彭博商业周刊记者报道了此前名噪一时的Bitfinex比特币被盗案背后，操纵一切的罪魁祸首希瑟·摩根和伊利亚·利希滕斯坦夫妇。他们都有着古怪的性格，虽然表面的职业看起来和比特币犯罪毫无关系，但是在确凿的证据面前他们还是露出了马脚，等待他们的将是法律的审判。

在试图盗窃之前，黑客们已经入侵Bitfinex的服务器好几周了。他们观察这家加密货币交易所的用户如何买卖比特币，研究控制安全系统的命令。

他们就像是躲在银行金库上方的通风管道里，看着柜员一丝不苟地将现金运进运出，寻找漏洞。

确切地说，他们想要的不是比特币。比特币只存在于由世界各地的计算机维护的数据库中，他们需要的是私钥：允许他们解锁和移动这些货币的密码。

一找到私钥，他们就开始动手了。

2016年8月2日上午10点26分，黑客将交易所的每日提现限额从2500个比特币上调至100万个，足够清空整个金库。然后，他们开始使用私钥广播指令，将Bitfinex的比特币转移到他们在区块链上控制的地址。

在接下来的3小时51分钟里，黑客偷走了119754枚比特币，超过了Bitfinex持有量的一半，当时它是世界上最大的加密货币交易所之一。

当Bitfinex的高管们意识到发生了什么事情后，聘请了一个安全团队来搜索服务器的内存，寻找线索。这次黑客攻击野心勃勃，技术高超，一些用户怀疑是内部人员所为。或者，罪犯可能是朝鲜精英黑客团队的一部分，6个月前，他们从孟加拉国央行窃取了8100万美元。

但研究人员无能为力。在注销之前，黑客已经有效地抹去了他们的数字指纹。

Bitfinex拥有的唯一信息，是黑客在区块链上发送资金的34个字符的地址。为了获得公众的帮助，公司把这些地址放在互联网上，让所有人都能看到。多年来，大多数资金都呆在这些数字钱包里，或多或少都没有动过，即便比特币从一种书呆子般的好奇心，变成了一场全球狂热的助推器，把它的价格推高了100多倍。

到2021年，被盗的比特币价值超过80亿美元，成为历史上数额最大的盗窃案。钱就在那里，但没有好办法查出是谁偷的。如果没有黑客的私钥，警察就没有办法找回来。

但在密歇根州的大急流城，美国国税局的一名探员在地下室发现了一条线索。这些钱包似乎与纽约一对30岁出头的夫妇有关：伊利亚·利希滕斯坦（Ilya Lichtenstein）和希瑟·摩根（Heather Morgan）。

从社交媒体上来看，这两个人并不是什么犯罪天才。利希滕斯坦的绰号是“荷兰人”(Dutch)，他留着卷发，脸上挂着顽皮的笑容，就像一张娃娃脸的伊利亚·伍德(Elijah Wood，美国男演员，代表作有《指环王电影三部曲》的主角佛罗多·巴金斯)。他似乎很喜欢这对夫妇养的孟加拉猫克拉丽莎。

摩根的工作是做音乐，她创作、表演并在YouTube和TikTok上发布的视频里极其糟糕的音乐。在其中一个视频中，她一边跳舞，一边假装一个爬行动物玩具是她的阴茎。

在另一个视频中，她穿着一件金色田径夹克，背着腰包，戴着一顶写着“0FCKS”的扁檐帽，在金融区的街道上转圈。她称自己是“华尔街该死的鳄鱼”。在一首歌中，她甚至吹嘘自己的黑客技术：“用Spearphish标记你的密码/转移你所有的资金。”

她的说唱名字叫拉兹勒汗（Razzlekhan）。

当时31岁的摩根是一家名为SalesFolk的小型文案公司的创始人。她和利希滕斯坦住在华尔街一套每月6500美元的高层公寓里。在她的TikTok帖子中，公寓里摆满了各种小摆设，包括一个鳄鱼头骨、一个骆驼雕像，以及一件不明物品，只被描述为“乌克兰下水道岩石”。

