比特幣劫案內幕：五星級酒店、塞滿現金的信封與不翼而飛的資金

撰文：Joel Khalili

編譯：Luffy，Foresight NeWs

複雜加密貨幣詐騙案件正持續增多，但鮮有案件能像今年早些時候一位比特幣礦業高管遭遇的騙局那樣，手段如此周密。

當 Kent HalliburTON 站在阿姆斯特丹市中心瑰麗酒店的浴室裡，離家數千英里之遙，他用手指摩挲著一個裝滿 1 萬歐元嶄新紙幣的信封，開始懷疑自己究竟捲入了一場什麼樣的風波。

Halliburton 是 Sazmining 公司的聯合創始人兼首席執行官，該公司為客戶運營比特幣挖礦硬件，這種模式被稱為 「挖礦即服務」。 Halliburton 常駐秘魯，但 Sazmining 的挖礦硬件分佈在挪威、巴拉圭、埃塞俄比亞和美國的第三方數據中心。

據 Halliburton 講述，他於 8 月 5 日飛往阿姆斯特丹，與 Even 和 Maxim 會面 —— 二人自稱是摩納哥一個富裕家族的代表。 這個家族辦公室提出從 Sazmining 購買數百台比特幣礦機，價值約 400 萬美元，這些設備將安裝在 Sazmining 公司位於埃塞俄比亞的一處在建礦場。 在敲定交易前，該家族辦公室要求與 Halliburton 當面會談。

Halliburton 抵達瑰麗酒店後，發現 Even 和 Maxim 已坐在一個包廂裡。 他們給人的印像是花花公子式的豪賭客 —— 尤其是 Maxim，他身著棕褐色三件套西裝，打扮精緻，深色長發從中分開，袖口露出一塊勞力士手錶。

在一頓三道菜的午餐期間（配有魚籽點綴的酸橘汁醃魚、智利海鱸魚和櫻桃蛋糕），他們討論了交易框架，並交流了各自的背景信息。 Even 健談且愛開玩笑，講述著在馬拉喀什舉辦的奢華派對；Maxim 則態度冷淡，大多時候只是盯著 Halliburton，長時間凝視彷彿在審視他。

為了建立信任，Even 提議 Halliburton 向家族辦公室出售價值約 3000 美元的比特幣。 Halliburton 起初有些猶豫，但把這當作一種奇特的 「破冰儀式」。 其中一人將裝滿現金的信封遞給 Halliburton，讓他去浴室私下點清數額。 「這感覺就像詹姆斯・邦德電影裡的情節，」 Halliburton 說，「對我來說太新奇了。」

Halliburton 乘出租車離開，對這次會面雖有些困惑，但仍對與家族辦公室達成交易抱有希望。 對於只有約 15 名員工的 Sazmining 來說，這筆交易可能帶來顛覆性的改變。

不到兩週後，Halliburton 就被 Even 和 Maxim 騙走了價值超過 20 萬美元的比特幣。 他不知道 Sazmining 能否挺過這場打擊，也不清楚騙子是如何設局誘騙他的。

與 Even 和 Maxim 共進午餐後，Halliburton 直接飛往拉脫維亞參加一場比特幣會議，隨後前往埃塞俄比亞檢查數據中心的建設進度。

Halliburton 在埃塞俄比亞期間，收到了 Even 的 WhatsApp 消息，對方希望推進交易，但有一個條件：繼瑰麗酒店的小額比特幣購買後，Sazmining 需向家族辦公室出售更多比特幣。 雙方最終確定金額為 40 萬美元，相當於總交易價值的十分之一。

Even 要求 Halliburton 返回阿姆斯特丹簽署交易所需的合同。 Halliburton 已離家數週，對此表示反對，但 Even 態度堅決：「遠程操作對我來說行不通，我現在不做這樣的生意。」

