虚拟货币是洗钱者的“天然法宝”。本文以涉案金额超40亿美元,涉及全球最大比特币交易平台的洗钱案——“门头沟”交易所洗钱案为例,借以讲解如何利用交易所达到比特币和法定货币双重洗白的目的,重点阐述洗白美元、俄罗斯卢布等法定货币的手段。
2014年2月28日,门头沟交易所(MT.Gox)在东京申请破产保护,这个曾经世界上最大的比特币交易所轰然倒塌,比特币迎来至暗时刻。
一、案情简介
“门头沟”交易所一开始只是个卡牌游戏的线上买卖交易平台,2011年被卡佩勒斯(Mark Karpeles)收购,总部设在日本东京。2014年,“门头沟”交易所发展成为世界上最大的比特币交易中心,处理了全球超过70%的比特币交易。
2014年2月,“门头沟”交易所暂停交易,申请破产保护。交易所宣称大约有85万枚比特币失窃,按当时的价格计算超过4.5亿美元。虽然之后交易所宣称找到了20万枚,但仍有65万枚的损失。
案发后,受害人之一,瑞典人尼尔森(Kim NILsson)在日本专门建立了一个调查该案的公司WizSec,并在博客上不断更新调查进度。2018年2月,WizSec公布一项重大调查结果:在分析了交易所200万条数据之后,发现“门头沟”交易所失踪的比特币大部分流向了另一个比特币交易所BTC-e,还有一些回流到“门头沟”交易所的一些账户中。(https://blog.wizsec.jp/2017/07/breaking-open-mtgox-1.html)
而这些接受比特币回流的“门头沟”账户,背后的主谋是BTC-e的负责人——俄罗斯人维尼克(Alexander Vinnik)。
美国司法部的起诉书显示,比特币交易所BTC-e的建立与俄罗斯人维尼克有密切关系。
美国司法部起诉书: 2017年 7月25日,维尼克在希腊被逮捕,并被指控从2011年开始伪造身份并为贩毒和其他犯罪提供洗钱服务,金额达40亿美元。2018年9月5日,希腊最高法院批准将维尼克引渡到俄罗斯,目前案件还没有结束。
二、WizSec的调查侦破过程
与多数人的固有印象不同,比特币设计的初衷是让所有的交易可以被追踪和记录,与之对应的法定货币资金链反而是晦涩和难以追溯的。因此WizSec的调查切入点是追踪比特币的交易链条。
1、“门头沟”交易所持有的比特币真实数量
WizSec的调查工作最开始面临两个基本问题,第一个问题是“门头沟”交易所是否形成了比特币资金池,如果交易所本身不储存比特币,这就不是一个盗窃案。第二个问题是比特币丢失系统问题导致还是其他人蓄意盗窃。这两个问题是确定调查方向的先决条件。
首先是交易所持有的比特币真实数量。WizSec根据“门头沟”交易所在网上泄露的数据绘制出“门头沟”交易所账面应该拥有的比特币数量图。在2011年6月,“门头沟”交易所CEO卡佩勒斯在网上披露持有424242.42枚比特币,作为交易所偿付能力的信用证明,直到2014年交易所破产时,各方数据显示“门头沟”交易所账户应有比特币大约为95万枚。
之后WizSec对“门头沟”交易所披露的数据进一步整合,发现自2011年8月开始,“门头沟”交易所实际拥有的比特币数量与账面数额不断拉大,到2014年8月左右,“门头沟”交易所实际上不再实际持有任何比特币。
这样就解决了第一个问题,“门头沟”交易所曾经存在、储存过近95万枚比特币,这些比特币在2011年8月到2014年8月之间不断地消失,消失速度呈现出“先快后慢”的特征。
至此,WizSec的调查需要解决第二个问题,这些比特币丢失是否人为因素?其流向如何?
2、比特币流向如何?
WizSec研究整合了交易所泄露的200多万条交易信息,详细追溯每一笔比特币交易的资金流向,最终描绘出一张较为全面的比特币流向图(https://wizsec.jp/images/theft_flow.svg)。 可以看出比特币流出的六个步骤:
首先,作案者把从交易所活跃账户中盗取的比特币装入一些临时地址当中,这时已经完成了盗窃,比特币与交易所分离。
下一步,作案者再将临时地址中的比特币放入一级节点中,这些一级节点中存放的比特币数量通常数额较大,故一级节点数量较少。
再下一步,作案者进一步将一级节点中的比特币分散到多个二级和三级节点之中,每个小节点存放的比特币数额较少。这一步的目的是进一步掩饰洗白比特币的来源。
接下来,作案者再把众多二级三级节点中的比特币汇入各个交易所,比如BTC-e、Ox、Bitcoinica等。
再接下来,作案者将之前汇入BTC-e、Ox、Bitcoinica等交易所的比特币汇入到自己的账户,从而完成涉案比特币的洗白流程。 |