斑马皮挂在墙上，旁边有斑马条纹的椭圆训练机。还有两个长角羚羊头骨，以及摩根在埃及感染中东呼吸综合征时肺部的X光片。

她把自己描绘成一个总是在闯关、打破规则的科技颠覆者，就像优步的创始人特拉维斯·卡兰尼克和爱彼迎的布莱恩·切斯基。她定期为《福布斯》撰写专栏，作者简介中写道：“当她不通过对黑市进行逆向工程，来思考打击欺诈和网络犯罪的更好方法时，她喜欢说唱和设计街头时装。”

注：逆向工程，即对一项目标产品进行逆向分析及研究，从而演绎并得出产品的处理流程、组织结构、功能性能规格等设计要素，以制作出功能相近，但又不完全一样的产品。

或者，正如她在她的歌曲《范思哲·贝都因》中所唱的那样，“我有很多身份。一个说唱歌手，一个经济学家，一个记者，一个作家，一个CEO，还是一个肮脏，肮脏，肮脏，肮脏的妓女。”

作为一名演员，拉兹勒汗既性张力十足，又极度缺乏吸引力。她时而拿腹泻和性开玩笑，时而吹嘘自己的商业运作。她的招牌动作，就是举起手，手指分开成“V”形，伸出舌头，说，“拉兹最闪亮（Razzle Dazzle）！”

然后她发出很响的咳痰声。

她的歌曲，从《越南粉之王Badd Bhech（Pho King Badd Bhech）》到《Gilfalicious》（此歌与Gilf这个词有关，是“想上的性感奶奶（Grandmother I’d Like to F**）”的缩写），充满了痛苦的强迫押韵，其生硬的表达方式让切特·汉克斯（演员，汤姆·汉克斯的儿子）听起来像肯德里克·拉马尔·达克沃斯（Kendrick Lamar，美国加州康普顿的说唱歌手、词曲作家及音乐制作人）。

她的歌词毫无意义。在《墓地里嗨起来》中，她描述了一个幻觉，得到了一盏神灯，并遇到了一个精灵，这个精灵愿意满足她的愿望，以换取“打手枪”。后来她才知道精灵的真实身份，“这不是一个普通的变态/这是马克·扎克伯格。”

在她的福布斯专栏和YouTube视频中，摩根解释说，她创造自己的说唱形象，是为了接受那些曾经让她成为嘲笑对象的古怪之处。她在加州奇科城外长大，在那里，她因为口齿不清和牙套而被“无情地欺负”。

在加州大学戴维斯分校就读期间，她曾在韩国和土耳其留学。毕业后，她在一群背包客中找到了自己的家，先是在香港，然后是开罗。

阿米娜·阿莫尼亚克说：“当她遇到某人时，就好像他们永远是她的朋友。”

十年前，她通过Couchsurfing网站认识了摩根，并一直与她保持联系。

大约七年前，摩根在旧金山认识了利希滕斯坦，当时她正在一家初创公司工作。他们早期调情的痕迹仍然可以在LinkedIn上找到，利希滕斯坦给摩根留下了一封推荐信。他写道：“希瑟制作的信息是精准的，就像磨尖了的肉钩一样，深深地印在顾客的脑海里。”

利希滕斯坦出生在俄罗斯，在芝加哥长大，他的父母为了躲避宗教迫害搬到了那里。在威斯康辛大学麦迪逊分校期间，他发现了一种被称为“联盟营销”的互联网不正当做法，即人们在Facebook或谷歌上批量购买广告位，并为减肥药、健脑助推器和离岸赌博网站制作广告。利希滕斯坦在论坛帖子中声称，当他还是学生的时候，他每年通过联盟营销赚了超过10万美元。

一位自称与利希滕斯坦有过生意往来的联盟营销人员莱恩·伊格尔说，即使在一个充斥着令人讨厌者的行业，利希滕斯坦的智慧和傲慢也脱颖而出。伊格尔说，“他就是那种想要激怒你的讨厌鬼”。

毕业后，利希滕斯坦联合创办了一家广告技术公司，并于2016年离职，成为一名天使投资人。在摩根的TikTok视频中，他经常看起来像是一个勉强的参与者。

“你一直在拍我，期待发生什么，你想让我做什么?你想让我在屁股里塞个东西然后跳个舞吗?”在一段视频中，摩根问他品尝克拉丽莎猫粮的习惯后，他问道。

他说：“它需要加盐，加胡椒粉，但除此之外，它的味道还不错，”

