Vụ Trộm 1 Triệu $243 Đã Thay Đổi Cuộc Điều Tra Crypto: Làm Thế Nào Một Thám Tử Vô Danh Đã Phá Án

Khi các cơ quan thực thi pháp luật gặp khó khăn với các dấu vết trên blockchain, một nhân vật hoạt động trong bóng tối—ZachXBT, người đã không ngừng điều tra và thu hồi gần $500 triệu đô la tiền điện tử bị đánh cắp. Phát hiện mới nhất của anh liên quan đến việc truy tìm một trong những vụ trộm tiền điện tử lớn nhất từng ghi nhận, phát hiện hai nghi phạm trong vòng vài tuần và phong tỏa $79 triệu đô la tài sản.

Cảnh báo tại sân bay đã kích hoạt mọi chuyện

Vào ngày 19 tháng 8, khi ZachXBT chuẩn bị lên chuyến bay quốc tế, hệ thống giám sát của anh bắt đầu phát ra các cảnh báo khẩn cấp. Một loạt các giao dịch Bitcoin lớn bất thường đang chảy qua một sàn giao dịch nhỏ mà anh theo dõi—được giám sát không phải để giao dịch thông thường, mà như các điểm kiểm tra rửa tiền tiềm năng. Mẫu giao dịch rõ ràng: $600,000, rồi $1 triệu đô, rồi $2 triệu đô. Mỗi giao dịch vượt xa khối lượng giao dịch hàng ngày bình thường của sàn.

Tại cổng, chỉ còn vài phút trước giờ khởi hành, ZachXBT bắt đầu truy ngược lại qua blockchain. Trước khi cửa khoang máy đóng, anh đã xác định được nguồn gốc: một ví Bitcoin khổng lồ đã im lặng từ năm 2012, giờ đây đang bị thanh lý trong các lô hàng điên cuồng. Phí giao dịch trả là cực kỳ cao—một dấu hiệu cảnh báo mà một nhà đầu tư dài hạn hợp pháp sẽ không chấp nhận. Đây không phải là việc chốt lời đầu tư; trông giống như ai đó đang vội vàng rút tiền từ các khoản tiền bị đánh cắp.

Phân tích sơ bộ của anh cho thấy khoảng $243 triệu đô Bitcoin đã bị rút khỏi một nạn nhân duy nhất. Khi máy bay cất cánh và kết nối lại WiFi ở độ cao hành trình, cuộc điều tra thực sự bắt đầu tăng tốc. Trong vài giờ tiếp theo, ZachXBT theo dõi các khoản tiền dao động qua hàng chục nền tảng và sàn giao dịch. Những tên trộm cố gắng che giấu dấu vết qua các giao dịch nhanh như chớp, nhưng mỗi giao dịch đều để lại dấu vết trên sổ cái bất biến.

Từ dấu vết blockchain đến các nghi phạm thực tế

Bằng cách xác định nguồn gốc ban đầu của quỹ từ một sàn giao dịch đã đóng cửa, ZachXBT liên hệ với các quản trị viên và họ kết nối anh với nạn nhân. Số Bitcoin bị đánh cắp đã phân thành ba mô hình di chuyển khác nhau, mỗi mô hình có thể chỉ ra các thủ phạm khác nhau. Anh đăng kết quả của mình lên hơn 650.000 người theo dõi trên mạng xã hội, về cơ bản là huy động cộng đồng để tìm manh mối.

Phản hồi đến rất nhanh—một nguồn tin đã liên hệ với những thông tin đầy hứa hẹn. Những gì xảy ra tiếp theo là một tuần ít ngủ (bốn đến năm giờ mỗi đêm) và liên tục liên lạc với cơ quan pháp luật. Bước đột phá của ZachXBT đến từ một kênh không ngờ tới: một video chia sẻ màn hình kéo dài 90 phút được ghi lại từ livestream của một nghi phạm gửi cho bạn bè. Trong đoạn phim không che giấu này, ba hacker đã ăn mừng vụ trộm của họ rõ ràng, một giọng nói thốt lên: “Bạn có biết đó là bao nhiêu không? $243 triệu đô! Thật tuyệt vời!”

