所谓黑客的公共GitHub代码库中发现了恶意软件所需的代码，包括其依赖的比特币地址生成器。

通过一些账户，验证了用于通过ShapeShift洗钱的1BeNedict地址，Bax将其视为黑客身份的证据（虚荣地址与他的名字匹配）。

在明显的洗钱过程中，攻击者在ShapeShift注册的退货地址（在交易出现问题时协议会将加密货币发送到该地址）与从Schober那里盗取的比特币的Bitfinex热钱包完全相同。

甚至在Bitcoin开发者邮件列表上有一篇帖子，发件人的电子邮件地址与所谓黑客的真名匹配，描述了如何轻松生成与提供的比特币地址非常相似的地址。这篇帖子完全符合Electrum恶意软件的作案方式。

在进行了足够的诊断之后，Bax发现“由Electrum Atom恶意软件操作人发送的每笔比特币交易都发送到一个与FBI调查的所谓黑客相关联的目标地址”。与恶意软件相关的地址总共收到了17个比特币（价值50.1万美元），其中97%属于Schober。他通过长期运营的比特币论坛BitcoinTalk与另一名受害者取得了联系。

自Schober的钱包被盗以来，比特币已经经历了整个牛市周期 图表由 David Canellis 绘制

这意味着Schober可以对涉嫌犯罪的人提起民事诉讼，以及另一个据称在Reddit上兜售同一恶意软件的个人。两者在犯罪发生时都未成年，所以诉讼也将他们的父母列为被告。所有当事人都否认有任何不当行为。

这发生在2021年5月，距离Schober的BTC被钓鱼已经过去了三年多。当时比特币的价格上涨了一倍多。

让事情变得更加复杂的是，被指控的黑客居住在英国。联邦调查局将此案移交给英国执法部门，并展开联合调查。Schober说，两名嫌疑人都被逮捕、审问并且他们的设备被没收并进行了法庭调查。

但在他们被逮捕之前，绝望（也许还有一丝幼稚）使得Schober联系了他们和他们的父母，让他们知道他们已经被发现。“我希望他们能坦白交代，并将被盗物归还给我，因为我所做的一切只是要求他们归还被盗物，但他们没有这样做，”Schober说道。

“英国皇家检察署最终告诉我，在我联系他们之后，他们可能销毁了他们的设备，因为他们有了全新的设备，而且没有足够的法庭证据来提起诉讼。”

（Bax表示，他会像Schober一样做——他们认为父母可能是正派的人，因为他们在银行和英国国家卫生服务机构工作。“他们应该把钱退还，我认为这一切都会结束。”）

Schober的民事诉讼现在可能是他唯一能够追求正义的机会。但案件进展缓慢，律师们对于审判应该在哪个司法管辖区进行争论不休。

黑客的律师们表示，诉讼应该被驳回，因为Schober在美国，无权对英国的某个人行使司法管辖权。他们还辩称，他已经逾期提起投诉的法定时限。

“但从我们的角度来看，这是不正确的，因为花费了如此多的时间、精力和调查才能确定另一端是一个人。”Schober说道。

考虑到他被Bitfinex拒绝提供关键信息后不得不等待10个月才获得FBI的传唤，他觉得他不应该被法定时限的论点所惩罚。

史无前例的案例

像Schober的情况可能是独一无二的，因为它横跨了整个大西洋。

“实际上很少有像这样的案件，事实上，我不知道有任何案件是一个个人追踪、合法传唤（根据国际法），并起诉像这样的黑客……更不用说偷走加密货币的黑客了。” Mora说道。

“我参与过一些案件，其中一些个人原告起诉了来自美国其他州的国内诈骗者/黑客，但是那些被告已经在美国被逮捕。”

Mora提到了政府对国内外黑客提起刑事诉讼的案例，以及亚马逊和谷歌等科技巨头起诉黑客的情况，其中一些黑客要求以加密货币支付赎金。

Schober并不是一个跨国企业，他只是一个普通人，不像一些高调且富裕的加密货币被盗受害者那样起诉自己的攻击者。

“我相信这个案件在很多方面都是史无前例的……不知道这个案件会持续多久，”Mora说。

GitHub 无法让 Schober 知道执法部门是否已进行调查，这使得 Touhy 的请求成为一场得到回报的赌博。

究竟如何解决这个问题，谁也说不准。如果美国法院裁定黑客欠Schober的款项，那么英国法院仍然需要承认这个判决，然后才能在英国执行判决。最终，可能会涉及债务追收、留置权甚至工资扣押。

Schober表示，他们能够追踪到一大笔比特币，这些比特币的地址是从FBI的传票中获取的，因此似乎被指控的黑客确实有资金来偿还Schober。

考虑到Schober似乎确切知道是谁偷走了他的加密货币，这种情况尤其令人沮丧。

尽管发生了这一切，包括法律费用和损失的50万美元比特币，但Schober仍然支持比特币。“我仍然相信比特币的前景。这是最初吸引我加入的原因。但毫无疑问，我作为早期参与者的优势已经消失了，这是痛苦的。”

“但我目前对此仍然持积极态度。而且，我为能够将这个案子推进到现在这一步感到自豪，因为明知成功几率非常小。”

他对美国法院会认识到他是被盗的受害者持乐观态度。如果袭击者来自俄罗斯或朝鲜等国，他几乎没有任何救济途径。

“已经过去了五年，我希望尽快结束这个问题，”Schober说。“但另一方面，我已经付出了很多努力和时间，并且有像Bax和其他人这样支持我的人，因为他们听说了这个故事，觉得它非常了不起。”

“所以我决心坚持到底。”