8 月 16 日下午早些時候，Halliburton 回到阿姆斯特丹。 當晚，他需在五星級大倉酒店 Okura HoTEL 的鐵板燒餐廳與 Maxim 會面。 餐廳內部採用傳統日式精緻裝修，配有木質鑲板、紙牆、禪意花園，大堂旋轉樓梯上懸掛著一串摺紙鶴。

Halliburton 發現 Maxim 坐在餐廳外的等候區沙發上，身著一件俗豔的銀色西裝。 等待入座時，Maxim 要求 Halliburton 證明 Sazmining 有足夠的比特幣完成 Even 提議的附加交易，。 資金仍由 Halliburton 掌控，但家族辦公室可通過公開交易數據核實資金存在。

Halliburton 打開 iPhone 手機。 這款名為 ATOMic Wallet 的應用擁有數千條正面評價，已在蘋果應用商店上架多年。 在 Maxim 的注視下，Halliburton 下載了該應用並創建了一個新錢包。 「我當時想贏得他的信任，」 Halliburton 說，「畢竟是 400 萬美元的合同。」

晚餐過程基本順利。 Maxim 這次不再那麼戒備，聊起了自己對名表的喜愛以及為家族辦公室尋找交易機會的工作。 Halliburton 因連日奔波身體不適，想著盡快結束會面。

臨別時，雙方約定：Maxim 將簽署好的合同提交給家族辦公室執行，Halliburton 則按約定將 22 萬美元比特幣轉入新錢包地址。

回到酒店房間後，Halliburton 通過新的 Atomic WALlet 地址發起了一筆小額測試交易，隨後通過首次下載應用時生成的私鑰（助記詞）重置了錢包，以確保其功能正常。 「必須採取一些安全措施，現在差不多準備好了。感謝你的耐心等待。」 Halliburton 在給 Even 的 WhatsApp 消息中寫道。 Even 回复：「沒關係，慢慢來。」

晚上 10 點 45 分，測試無誤後，Halliburton 示意同事向 AtOMic Wallet 地址轉入價值 22 萬美元的比特幣。 資金到賬後，他將更新後的餘額截圖發給了 Even。 一分鐘後，Even 回复：「謝射。」

Halliburton 又給 Even 發了一條消息詢問合同事宜，但此前回复迅速的 Even 這次卻沒了動靜。

Halliburton 頓時感到一陣噁心，坐在床上差點吐出來。 「就像被人重擊腹部一樣，」 他說，「滿是震驚和難以置信。」

Halliburton 絞盡腦汁想弄明白自己是如何被騙的。 晚上 11 點 30 分，他再次給 Even 發消息：「這是我經歷過的最精密的騙局。我知道你可能毫不在乎，但我的公司可能因此倒閉。我花了四年時間才把它建立起來。」

Even 回复否認自己有任何不當行為，但這成了 Halliburton 收到的最後一條消息。 Halliburton 向 WIRED 提供了 Even 使用的 Telegram 賬號，該賬號最後一次活躍是在資金被盜當天。 Even 未回應置評請求。

區塊鏈分析公司 Chainalysis 和 CertiK 的分析顯示，Halliburton 錢包中的資金在數小時內被拆分，通過多個不同地址轉移，並存入第三方平台將加密貨幣兌換為法定貨幣。

部分比特幣被拆分至多個即時兌換平台，大部分則流入一個單一地址，並與 Chainalysis 標記為可能來自「詐騙交易」的資金混合在一起。 所謂 「欺詐交易」，是指騙子冒充投資者從初創公司竊取加密貨幣的騙局。

「騙子利用的這些服務本身並不違法，」Chainalysis 高級調查員 MARgaux Eckle 表示，「但他們使用的資金整合地址與已知欺詐活動聯繫緊密，表明這是一個有組織的欺詐團伙。」

流經該整合地址的部分比特幣被存入一家加密貨幣交易所，大概率已兌換為法定貨幣；其餘資金則轉換為穩定幣，通過跨鏈橋轉移至 Tron 區塊鏈。 研究人員稱，該區塊鏈上有多個場外交易服務，可方便大額加密貨幣套現。