Video vô tình tiết lộ tên thật. Một nghi phạm—Malone Lam, hoạt động dưới bí danh “Greavys”—xuất hiện nổi bật trong giới nightlife ở Miami, khoe khoang về sự giàu có mới có. Giám sát mạng xã hội cho thấy các dấu hiệu của sự giàu có đột ngột: một chiếc đồng hồ đính kim cương trị giá $500,000, một chiếc Lamborghini Revuelto, một chiếc Pagani Huayra (được định giá trên $3 triệu đô), và xuất hiện hàng đêm tại các câu lạc bộ nơi nhân viên cầm biển tên như “WHO WANT A BIRK.” Anh ta còn phân phát túi Birkin và Hermès trị giá từ $30,000-$50,000 cho các influencer.

Nghi phạm thứ hai, Jeandiel Serrano (“Box” online), thể hiện các mô hình tương tự: thuê xe sang gần Los Angeles với giá $40,000 mỗi tháng, mua hàng triệu đô la xe sang, và đeo đồng hồ trị giá $500,000 như đồ đi chơi bình thường.

Bắt giữ và thu hồi tài sản

Chưa đầy một tháng sau cảnh báo tại sân bay, lực lượng thực thi pháp luật đã hành động. Lam bị bắt tại một căn nhà ven sông ở Miami trị giá $68,000 mỗi tháng vào ngày 18 tháng 9. Serrano bị bắt tại sân bay Los Angeles khi trở về từ kỳ nghỉ ở Maldives cùng bạn gái. Các tài liệu tòa án tiết lộ cả hai đã thừa nhận nhiều vụ trộm tiền điện tử. Riêng Lam thừa nhận đã mua ít nhất 31 xe sang bằng tiền thu được từ các tội phạm này.

Khi các cáo buộc lừa đảo qua chuyển khoản và rửa tiền được công bố, $1 triệu đô đã bị phong tỏa hoặc tịch thu. Tuy nhiên, các công tố viên cho biết còn hơn $79 triệu đô chưa được truy tìm—tiền vẫn đang trong quá trình ZachXBT tiếp tục theo dõi qua phân tích blockchain và theo dõi tài sản.

Sự trỗi dậy của người anh hùng mặt nạ

Vụ án này đánh dấu sự chuyển mình của ZachXBT từ nhà phân tích blockchain nghiệp dư thành một trong những điều tra viên độc lập năng suất nhất trong giới tiền điện tử. Từ năm 2021, các cuộc điều tra của anh đã trực tiếp thu hồi khoảng $100 triệu đô và gián tiếp giúp thu hồi thêm $210 triệu đô nữa. Phương pháp của anh chủ yếu dựa vào phân tích blockchain—vì hầu hết các sổ cái công khai đều minh bạch đối với những ai biết cách đọc chúng.

Câu chuyện nguồn gốc của ZachXBT giải thích sự đam mê của anh với công lý tài chính. Khoảng năm 2017, anh mất hàng nghìn đô la do các vụ lừa đảo rug-pull, nơi các nhà sáng lập dự án bỏ rơi token, làm mất giá trị của nhà đầu tư. Đến năm 2018, một ví bị nhiễm malware khiến anh mất gần $15,000. Thay vì chấp nhận những tổn thất này, anh chuyển hướng sang hiểu cơ chế blockchain và luồng giao dịch.

Việc học này giúp anh nhận ra các mô hình không thể thấy bằng mắt thường. Anh bắt đầu ghi lại các influencer đẩy token công khai trước khi bí mật bán tháo vị trí của họ—những vụ pump-and-dump điển hình. Khi các dự án NFT huy động hàng triệu đô la với lời hứa mang lại lợi ích độc quyền trong khi chỉ đơn giản là rút tiền, các cuộc điều tra của ZachXBT đã ngăn chặn hàng triệu đô la bị mất.

