盗取6亿后，黑客慌了

在区块链的世界里，虚拟货币一旦被盗，是不是就再也找不回来了？

大部分人都会回答是，并对神秘凶恶的黑客心生敬畏。

但黑客并非没有任何缺陷。

2018年8月17日，西安警方破获一起黑客网络盗窃案，涉案金额高达6亿元，其中相当一部分是虚拟货币。

黑客是如何露马脚的？ 警察是怎么抽茧找到他们的？

对于我们普通用户来说，面对“一旦丢失，就再也找不回来”的虚拟货币，你会选择“窒息而放弃”，还是“勇于尝试新事物”？

1 输了一个亿

2018年3月30日，资深数字货币玩家张先生照常打开自己的数字货币钱包，但一连串的“0”让他头晕目眩，嗡嗡作响。

“所有资产都显示为0”，他进出页面数次确认，“确实全为0”，如果椅子扶手不支撑身体，说不定这时候他就已经倒地了时间。

“虚拟货币一旦被盗，将永远无法追回。” 这是张先生脑海中闪过的第一个念头。

他瘫坐在椅子上，绝望之下，他选择了报警。

3月30日，当天比特币价格被盗

虽然张先生没有透露丢失了哪些虚拟货币，但按照3月30日失窃当天比特币4.8万元的价格计算，1亿元相当于1850个比特币。

据媒体报道，西安警方接到报案后判断，这很可能是高级黑客侵入张先生的电脑，窃取秘钥，进而转移资产。 这是一个罕见的案例。”

警方当时没有对外公布案情，给了窃贼一种错觉：受害人保持沉默，他是安全的，他可以选择在适当的时候套现。

只要他们套现并与现实世界联系起来，警方就可以追查到他们。

怎么理解呢？

本次转账发生在2018年8月21日，一个地址一次性转入大量地址

根据警方的设想，黑客很可能将虚拟货币分散转移到大量地址，然后对这些虚拟货币进行洗钱、提币、洗钱等操作。

例如，洗钱嫌疑人在第22个节点地址向“MG”转账比特币，“MG”身份可知。 通过调查MG，可以推断出到底是谁。通过操纵这些被监控的地址，可以追踪到嫌疑人。

模拟虚拟货币流水线

国外从事虚拟货币交易的专业人士Aaron认为，所有的虚拟货币窃​​贼都会有套现的冲动，“一旦警方侦测到的那些地址将钱转账到身份已知的比特币地址，这时候，犯罪分子很可能会暴露他们的身份。”

目前，虚拟货币的变现方式只有两种：场外交易或交易所交易。

“一旦出现清算或者洗钱的情况，犯罪嫌疑人很容易露出牛角，”阿龙认为，“实际上，警方一直在严密监控犯罪嫌疑人用来转移虚拟货币的地址，套现的人都会被追踪。” “

因此，能否追回张先生的虚拟货币，取决于不法分子能否抵挡住金钱的诱惑，让已经被警方监控的虚拟货币“保持沉默”。

另一个重要的细节是，张先生丢失的虚拟货币价值数亿元人民币。 一旦套现，必然涉及大额转账。 频繁的大额转账洗钱，肯定会被银行查出来。

“如果小偷继续保留被盗的虚拟货币，警方将无能为力，”亚伦说。

警察在黑暗的森林里偷偷摸摸。 只要黑客情不自禁地“察觉”到被盗的虚拟货币，就会留下蛛丝马迹，一举落网。

因此，只要黑客将虚拟货币的钱流到法币世界套现，就会被发现。

2 突破线索

警方的侦查工作正在暗中推进，黑客也纷纷步入既定剧本。

“我们也从国内外借鉴了一些案例和做法比特币洗钱能追查到吗，主要是通过币的流动。很多都是在海外，所以我们需要很多协调，甚至需要分发很多外文资料，我们需要翻译它们。” 西安市公安局刑侦反诈骗中心主任贾涛说。

