作者:Joel Khalili 编译:Luffy,Foresight News
复杂加密货币诈骗案件正持续增多,但鲜有案件能像今年早些时候一位比特币矿业高管遭遇的骗局那样,手段如此周密。
当 Kent Halliburton 站在阿姆斯特丹市中心瑰丽酒店的浴室里,离家数千英里之遥,他用手指摩挲着一个装满 1 万欧元崭新纸币的信封,开始怀疑自己究竟卷入了一场什么样的风波。
Halliburton 是 Sazmining 公司的联合创始人兼首席执行官,该公司为客户运营比特币挖矿硬件,这种模式被称为 「挖矿即服务」。Halliburton 常驻秘鲁,但 Sazmining 的挖矿硬件分布在挪威、巴拉圭、埃塞俄比亚和美国的第三方数据中心。
据 Halliburton 讲述,他于 8 月 5 日飞往阿姆斯特丹,与 Even 和 Maxim 会面 —— 二人自称是摩纳哥一个富裕家族的代表。这个家族办公室提出从 Sazmining 购买数百台比特币矿机,价值约 400 万美元,这些设备将安装在 Sazmining 公司位于埃塞俄比亚的一处在建矿场。在敲定交易前,该家族办公室要求与 Halliburton 当面会谈。
Halliburton 抵达瑰丽酒店后,发现 Even 和 Maxim 已坐在一个包厢里。他们给人的印象是花花公子式的豪赌客 —— 尤其是 Maxim,他身着棕褐色三件套西装,打扮精致,深色长发从中分开,袖口露出一块劳力士手表。
在一顿三道菜的午餐期间(配有鱼籽点缀的酸橘汁腌鱼、智利海鲈鱼和樱桃蛋糕),他们讨论了交易框架,并交流了各自的背景信息。Even 健谈且爱开玩笑,讲述着在马拉喀什举办的奢华派对;Maxim 则态度冷淡,大多时候只是盯着 Halliburton,长时间凝视仿佛在审视他。
为了建立信任,Even 提议 Halliburton 向家族办公室出售价值约 3000 美元的比特币。Halliburton 起初有些犹豫,但把这当作一种奇特的 「破冰仪式」。其中一人将装满现金的信封递给 Halliburton,让他去浴室私下点清数额。「这感觉就像詹姆斯・邦德电影里的情节,」 Halliburton 说,「对我来说太新奇了。」
Halliburton 乘出租车离开,对这次会面虽有些困惑,但仍对与家族办公室达成交易抱有希望。对于只有约 15 名员工的 Sazmining 来说,这笔交易可能带来颠覆性的改变。
不到两周后,Halliburton 就被 Even 和 Maxim 骗走了价值超过 20 万美元的比特币。他不知道 Sazmining 能否挺过这场打击,也不清楚骗子是如何设局诱骗他的。
与 Even 和 Maxim 共进午餐后,Halliburton 直接飞往拉脱维亚参加一场比特币会议,随后前往埃塞俄比亚检查数据中心的建设进度。
Halliburton 在埃塞俄比亚期间,收到了 Even 的 WhatsApp 消息,对方希望推进交易,但有一个条件:继瑰丽酒店的小额比特币购买后,Sazmining 需向家族办公室出售更多比特币。双方最终确定金额为 40 万美元,相当于总交易价值的十分之一。
Even 要求 Halliburton 返回阿姆斯特丹签署交易所需的合同。Halliburton 已离家数周,对此表示反对,但 Even 态度坚决:「远程操作对我来说行不通,我现在不做这样的生意。」
8 月 16 日下午早些时候,Halliburton 回到阿姆斯特丹。当晚,他需在五星级大仓酒店 Okura Hotel 的铁板烧餐厅与 Maxim 会面。餐厅内部采用传统日式精致装修,配有木质镶板、纸墙、禅意花园,大堂旋转楼梯上悬挂着一串折纸鹤。