一个试图把”拉兹勒汗”和”你想上的性感奶奶”押韵的人不太可能是神偷。然而，这是一个加密世界，缺乏经验或能力，并不总是成名和财富的障碍，大规模黑客攻击是经常发生的。

比特币交易所基本上应该只做一件事，即确保用户发送的现金和加密货币的安全。而自这个行业开始以来，他们一直未能做到这一点。

第一家大型交易所Mt. Gox，将原本用来交易虚拟《万智牌》（Magic: The Gathering）纸牌的网站进行了改，安全性和记录保存非常糟糕，用户一存入比特币，黑客就会偷走它们。Mt. Gox于2014年申请破产，称其损失了现有所有比特币的7%。

对交易所的攻击层出不穷。其中，Coincheck在2018年被盗5.3亿美元，KuCoin在2020年损失2.8亿美元。根据加密安全公司Chainalysis的数据，去年，总计32亿美元的加密货币，从交易所和去中心化金融(DeFi)应用程序中被盗，加密交易者在这些应用程序中直接彼此进行交易。

美国联邦调查局的数据显示，这一数字是美国平均每年所有银行抢劫案失窃总数的100倍。Chainalysis表示，大部分资金被朝鲜的Lazarus黑客组织拿走了。

Bitfinex被黑的时候，被认为是最著名的交易所之一，但也不是完全的诺克斯堡（美国陆军的一处基地，1936年美国时任总统罗斯福曾在此建造金库，此处指安全性）。它最初是基于一名年轻的法国人从一家名为Bitcoinica的交易所复制的代码，这家交易所被普遍认为是不安全的，经营者是整形外科医生出身的低端电子产品进口商吉安卡洛·德瓦西尼。

总部位于米兰的德瓦西尼于2012年投资了Bitfinex，并成为交易所事实上的负责人，尽管名义上他是交易所的首席财务官。他还是所谓的稳定币发行公司泰达币的老板，公司本应以1：1的美元资金作为担保，但因谎报670亿美元资产而被美国监管机构罚款。

Bitfinex在2015年的一次黑客攻击中损失了约40万美元的加密货币后，建立了一个新的安全系统。其他交易所通常将用户的比特币混合在一起，并将私钥存储在没有联网的电脑上，这种做法被称为“冷存储”。

新系统将每个用户的余额保存在区块链上一个单独的地址中，允许客户自己查看他们的钱在哪里，使用了来自旧金山加密安全公司BitGo的软件。BitGo首席执行官迈克·贝尔什在宣布这笔交易的新闻稿中表示：“这种新的透明度和安全性，使得Mt. Gox这样的违规行为不可能发生。”

BitGo软件的程序是，在一定的限额内自动审批转账，因此小额取款不会延迟，但大额取款需要Bitfinex高管手动审批。这意味着即使Bitfinex被黑客攻击，最多也只有一小部分比特币被窃取。但是系统配置有问题，拥有Bitfinex高管电子凭证的人，可以通过发送计算机命令来改变这一限制。

根据法庭文件，这是黑客首先使用“远程访问木马”渗透到交易所后所做的。这种恶意软件能让攻击者完全控制目标电脑，就好像他们坐在键盘前一样。只有当Bitfinex的某个人碰巧检查账户余额并发现有问题时，黑客才被阻止。

Bitfinex的高管表示，他们在受到攻击后曾考虑申请破产。相反，为了给自己一个弥补损失和保持经营的机会，他们只是将所有客户的余额减少了36%，并发行了借条来弥补损失。在8个月内，交易所赚够了钱，可以用现金或Bitfinex的股票偿还。

Bitfinex向当局报告了这次黑客攻击，但没有任何线索。黑客们在离开的路上抹去了服务器的记忆，抹去了所有指向服务器所在位置的指针。代表Bitfinex调查此次入侵事件的Ledger Labs，无法确定黑客究竟是如何进入交易所服务器的。