三个月后，警方“取得突破性进展”。 虽然媒体没有详细解释是什么端倪，但可以肯定的是，“追币流量”得到了结果。

潜伏在黑暗森林中的黑客终于忍不住了。

据西安警方通报，这些黑客不仅套现，而且套现数额巨大：大张旗鼓地在北京等地购买房产、豪车、理财产品等。

黑客套现，买豪车、豪宅

据媒体报道，本案共有三名嫌疑人，均为曾就职于国内知名网络科技公司的资深黑客。 该团伙通过多次非法入侵、控制企业和个人网络系统，获取大量违法所得，初步查处涉案金额达6亿元。

“这三名黑客之所以被捕，我个人认为是因为他们套现了大量资金，银行账户被盯上了。” 业内资深从业者南功远评论说，“央行早就跟着几亿资金的动向走了。”

“他们的清算过程暴露了他们的身份，”虚拟货币资深投资人李想认为，“警方肯定查到了一些可以确认‘小偷’身份的比特币地址。”

外界的猜测基本属实。 三名黑客的一举一动都被警方掌握着。

西安市公安局刑侦大队民警袁翔说，“犯罪嫌疑人用哪些比特币转移赃款，用哪些比特币地址进行货币交易，用哪些比特币洗钱，还有哪些是用来提币的地址我们都查出来了。”

该事件现已得到解决。 无论如何，在数以万计的地址中，警方可以通过“抓破头绪”来抓获这些“小偷”。 强大的威慑力。

同时也在说明一个问题：虚拟货币是合法财产，受法律保护。

据外媒报道，仅在 2018 年上半年，“黑客”就窃取了价值 7.31 亿美元，约合人民币 48 亿元的加密货币。

在国外，另一起虚拟货币盗窃案的侦破颇为传奇。

3 复仇“门头沟”

2017年7月23日，俄罗斯男子文尼克在希腊海岸享受着度假带来的惬意与惬意。

然而，一群联邦警察的突然出现，打破了这里的宁静。

联邦警察的到来与2014年Mt. Gox的比特币盗窃案有关，而Vinnik就是这起盗窃案的主角之一。

直到文尼克面对联邦警察的那一刻，他的脑子里还存着这样一个侥幸：三年过去了，应该万无一失。

那么，是什么让文尼克的“安全”变成了绝对的失败呢？

答案是：一笔现金。

“门头沟”事件当天，比特币价格

尼尔森是“门头沟”事件的受害者之一，也是一名电脑极客。

2013 年，尼尔森用一半的积蓄购买了 2000 多枚比特币，几个月后的 2014 年 2 月全部被盗。

当他得知自己投资比特币的交易所早在2011年就被黑客盗走时，他心中对虚拟货币世界的自由和信仰价值观瞬间崩塌。

“有人可以玩转这个崇尚自由的世界，”他决定站在正义的一边，追捕这些作恶者。

在两位志同道合的朋友的帮助下，Mt.Gox的创始人也提供了一些补充的兑换数据。 这些数据汇集起来形成了一个巨大的信息海洋。

终于，经过几个月的努力，尼尔森在浩如烟海的数据中发现，江洋小偷竟然将一笔比特币转入了一个已知的比特币地址，同时汇入了与该地址相关的账户。 汇入一笔现金，并注明：WME。

尼尔森说：“正是现金转账和转账上的票据为破案提供了‘突破性线索’。”

接下来，尼尔森在互联网上搜索与“WME”相关的任何线索。 循着线索，尼尔森再次破案。

“有个叫‘WME’的人，从事大额虚拟货币线下交易”，这加深了尼尔森的怀疑。 “如果我们能锁定这个‘WEM’就好了。” 尼尔森是这么想的。

不出所料，尼尔森发现，这个“WME”竟然在另一场经济纠纷中留下了详细信息，包括“WME”的银行账号和真实姓名。

随后发生了瑞典海岸警方抓捕的一幕。

“WME”的真名是Alexander Vinnik，是“门头沟”惊天大案的幕后策划者之一。 此次盗窃的后续赔偿计划还在进行中，而这些赔偿，对于尼尔森来说，与他原本的比特币金额相比，可能是“九牛一毛”。