Halliburton 发现 Maxim 坐在餐厅外的等候区沙发上,身着一件俗艳的银色西装。等待入座时,Maxim 要求 Halliburton 证明 Sazmining 有足够的比特币完成 Even 提议的附加交易,他希望 Halliburton 将约定金额的一半(约 22 万美元)转入家族办公室信任的一款比特币钱包应用。资金仍由 Halliburton 掌控,但家族办公室可通过公开交易数据核实资金存在。
Halliburton 打开 iPhone 手机。这款名为 Atomic Wallet 的应用拥有数千条正面评价,已在苹果应用商店上架多年。在 Maxim 的注视下,Halliburton 下载了该应用并创建了一个新钱包。「我当时想赢得他的信任,」 Halliburton 说,「毕竟是 400 万美元的合同。」
晚餐过程基本顺利。Maxim 这次不再那么戒备,聊起了自己对名表的喜爱以及为家族办公室寻找交易机会的工作。Halliburton 因连日奔波身体不适,想着尽快结束会面。
临别时,双方约定:Maxim 将签署好的合同提交给家族办公室执行,Halliburton 则按约定将 22 万美元比特币转入新钱包地址。
回到酒店房间后,Halliburton 通过新的 Atomic Wallet 地址发起了一笔小额测试交易,随后通过首次下载应用时生成的私钥(助记词)重置了钱包,以确保其功能正常。「必须采取一些安全措施,现在差不多准备好了。感谢你的耐心等待。」 Halliburton 在给 Even 的 WhatsApp 消息中写道。Even 回复:「没关系,慢慢来。」
晚上 10 点 45 分,测试无误后,Halliburton 示意同事向 Atomic Wallet 地址转入价值 22 万美元的比特币。资金到账后,他将更新后的余额截图发给了 Even。一分钟后,Even 回复:「谢射。」
Halliburton 又给 Even 发了一条消息询问合同事宜,但此前回复迅速的 Even 这次却没了动静。Halliburton 打开 Atomic Wallet 应用,隐约感觉不对劲 —— 比特币不翼而飞了。
Halliburton 顿时感到一阵恶心,坐在床上差点吐出来。「就像被人重击腹部一样,」 他说,「满是震惊和难以置信。」
Halliburton 绞尽脑汁想弄明白自己是如何被骗的。晚上 11 点 30 分,他再次给 Even 发消息:「这是我经历过的最精密的骗局。我知道你可能毫不在乎,但我的公司可能因此倒闭。我花了四年时间才把它建立起来。」
Even 回复否认自己有任何不当行为,但这成了 Halliburton 收到的最后一条消息。Halliburton 向 WIRED 提供了 Even 使用的 Telegram 账号,该账号最后一次活跃是在资金被盗当天。Even 未回应置评请求。
区块链分析公司 Chainalysis 和 CertiK 的分析显示,Halliburton 钱包中的资金在数小时内被拆分,通过多个不同地址转移,并存入第三方平台将加密货币兑换为法定货币。
部分比特币被拆分至多个即时兑换平台,大部分则流入一个单一地址,并与 Chainalysis 标记为可能来自「诈骗交易」的资金混合在一起。所谓 「欺诈交易」,是指骗子冒充投资者从初创公司窃取加密货币的骗局。
「骗子利用的这些服务本身并不违法,」Chainalysis 高级调查员 Margaux Eckle 表示,「但他们使用的资金整合地址与已知欺诈活动联系紧密,表明这是一个有组织的欺诈团伙。」
流经该整合地址的部分比特币被存入一家加密货币交易所,大概率已兑换为法定货币;其余资金则转换为稳定币,通过跨链桥转移至 Tron 区块链。研究人员称,该区块链上有多个场外交易服务,可方便大额加密货币套现。