BitGo坚称其软件运行正常，但修改了规定，只有在与BitGo员工进行视频通话后才能提高取款限额。

密码安全公司Fireblocks 的联合创始人、以色列情报局前编码员迈克尔·肖洛夫说，这样的黑客行为通常不需要高水平的技术专长。他说，最难的部分通常是制作一封电子邮件，让内部人士打开恶意附件。“社会工程（对人进行心理操纵术，使其采取行动或泄露机密信息）载体是关键，”他说。

这好像是个线索。2019年，摩根在纽约沙龙上发表了一篇名为“如何通过社会工程实现一切”的演讲。在这次演讲的宣传传单上，她穿着紧身的蛇皮印花金属连衣裙，手里拿着一个大管钳。

“我讨厌‘操纵’这个词，”她在演讲中说。她试图用《范思哲·贝都因》里的几句说唱来让困惑的人群活跃起来。她说，社会工程包括，“让某人分享信息或采取他们本来不会采取的行动”。

在黑客入侵的前一天，摩根在Instagram上发布了一张她和利希滕斯坦坐在蓝色毛绒沙发上的照片，并配文称：“我永远喜欢和这个疯狂的家伙一起惹麻烦。”

这可能是不幸的巧合，也可能是另一个令人震惊的狂妄行为。

黑客入侵当天，Bitfinex的一名员工登录了Reddit上的比特币主论坛，并公布了黑客发送被盗比特币的所有地址。地址看起来并不多，它只是一个由数千个34个字符的代码组成的列表。但这就像在一个银行抢劫犯的赃物包里用染色包做标记一样。

比特币区块链上的所有交易都是公开的，所以任何人都可以查看一个地址，并看到它发送或接收比特币的所有其他地址。很少有人会接受Bitfinex在Reddit上披露的地址中的比特币。即使他们对偷来的钱没有任何不安，他们也会担心自己是否能花掉这些钱，或者他们是否会成为嫌疑人。

五个月来，被盗的比特币没有移动。黑客们似乎忘记了他们计划的一个关键部分：要真正使用他们窃取的比特币，他们必须找到一种方法，消除与黑客入侵的联系。

AlphaBay是一个很受欢迎被盗比特币的地方，暗网上的一个市场，暗网是互联网的一个隐藏部分，只能通过匿名浏览器访问，用户在那里发布分类广告，提供阿片类药物、枪支和被盗信用卡，以换取加密货币。

AlphaBay在网站上表示，它希望成为“最大的ebay式地下市场”。不知道会不会有人在意，它的FAQ中有这样一个问题：“AlphaBay市场合法吗?”

回答：“当然不是。”

2017年1月，在一系列小额交易中，价值约2.2万美元的比特币被转移到了AlphaBay。所有发送到AlphaBay的比特币都是混合在一起的，这使得它们更难连接到区块链上的任何地方。一旦用户将资金提取到一个新地址，他们的比特币就只能追溯到AlphaBay。尽管所有主流交易所，都不愿意接受来自与黑客攻击有关地址的比特币，但一些较小的交易所愿意接受来自一个暗网毒品交易市场的比特币。

从AlphaBay，这些被黑的比特币被发送到一个又一个加密交易所。第二个交易所账户是利希滕斯坦用真名开的。他甚至还发了一张自拍来证实自己的身份。唯一知道利希滕斯坦和被黑资金之间联系的人，是AlphaBay的负责人，他只使用Alpha02的名字。

不幸的是，AlphaBay已经成为另一项调查的目标。来自多个国家的警方认为他们发现了Alpha02是一个25岁的加拿大人，名叫亚历山大·卡兹(Alexandre Cazes)。他搬到了泰国，用赚来的钱买了三处房产，一辆兰博基尼和一辆保时捷。

他犯的错误包括：在一些早期的信息中，他使用了一个地址Pimp_Alex_91@hotmail.com，这个地址也是他的真名。

2017年7月5日，调查人员启动了他们所谓的“刺刀行动”。泰国皇家警察驾驶一辆汽车撞向曼谷一个大院的前门，他们和美国当局怀疑卡兹住在那里。骚乱把他引了出来，当警察拘留他时，其他特工冲了进去。