Vượt ra ngoài các vụ việc cá nhân: Các mối đe dọa có hệ thống

Công việc của anh mở rộng vào lĩnh vực mà pháp luật gặp khó khăn. Anh xác định các nhóm hacker xâm nhập tài khoản Twitter của các nhân vật nổi bật trong giới crypto, cài đặt các liên kết lừa đảo để rút ví. Khi nạn nhân đăng bài về mất mát, ZachXBT chủ động liên hệ và truy vết các khoản tiền. Kết hợp phân tích blockchain với nguồn tin từ cộng đồng tiền điện tử ngầm, anh xây dựng hồ sơ các bí danh trực tuyến liên quan đến các mạng trộm cắp.

Một bước đột phá xảy ra khi một tên trộm bị nghi ngờ chế nhạo ZachXBT trên Twitter trong lúc mua một chiếc đồng hồ sang trọng. ZachXBT theo dõi người bán qua các kênh Discord, lấy được tên thật và địa chỉ giao hàng của người mua, cuối cùng giúp FBI tịch thu chiếc đồng hồ và 200.000 đô crypto từ một nghi phạm vị thành niên.

Các cuộc điều tra năm 2023 của anh đã chứng minh tính đột phá. Anh truy vết được $225 triệu đô bị đánh cắp từ dự án Platypus trong vòng vài giờ, dẫn đến các vụ bắt giữ. Anh theo dõi $9 triệu đô bị rút từ Uranium Finance—rửa qua các giao dịch mua thẻ Magic: The Gathering hiếm. Khi nhóm ransomware “Scattered Spider” tống tiền Caesars Entertainment đòi $25 triệu đô, ZachXBT đã giúp thu hồi được số tiền này.

Điều đặc biệt nhất, anh đã công bố các cuộc điều tra ghi nhận 25 vụ trộm tiền điện tử của hacker Bắc Triều Tiên tổng cộng hơn $15 triệu đô, trong đó khoảng một nửa chưa từng được tiết lộ trước đó. Một cuộc điều tra sau đó phát hiện ra mạng lưới gồm khoảng 30 nhân viên IT Bắc Triều Tiên xâm nhập các công ty công nghệ và nhận tiền bồi thường bằng tiền điện tử—một trong số đó dẫn đến vụ trộm $12 triệu đô Munchables.

Chi phí cá nhân và hướng đi tương lai

ZachXBT duy trì sự ẩn danh nghiêm ngặt, giao tiếp qua phần mềm biến đổi giọng nói trong các cuộc gọi và chỉ dùng avatar con vịt hoạt hình trên mạng. Anh từ chối tiết lộ tên thật, địa điểm hoặc diện mạo để tránh bị trả đũa từ tội phạm. Các nhà phân tích của Cục Mật vụ Mỹ từng làm việc với anh mô tả sản phẩm của anh như máy móc—xử lý 500 giao dịch phức tạp trong 12 giờ mà người khác ước tính cần đến nhiều ngày.

Vụ án $200 triệu đô đánh dấu lần đầu tiên anh được trả tiền cho một cuộc điều tra, chấm dứt nhiều năm dựa vào quyên góp tiền điện tử $62 $1.3 triệu tích lũy từ năm 2021$243 . Anh đang xem xét thành lập công ty điều tra riêng, nhưng nhấn mạnh rằng phần lớn động lực của anh không phải là tiền bạc.

“Thấy các cơ quan pháp luật hành động, tài sản bị tịch thu, tài sản bị đánh cắp được trả lại cho nạn nhân—đó mới là thước đo thành công của tôi,” ZachXBT nói. Các cộng sự của anh nhận xét rằng động lực của anh bắt nguồn từ chấn thương cá nhân—đã từng chịu nhiều tổn thất, anh từ chối chấp nhận rằng “điều không may chỉ xảy ra.” Thay vào đó, anh đã chuyển đổi cảm giác bất lực đó thành hành trình theo đuổi công lý có hệ thống, từng giao dịch blockchain một.