2017年，門頭溝的幕后黑手Alexander Vinnik在希臘被捕。然而，誰都想不到，這位從2011年就開始攻擊交易所的大boss的落網(wǎng)，是栽在了一個普普通通的受害者手里。

這個沒有資本、沒有過人天賦的普通區(qū)塊鏈技術(shù)員，用了三年的死磕和一層一層的抽絲剝繭，在連FBI都無法找到的網(wǎng)絡犯罪中，最終扳倒了門頭溝事件的始作俑者。

整個事件，只能用「燃」來形容！

一年前，38歲的俄羅斯人Alexander Vinnik正與他的小伙伴們在希臘最昂貴的酒店之一度假，他并沒有意識到聯(lián)邦調(diào)查局幾個月來一直在監(jiān)視他，在通知了希臘監(jiān)察機關(guān)后。一場突如其來的逮捕，在兩國警員的協(xié)作下展開。

最終，Alexander Vinnik被戴上手銬，出現(xiàn)在了塞薩洛尼基法院的庭審席上。

Alexander Vinnik被以非法洗錢罪逮捕，但隨著庭審的展開，他的身份變得更加令人瞠目結(jié)舌。

他是比特幣交易平臺BTC-E的主要成員之一（掌管著大量資金），并且從2011年起就幫助這個平臺洗錢，金額超過40億美元！同時，他也是史上最大加密數(shù)字領(lǐng)域犯罪事件「門頭溝（MT. Gox）事件」幕后最大的黑手。

然而令人匪夷所思的是，他的被捕，最大的貢獻并不是跨國警力的合作，而是因為一位「門頭溝事件」的普通受害者在幕后整整3年的努力，這個人叫做Kim Nilsson。

就是這位小哥：

整整三年，Kim小哥用實際努力，上演了一場現(xiàn)實版的「勇者斗惡龍」，通過一層層抽絲剝繭，這背后的故事，堪比美劇，絕對燃爆！

甚至在國外的社交媒體，這個故事也掀起了大量的討論和轉(zhuǎn)發(fā)：

“這故事雖然很長，但值得一讀！”

“來看計算機小哥是如何幫著破案的~”

“一場3年的鏖戰(zhàn)，計算機小哥如何自己拿回屬于自己的東西的！”

HackerNews上的討論專區(qū)

好了，少扯閑篇，下面正片正式開演

事情是這樣的，Kim Nilsson（以下簡稱「Kim」）今年36歲，出生在瑞典，在東京工作生活了十多年，是比特幣的堅定信仰者。

出于某種對日本「后金融危機的樂觀心態(tài)」，Kim早早的就開始跟一幫志趣相投的朋友一起買比特幣了。

他的工作也跟區(qū)塊鏈相關(guān)，他自己叫做「區(qū)塊鏈考古」，其實就是幫著一些大公司或政府機關(guān)調(diào)查鏈上的資金流向、排查線上犯罪的可能性等，像FBI、CIA等調(diào)查機構(gòu)也有類似的調(diào)查人員。

雖說工作有點特殊吧，但在生活中，Kim跟大多數(shù)小白領(lǐng)其實沒啥兩樣樣，沒事喜歡看看音樂會、留留胡子、打扮打扮，或者偶爾穿個大黑袍子模仿90年代的黑客啥的。

不過，這樣平靜的生活在2014年被打亂了。這一天，Kim像往常一樣登錄MT. Gox想看看自己的比特幣升了沒有，卻無法登錄。作為跟區(qū)塊鏈打交道的技術(shù)人員，他馬上就意識到了有人在攻擊這個平臺。

可是他當時不知道的是，這次看似普通的攻擊，其實從2011年就已經(jīng)開始，而攻擊所帶來的損失，超過40億美元，直接造成了當時掌握了全世界70%比特幣份額，也是世界上最大的交易所MT. Gox的破產(chǎn)，以及成千上萬的投資者的錢瞬間蒸發(fā)。

自此，對于「門頭溝事件」幕后黑手的爭論曠日持久，其CEO Mark Karpeles也曾被日本警方以「挪用資金」的罪名批捕。

Kim自然也成為了受害者之一，不過與其他受害者呼天喊地的追債不同的是，Kim在接受這一事實之后，就下定決心要將幕后黑手繩之以法。

與此同時，一位在這次事件中損失了44.5個比特幣（價值約400,000美元）的臺灣律師Daniel Kelman，和一個綽號叫「Wiz」的夏威夷人Jason Maurice，也飛到東京想要摸清事情的真相。

在東京的一幢摩天大樓里，三個人在一個叫做Teddys Bigger Burger的漢堡店里一起吃了個晚餐，這是Jason最喜歡的館子之一。晚飯過后，Jason首先提議，成立一個公司來專門調(diào)查這事，名字就叫WizSec，對外就說這個公司是搞「區(qū)塊鏈安全業(yè)務的」。