据《曼谷邮报》报道，卡兹被捕，一周后死于狱中，死因显然是自杀。但他留下了很多证据。在他的院子里，警方找到了他的笔记本电脑，打开并登录了AlphaBay。

当时33岁的美国联邦探员克里斯·扬切夫斯基，是前往曼谷进行AlphaBay行动的美国联邦探员之一，他是美国国税局的一名特别探员。虽然听起来很奇怪，但自从一名特工拜访了扬切夫斯基在中密歇根大学的会计联谊会后，他就一直想为美国国税局工作。

演讲者用高速追逐和踢门的故事，让扬切夫斯基和其他有抱负的会计师们感到高兴。但在他的第一份工作中，没有追逐，也没有门可以开，只是在在夏洛特及其周围审计一群水管工和汽车经销商。

扬切夫斯基说：“你可以想象，人们对你的到来并不是特别兴奋”。

2015年，他被招募到华盛顿一个新的网络犯罪部门。这个由十几名特工组成的团队，首先关注的是用于实施税务欺诈的黑客数据。然后他们转向加密货币案件。特工们意识到，虽然区块链是匿名的，犯罪分子经常把他们的比特币从一个钱包转移到另一个钱包，但交易的踪迹几乎总是指向一个交易所，在允许某人出售他们的比特币换取现金之前，交易所会要求确认身份。

即使骗子利用中间人或假身份证，他们也会留下线索。特工们要做的就是跟踪交易足够长的时间。

“最终每个人都会搞砸，”美国国税局网络犯罪部门的另一名成员蒂格兰·甘巴里安说，他现在负责调查加密货币交易所币安。

通过加密追踪，扬切夫斯基和他的同事找到了毒贩、洗钱服务机构，甚至还有一个出售虐童视频的网站。每一次抓捕，他们收集的数据都能让他们将更多的犯罪与更多的比特币地址联系起来，并将更多的比特币地址与更多的人联系起来。

扬切夫斯基拒绝透露他和同事何时将比特币失窃与利希滕斯坦和摩根联系起来，也拒绝讨论这起黑客调查的其他细节。但法律文件显示，到2020年，他们已经开始了将线索转化为法庭可用证据的艰苦过程。他们向涉及被盗资金的交易所，和这对夫妇使用的互联网服务提供商发出了法律请求。他们花了一年多的时间才收集到足够的证据来申请搜查令。

2022年1月5日，扬切夫斯基和其他联邦探员走进了摩根位于华尔街75号的公寓，她的父母来访，带了一批她最喜欢的柿子饼干，是她祖母烤的。法庭文件显示，当特工们开始寻找手机和电脑时，她和利希滕斯坦表示，他们想离开公寓，把克拉丽莎带走。

然后，摩根笨拙地试图分散注意力。她说这只猫躲在他们的床下，蹲在床头柜旁边。她一边叫猫，一边从床头柜上拿起手机，开始疯狂地按锁键。扬切夫斯基从她手里把手机夺了过来。

在床下，特工们发现了一个装满电子产品的箱子，其中包括一个标有“一次性手机”的拉链包，以及一个装有九部手机的红白条纹洗漱用品包。他们缴获了至少四个硬件钱包，即装有用户比特币密码的U盘，以及一个装满了4万美元现金的钱包。

在利希滕斯坦的办公室里，他们发现了两本书，被挖空以制造隐藏物品的洞。这对夫妇用摩根一直在学的俄语进行了简短的交谈。没有一个特工能理解。

在对他们的电子设备进行了初步搜查后，特工们没有找到被盗比特币的私钥。他们没有足够的证据逮捕这对夫妇。

搜寻工作结束五天后，摩根发布了一首新歌《月亮与星星》。伴随着诡异的鼓声和管风琴的节拍，拉兹勒汗用了五分半钟的时间讲述了她和利希滕斯坦的关系——他们共同的古怪趣味，他的绿色眼睛和“漂亮的屁股”，以及他们之间的笑话，比如他总是在口袋里放零食，或者他们都不会开车。

她说，她不想要一份固定的工作，她愿意冒险来感受自己的活力，有一次她甚至说，“不要忘记退出计划。”

她和利希滕斯坦几个月前结了婚。在这首歌中，她说她想和他在一起“直到该死的最后”。她在这首歌中的表达和以往一样尴尬，但她发布这首歌的时候，她肯定已经在考虑漫长的监狱生活，所以歌词采用了一种尖锐的语气。