多次轉賬、拆分、兌換和跨鏈操作的目的，是增加資金來源的追踪難度，以便在不引起懷疑的情況下套現。 「這個騙子相當老練，」 Eckle 說，「儘管我們能追踪跨鏈後的資金流向，但這會延緩調查人員的追踪速度。」

最終，公開交易數據的追踪線索中斷。 要鎖定肇事者，執法部門必須傳喚這些套現平台，這類平台通常被要求收集用戶信息。

從交易數據中，無法確切得知騙子如何在未經 Halliburton 許可的情況下獲取並轉移錢包資金，但他與騙子的互動細節提供了一些線索。

起初，Halliburton 懷疑此事可能與 2023 年朝鮮政府關聯黑客組織的攻擊有關，當時 Atomic Wallet 用戶賬戶被盜走價值 1 億美元的資金（Atomic Wallet 未回應置評請求）。

但接受 WIRED 採訪的安全研究人員認為，Halliburton 是針對性監控式攻擊的受害者。 「公開已知持有大量加密貨幣的高管，是騙子眼中極具吸引力的目標，」CertiK 安全研究主管 Guanxing Wen 表示。

研究人員推測，當面晚餐、昂貴服飾、大量現金及其他財富展示，都是為了讓 Halliburton 放鬆警惕的策略。 「這是高價值信任騙局中一種常見的建立信任的手段，」 Guanxing Wen 說，「受害者在放鬆的環境中與攻擊者相處時間越長，就越難對後續的技術要求產生質疑。」

要完成盜竊，騙子必須獲取 Halliburton 新創建的 Atomic Wallet 地址的助記詞 —— 掌握助記詞的人可不受限制地訪問錢包內的比特幣。

「這種設備在網上就能買到，很方便，兩三隻行李箱就能裝下，」 網絡安全公司 Coeus 的首席研究員 Adrian Cheek 說。 但 Halliburton 堅稱手機從未離身，且他使用移動數據下載 Atomic Wallet 應用，而非公共 wifi。

Guanxing Wen 表示，最合理的解釋是：

Guanxing Wen 稱，早在 Halliburton 向 Atomic Wallet 地址轉入 22 萬美元比特幣之前，騙子可能就已設置了 「清掃腳本」。 這是一種自動化程序，一旦檢測到錢包餘額大幅變動，就會立即轉移資金。

這類案件中，受害者當面接觸的人（如 Even 和 Maxim）很少是最終受益者，他們更可能是詐騙網絡僱傭的 「僱傭兵」，而該網絡的核心成員可能身處地球另一端。

「他們通常通過地下論壇和加密聊天群組招募，」 Cheek 說，「只要找對地方，就能看到這類持續的招募信息。」

有好幾天，Sazmining 能否挺過這場財務打擊都懸而未決，被盜資金相當於公司六週的營收。 「我努力維持公司運轉，應對這場突如其來的現金短缺危機，」 Halliburton 說。 最終，公司通過延遲向供應商付款和延長未償還貸款期限，勉強維持了償付能力。

那一周，Sazmining 的一名董事會成員向荷蘭、英國和美國的執法機構報案。 只有英國的反欺詐行動組和美國特勤局下屬的網絡欺詐特別工作組確認收到報案 —— 前者表示不會立即採取行動，後者未回應置評請求。

與加密貨幣相關的詐騙案件數量驚人，執法部門幾乎不可能逐一調查每起盜竊案。 「這類威脅和犯罪活動的規模達到了前所未有的水平，」Eckle 說。

Eckle 表示，詐騙受害者追回資金的最大希望，是執法部門搗毀整個詐騙集團。 在這種情況下，追回的資金通常會分發給報案的受害者。

在那之前，Halliburton 只能接受損失。 「現在依然很痛苦，」 他說，但 「這還不是致命一擊。」