近三年的侦查经历，堪称是“门头沟”抢劫案的“报复性追击”。 一路走来，尼尔森也成为了追踪虚拟货币的专家。

4 从虚拟到现实

可能有人会问，为什么盗窃虚拟货币这么复杂？

事实上，限于篇幅和科普性质，作者将整个过程简化了很多，实际情况远比文中提到的要复杂。

“我追了很久，总之动用了很多资源，比如国内这些知名企业和国内外平台的助力。” 魏远祥在总结西安张先生虚拟货币盗窃案时说。

虚拟货币的记账和转账方式与传统法币世界有很大不同。 其中最重要的两点就是区块链技术的“不可篡改”和“匿名性”。

比特币本质上是一种分布式账本存储技术。 当一笔交易发起时，全网所有节点都会记账。 这确保了分类帐的不变性。 这一特性使得张先生，也就是“门头狗”，无法通过“数据回滚”的方式，找回丢失的虚拟货币。 这是不变性。

同时，所有虚拟货币都存储在一个公开可用的地址中。 大家可以通过区块链浏览器查询这些丢失的虚拟货币的流向，但是我们无法知道这些地址属于谁。 这就是虚拟货币的匿名性。

这两个特性一方面保证了虚拟货币的安全性，同时一旦秘钥丢失或者虚拟货币被盗，再也无法通过传统的“数据回滚”。

在打击虚拟货币盗贼的博弈中，无论是西安警方还是尼尔森，都在净化整个行业。

在罪犯与网络警察的博弈中，前者永远活在黑暗的世界里，而后者则努力维护正义的界限。

5 黑客如何“洗钱”

警方在公布案情时，提到了很重要的一点，那就是“犯罪分子的哪些地址被用来洗钱一目了然”。

对于像张先生，或者“门头沟”这样的巨额币损，黑客会用什么方式来“洗币”呢？

第一种是“直线”转移。

“直线”转移

黑客窃取了张先生虚拟货币地址的私钥后，将币种一次性提到了他的地址。 这是最简单的传输形式。

二是“雪花式”转移。

“雪花”转移

还以黑客窃取张先生的虚拟货币为例。 在拿到张先生的私钥后，黑客首先通过“直线”转账的方式，将所有比特币转入一个地址，然后在极短的时间内，将这个转账的虚拟货币拆分到三个以上的新地址，这是第二层地址。 然后在第二层地址的基础上再次拆分。 分裂N次后，整个分裂路径和节点就像雪花一样。

然后，黑客清洗这些地址中的比特币。 洗白的方式可以是交易所比特币洗钱能追查到吗，也可以是线下交易。 不过，只要黑客忍不住想要套现，就很容易“露马脚”。

西安的黑客在这个环节出了问题。

第三种是“洋葱式”转移。

“洋葱”转移

黑客这次拿到张先生的秘钥后，先是将大部分虚拟货币一次性转入一个一级地址，然后再转一小部分到N个一级地址（如图）； 然后将大部分虚拟货币转移到新二层地址的一小部分转移到N个二层地址。 这个操作重复M次，直到将这些虚拟货币分发到大量地址。 这种转移结构就像一个洋葱，因此得名“洋葱型”转移。

传入的虚拟货币分发到的地址越多，追踪就越困难，调查工作面临的挑战就越大。

面对黑客各种盗窃洗钱的手段，如果没有做好保护措施，虚拟货币的私钥就会拱手让给黑客。

据统计，从比特币诞生到现在，全球被盗的虚拟货币总价值高达170亿美元。 其中，最大的案例是2014年“Mt. Gox”盗窃80万比特币，通过谷歌和百度搜索关键词“虚拟货币安全事件”，得到超过1100万条结果。

面对虚拟货币被盗丢失等严重事件，我们该如何保护自己的虚拟货币呢？

对此，西安市负责虚拟货币盗窃案的民警魏元祥表示，“存储钱包的介质可能是电脑，也可能是硬盘，它可能与网络相连，如尽可能少。多重签名方案是针对一位的。币地址有多个秘钥，如果你有多个秘钥，应该分开存放。如果分开存放，这些秘钥不要链接到同时在同一个网络，这样才安全。

----------------------

正义与邪恶本身就是一场永恒的博弈。

借用《黑天鹅》一书的作者纳西姆·尼古拉斯·塞勒的一句话：“比特币似乎就像是人类的一场自我游戏，它是一面镜子，镜子的内外就是正反面人性的两面。”

谁会赢？

这或许就像一块磁铁的阴阳，正电荷和负电荷，在不断的博弈中形成平衡。