WizSec最初的辦公地點就在Kim位于東京近郊的家里，由于經(jīng)費有限，Kim的破案工具只有一臺自己平時玩游戲的PC，也沒可供挖礦或做鏈上搜索的算力。

Kim決定先從小事做起，而目前自己唯一能做的無非就是兩件事：

1.寫一個程序來做鏈上索引，可以迅速找出每筆交易的輸入和輸出；

2.在完成第一步之后，他們還需要對檢索到的信息進行解碼，因為區(qū)塊鏈是匿名的，他們要把交易和其背后的人相對應。

就在這時，MT. Gox的一部分數(shù)據(jù)庫泄露了，數(shù)據(jù)庫中包含著一些關(guān)鍵信息：交易信息、提取信息、投資信息，以及用戶賬戶的余額等。

而此時，有些技術(shù)人員又對這些信息進行了分析，并發(fā)表了一份分析報告。報告指出，發(fā)現(xiàn)有些賬戶對比特幣進行自動交易的操作，目的是穩(wěn)住MT. Gox的幣價。

在仔細研究過這份報告之后，Kim決定先通過這份泄露的數(shù)據(jù)庫來測算MT. Gox到底丟失了多少個比特幣，只要將交易所與錢包相對應，然后對每筆交易進行追蹤就能實現(xiàn)。

慢慢地，「找出真相」成為了Kim生活的全部。

在很長一段時間里，Kim白天上班，晚上在可樂碳水化合物的支撐下，整夜整夜的面對著面前的三臺顯示屏。一臺運行著檢索程序、一臺記錄關(guān)鍵信息、一臺記錄新的想法。

在他的「辦公室」中，Kim在收集被盜比特幣的流向

經(jīng)過好幾個月的努力，Kim掌握了200萬個與MT. Gox有聯(lián)系的地址，只是還是不知道每個地址背后對應的人的真實身份，以及他們的目的。而拿到這些信息，需要一些MT. Gox的內(nèi)部權(quán)限。

這個時候，日本公安廳開始對MT. Gox CEO Mark Karpeles展開調(diào)查，Mark成為了「門頭溝事件」最大的嫌疑人。Kelman通過IRC（一個線上聊天工具）找到Mark，巧妙地對他用了個激將法，一口咬定就是他盜走了門頭溝里的比特幣！

這下，Mark可有口難辯了，迫于輿論壓力，同意在另一個漢堡店，與WizSec的其他兩位成員，Kim和Messrs見面。

Mark Karpeles在聽證會上，當時受到重大嫌疑

但很快，WizSec的兩位成員Kim和Jason Maurice就在門頭溝的辦公室里做了頓蘋果派~（老外心真大系列~）

Mark用自己的權(quán)限確認了Kim的編譯信息，并且?guī)椭鶮im建立了一個完整的門頭溝地址列表！

除此之外，Mark還說出了一個自己的秘密：之前的發(fā)現(xiàn)的自動交易，其實是Mark為了掩飾「門頭溝」遭到攻擊而做的馬甲。但對于懷疑自己的言論，Mark始終拒不承認。

在 MT. Gox CEO Mark 的「幫助」下，Kim很順利的就拿到了所有的信息，并對幾千個錢包進行檢查。他很驚訝的發(fā)現(xiàn)：MT. Gox應該至少還應該剩下900,000個比特幣才對，但實際上卻只剩下200,000都不到。同時，他也發(fā)現(xiàn)，早在2011年MT. Gox上的比特幣就開始莫名其妙的「失蹤」了。

他在2015年的博客上寫道：不管他們（MT. Gox官方）到底知不知情，但MT. Gox在2012年就應該已經(jīng)破產(chǎn)了。

在另一篇博文中，他也把目前「破案」的所有進展都列了出來，并表達了，自己相信背后黑手不是Mark的想法。

從開始調(diào)查起，WizSec小分隊就建立了一個博客，對當前調(diào)查的進展和成果進行實時更新，地址：https://blog.wizsec.jp/

雖然這時Kim仍然不知道背后的Boss到底是誰，但是這樣順藤摸瓜的路子，顯然是對方向的。

接下來的故事照樣一波三折，首先，WizSec小分隊迎來了一個神隊友——Gary Alford。

他是美國「國內(nèi)收入署」（I.R.S）的探員，專門破獲網(wǎng)上犯罪案件，在網(wǎng)絡犯罪圈子中大名鼎鼎。

當初那個超級邪惡的暗網(wǎng)交易平臺「絲綢之路」（Silk Road）的大Boss就是他給揪出來的。本以為有了美國政府的幫助，可以獲得各種神援助，弄套007的裝備啥的，而且調(diào)查起來也有更大的權(quán)限，真是想想都雞凍啊。

所以一股腦把自己調(diào)查的所有進展都「匯報」了一遍，可是人家大探員只說了一句「你們的調(diào)查方向是對的」就撤了，啥實事都沒干。搞得所有人空歡喜一場。

雖然有些掃興，不過在這之后WizSec小分隊又有了重大進展。他們通過分析失竊比特幣的流向，發(fā)現(xiàn)「門頭溝」失竊比特幣幾經(jīng)周轉(zhuǎn)，大部分都去了一個叫 BTC-E 的交易所。