多次转账、拆分、兑换和跨链操作的目的,是增加资金来源的追踪难度,以便在不引起怀疑的情况下套现。「这个骗子相当老练,」 Eckle 说,「尽管我们能追踪跨链后的资金流向,但这会延缓调查人员的追踪速度。」
最终,公开交易数据的追踪线索中断。要锁定肇事者,执法部门必须传唤这些套现平台,这类平台通常被要求收集用户信息。
从交易数据中,无法确切得知骗子如何在未经 Halliburton 许可的情况下获取并转移钱包资金,但他与骗子的互动细节提供了一些线索。
起初,Halliburton 怀疑此事可能与 2023 年朝鲜政府关联黑客组织的攻击有关,当时 Atomic Wallet 用户账户被盗走价值 1 亿美元的资金(Atomic Wallet 未回应置评请求)。
但接受 WIRED 采访的安全研究人员认为,Halliburton 是针对性监控式攻击的受害者。「公开已知持有大量加密货币的高管,是骗子眼中极具吸引力的目标,」CertiK 安全研究主管 Guanxing Wen 表示。
研究人员推测,当面晚餐、昂贵服饰、大量现金及其他财富展示,都是为了让 Halliburton 放松警惕的策略。「这是高价值信任骗局中一种常见的建立信任的手段,」 Guanxing Wen 说,「受害者在放松的环境中与攻击者相处时间越长,就越难对后续的技术要求产生质疑。」
要完成盗窃,骗子必须获取 Halliburton 新创建的 Atomic Wallet 地址的助记词 —— 掌握助记词的人可不受限制地访问钱包内的比特币。
一种可能性是,骗子劫持或仿冒了酒店的 WiFi 网络,从而获取 Halliburton 手机上的信息。「这种设备在网上就能买到,很方便,两三只行李箱就能装下,」 网络安全公司 Coeus 的首席研究员 Adrian Cheek 说。但 Halliburton 坚称手机从未离身,且他使用移动数据下载 Atomic Wallet 应用,而非公共 WiFi。
Guanxing Wen 表示,最合理的解释是:骗子可能在 Halliburton 首次下载应用时,通过附近的同伙或配备长焦镜头的相机,记录下了他手机上显示的助记词 —— 当时他们正在大仓酒店的沙发上。
Guanxing Wen 称,早在 Halliburton 向 Atomic Wallet 地址转入 22 万美元比特币之前,骗子可能就已设置了 「清扫脚本」。这是一种自动化程序,一旦检测到钱包余额大幅变动,就会立即转移资金。
这类案件中,受害者当面接触的人(如 Even 和 Maxim)很少是最终受益者,他们更可能是诈骗网络雇佣的 「雇佣兵」,而该网络的核心成员可能身处地球另一端。
「他们通常通过地下论坛和加密聊天群组招募,」 Cheek 说,「只要找对地方,就能看到这类持续的招募信息。」
有好几天,Sazmining 能否挺过这场财务打击都悬而未决,被盗资金相当于公司六周的营收。「我努力维持公司运转,应对这场突如其来的现金短缺危机,」 Halliburton 说。最终,公司通过延迟向供应商付款和延长未偿还贷款期限,勉强维持了偿付能力。
那一周,Sazmining 的一名董事会成员向荷兰、英国和美国的执法机构报案。只有英国的反欺诈行动组和美国特勤局下属的网络欺诈特别工作组确认收到报案 —— 前者表示不会立即采取行动,后者未回应置评请求。
与加密货币相关的诈骗案件数量惊人,执法部门几乎不可能逐一调查每起盗窃案。「这类威胁和犯罪活动的规模达到了前所未有的水平,」Eckle 说。
Eckle 表示,诈骗受害者追回资金的最大希望,是执法部门捣毁整个诈骗集团。在这种情况下,追回的资金通常会分发给报案的受害者。
在那之前,Halliburton 只能接受损失。「现在依然很痛苦,」 他说,但 「这还不是致命一击。」