拉兹勒汗在最后一段唱道：“对于普通人来说，我们太奇怪了/每个人都知道。你是最适合我的/我们的故事是这样的。/这是拉兹勒汗和荷兰人秀。/准备好狂欢，让我们变得怪异！”

歌曲结束时，拉兹勒汗用带有浓重美国口音的俄语说“我爱你。”

特工获得了搜查利希滕斯坦云存储账户的授权。在其中一份文件中，他们发现了一份假身份证清单，有男有女，还有纸条表明这对夫妇在2019年去基辅用假名购买了借记卡。在特工们看来，利希滕斯坦和摩根似乎正准备逃离美国。

1月31日，他们破解了利希滕斯坦一份文件的加密，发现了更具有爆炸性的东西：与Bitfinex黑客事件有关的近2000个比特币地址的私钥。政府现在控制着36亿美元。

一周后，特工们回到这对夫妇的公寓并逮捕了他们。利希滕斯坦和摩根被指控共谋洗钱。检察官表示，他们向交易所撒谎，转移从Bitfinex窃取的资金。

到底谁实施了实际的社会工程和黑客攻击的问题没有得到解决，而且，由于数据已被删除，它可能永远不会得到解决。

这次逮捕事件成了全国新闻。这是迄今为止查获的最大规模被盗资金。司法部副部长丽莎·莫纳科在新闻发布会上说：“今天，司法部对试图利用加密货币的网络犯罪分子进行了重大打击。”

TikTok围观群众们翻看了摩根的音乐视频，几个小时之内，拉兹勒汗就已经是社交媒体上的传奇人物，她犯了罪，跻身著名骗子的行列。

特雷弗·诺亚在每日秀上说：“比特币的罪行与把这些称为说唱的狗屎相比，根本不算什么。”

真实犯罪的制片人发现了摩根与假女继承人安娜·德尔维，或Theranos创始人伊丽莎白·霍姆斯的相似之处。除了网飞公司的纪录片(其在摩根被捕三天后就被订购了)，还有一个播客，一部由抢劫电影《贼窝》(Den of Thieves)的制片人制作的虚构剧集，以及摩根专栏的出版商《福布斯》制作的与之竞争的纪录片。

两人都不认罪。利希滕斯坦被关押不得保释，摩根在缴纳了300万美元保释金后获释。她认为自己没有逃跑的风险，因为她在纽约储存了冷冻胚胎，并计划通过体外受精与利希滕斯坦生育一个孩子。

摩根回到了自己的公寓，但今年5月，她把自己的许多物品放在了公寓的留言板上卖出，包括三个电子插销和一幅班克西的赝品。根据一个邻居提供的帖子副本，她要搬家了，需要缩小住房规模。

检方在5月30日的一份法庭文件中表示，他们正在与这对夫妇的律师讨论认罪协议。下一次听证会定于8月举行。

今年3月，扬切夫斯基离开国税局，成为区块链情报公司TRM Labs的全球调查负责人。政府仍然持有缴获的比特币，美国法警服务将比特币保存在一个加密的U盘中放在包厢里，保险箱位于一栋未披露的联邦大楼内。随着加密货币市场的崩溃，它们的价值已经下降到大约20亿美元。

Bitfinex的所有者说，交易所已经偿还了大部分用户的债务，只欠他们约3000万美元。这意味着，当比特币被返还时，大部分资金将流向Bitfinex的投资者，包括其高管。但一些损失了比特币的投资者无疑会辩称，应该把比特币还给他们。

五分之一丢失的比特币仍下落不明。

据密码分析公司Elliptic Enterprises 称，大约有7000万美元的资金被送往俄罗斯暗网Hydra Market。没有人知道这些钱从那里去了哪里，但在Hydra 上，被称为“藏宝家”的供应商提供用加密货币换取他们埋在秘密地点的收缩包装的卢布。有可能在俄罗斯某个地方有地下包裹，等着摩根和利希滕斯坦把它们挖出来。

回到纽约，在犯罪嫌疑人进入曼哈顿联邦法院的入口对面的交通杆上，有人贴了一幅漫画，画的是赤裸上身的拉兹勒汗骑着鳄鱼，舌头伸在外面，手指分成标志性的V字。

看起来，这是是新贴的。