Kim將其中的一些交易與之前門頭溝泄露的數(shù)據(jù)進行交叉比對，發(fā)現(xiàn)，其中一些失竊的比特幣被存入了另外一些門頭溝賬戶里，其中的一個賬戶的交易中包含著一句簡單的留言「WME」。自此，Kim終于知道，只要找到WME賬戶背后的人，就找到了大Boss！

可是底該怎么找呢？還是用本方法，全網(wǎng)人肉吧。

經(jīng)過縝密的搜尋，Kim發(fā)現(xiàn)WME曾經(jīng)自稱「在莫斯科運營過交易所」。

在2011年bitcointalk.org的帖子找那個，WME曾有過這樣的留言：

“哈嘍，我有在交易所工作十多年的經(jīng)驗，現(xiàn)在對比特幣很感興趣。我接受各種比特幣交易，最好是大額交易。”

在進一步跟蹤后，Kim發(fā)現(xiàn)WME的錢包是跟BTC-E關(guān)聯(lián)的。所有被轉(zhuǎn)移到BTC-E的比特幣，都一直被存放在這里。那么這是不是說BTC-E跟這起事件有關(guān)？

不過，眼下來不及想這些了，當務之急是趕緊把WME給揪出來。

要揪出WME一點不容易，這個人相當狡猾，每次交易都用不同的錢包，而且使用的匿名跟真實名字之間一點聯(lián)系都沒有。

BUT！俗話說的好，是狐貍終究會露出尾巴。在2012年的一個帖子中，發(fā)現(xiàn)了WME的早期賬戶，他說有個交易所卷了自己的錢跑了。

原話是：我要揭露CryptoXchange的真面目，它坑了我100,000美元，還不愿意還。

為了證明自己的話，WME還po出了自己與CryptoXchange的對話，以及自己的律師給CryptoXchange開出的律師函。

重點來了。

在對話的最后，CryptoXchange告訴WME，他的錢被放在了一個戶名為：VINNIK ALEXANDER 的賬戶里！

VINNIK ALEXANDER！第一次看到這個名字的時候，Kim根本不敢相信這是個真實的姓名！

不過，anyway，他把這個名字交給了IRS的探員，沒錯，就是前面打個醬油又消失的網(wǎng)絡犯罪神探Gary Alford！這回Alford不會再打醬油了，很快查處了大boss的真實姓名——Alexander Vinnik！

到這里，案子終于有了重大進展，而這時已經(jīng)是2016年，而Kim也為這個案例已經(jīng)努力了兩年多了。

故事講到這還沒完。

Kim不知道的是，地球的另一端，美國政府也對BTC-E早有耳聞。BTC-E幾乎是60%~70%全球網(wǎng)絡犯罪的溫床，在這個平臺上人們肆無忌憚地做著洗錢、非法交易，以及將加密貨幣兌換為歐元或盧布等活動。

但目前人們?nèi)圆恢繠TC-E的背后是誰在操控，甚至連用戶也不需要提交任何信息就能使用。

在2013~2015年，美國政府就發(fā)現(xiàn)一個BTC-E上的俄羅斯賬戶在做現(xiàn)金轉(zhuǎn)移，把大量現(xiàn)金轉(zhuǎn)移到塞浦路斯和拉脫維亞進行洗錢。而到了2016年，加上Kim的發(fā)現(xiàn)，政府已經(jīng)有足夠的理由指控Alexander。

不過由于俄羅斯聯(lián)邦通常不會將網(wǎng)絡犯罪者驅(qū)逐出境，所以美國警方設法在其他地方對Alexander進行抓捕。最終，在希臘的海灘上抓捕到了正在度假的Alexander。同時搜出了兩臺PC、兩臺平板電腦、五部手機、一個路由器。

雖然已經(jīng)過去一年，但Alexander的最終判罰仍不明確。原因在于，到底在哪個國家開審還沒有定論。

在希臘的庭審會上，聲稱Alexander不是為BTC-E服務，他做的一切都是為了反擊由美國控制的全球經(jīng)濟體系。而作為東正教派，律師堅稱他們不會把自己的「弟兄」驅(qū)逐出境，而庭審剩下的時間，Alexander則都在「朗讀圣經(jīng)」（簡直荒誕）。

最終，在7月底，希臘法院同意將Alexander驅(qū)逐出境。而Alexander的真實身份究竟是什么，也不得而知。

而在另一邊，BTC-E在Alexander被捕后改了個名字重新上線。似乎這起最大的區(qū)塊鏈領(lǐng)域犯罪，或者說是最大的網(wǎng)絡犯罪的案的破獲，并沒有給世界帶來應有的正義。

不過Kim卻很高興，靠自己的努力抓到了這一史上最大交易所攻擊事件的幕后黑手。

不過，他的比特幣卻依然在交易所里拿不出來，因為「門頭溝」還有長長的破產(chǎn)程序要走……

總之，“這是一個骯臟的悲劇。”——Kim Nilsson