피해자에서 내부 고발자로: 코인계의 가장 강력한 탐정, 잭XBT를 들여다보다

Andy Greenberg 작성, Wired 편집 양즈, Techub News

8월 19일, 익명의 20대 남성 ZachXBT가 공항에 들어섰습니다. 비행기를 타기 위해 공항에 들어섰습니다. 그는 어느 공항인지, 본명은 무엇인지, 어디에서 왔는지 말하지 않았습니다. 그 순간, 그는 휴대폰으로 소규모 암호화폐 거래소로 비트코인이 방금 이체되었다는 온체인 알림을 받았습니다. 이 거래는 최근 며칠 동안 그가 꾸준히 모니터링하던 여러 거래 중 하나였으며, 일반적으로 거래소에서 거래되는 금액의 10배에 달하는 약 60만 달러 상당의 자금이 현금으로 인출된 거래였기 때문에 이 알림은 그의 관심을 끌기에 충분했습니다.

ZachXBT가 문 앞에 도착했을 때, 같은 거래소에서 100만 달러 이상의 가치가 있는 두 번째 거래에 이어 또 다른 200만 달러의 거래가 있다는 또 다른 경고가 나타났습니다. 잭XBT는 휴대폰으로 달려가 비트코인 주소에서 다른 비트코인 주소로 역추적을 시작하여 의심스러운 자금을 표시하고 비행기가 이륙하고 와이파이가 끊기기 30분 전에 자금의 출처를 찾기 위해 분주히 움직였습니다. 이륙 전에 그는 2012년 이후 한 번도 이체되지 않은 수억 달러 상당의 비트코인을 보관하고 있던 지갑에서 자금이 나온 것을 확인했고, 이제 이 9자리 숫자의 금액은 10년 이상 된 비트코인 호들러가 감당할 수 없는 거래 비용으로 서둘러 실현되고 있었다는 사실을 알게 되었습니다.

ZachXBT에게 이 돈의 빠른 이동은 엄청난 절도처럼 보였습니다. 실제로 위의 정보를 재차 확인한 결과, 잭XBT는 누군가 개인을 상대로 저지른 암호화폐 절도 사건 중 가장 큰 규모인 약 2억 4,300만 달러 상당의 비트코인을 피해자들로부터 훔친 것으로 의심했습니다. "개인이 훔쳤다는 사실을 전혀 믿을 수 없습니다." 잭XBT는 와이어드에 말했습니다.

비행기가 10,000피트 상공을 비행하는 동안 ZachXBT는 Wi-Fi에 연결하여 도난당한 자금의 흐름을 계속 추적했습니다. 도둑들은 12개 이상의 플랫폼을 통해 자신들의 행방을 감추려고 시도했지만, ZachXBT는 몇 시간 만에 자금 흐름의 지점을 파악할 수 있었습니다.

분실된 비트코인의 피해자를 추적하던 중, 지금은 사라진 암호화폐 거래소 제네시스(Genesis)에서 일부 자금이 유입된 것을 발견한 ZachXBT는 해당 거래소 관리자에게 직접 메시지를 보내 피해자와 연락할 수 있도록 도움을 요청했고, 결국 피해자는 ZachXBT에 자금 회수를 도와달라고 요청했습니다. ZachXBT는 도난당한 자금을 회수할 수 있었습니다.

비행기가 착륙한 후 ZachXBT는 도난당한 자금의 세 가지 주요 실을 발견했고, 범인 세 명을 가리키는 것으로 생각했습니다. 또한 그는 65만 명이 넘는 자신의 팔로워들에게 도난이 진행 중임을 알리는 메시지를 X에 게시했습니다. 얼마 지나지 않아 그는 한 제보자로부터 절도범의 신원을 파악할 수 있는 단서가 있다는 메시지를 받았습니다.

그 후 일주일 동안 ZachXBT는 밤낮으로(한 번에 4~5시간 이상 잠을 자지 않고) 사건을 조사하고 정기적으로 수사기관과 그 결과를 공유하여 결국 20대 초반의 젊은 해커 두 명, 말론 램과 (ZachXBT는 또 다른 해커로 추정되는 인물도 확인했지만, 아직 체포되거나 기소되지 않았기 때문에 이 사람의 이름은 공개하지 않았습니다.) 또한 ZachXBT는 해커가 도난을 완료한 후 기뻐하는 영상도 확보했습니다. 인스타그램과 틱톡을 통해 조사한 바에 따르면, 용의자 중 한 명이 절도에 성공한 후 자동차, 개인 제트기, 클럽에서 하룻밤에 최대 50만 달러를 지출했다고 합니다.

ZachXBT 휴대폰에서 신고를 받은 지 한 달도 채 지나지 않아 용의자 3명 중 2명이 체포되어 형사 기소되었습니다. 해커 중 한 명의 사진을 보자마자 아드레날린이 솟구치는 것을 느꼈지만 곧 그 기분이 사라졌다고 ZachXBT는 말했습니다. "특별한 성취감은 느끼지 못했습니다."라고 ZachXBT는 말하며 "그냥 비슷한 사건처럼 대했습니다."라고 덧붙였습니다.

국민의 암호화폐 사설탐정

2억 5천만 달러 상당의 도난품을 추적하는 일이 잭XBT에게 그저 평범한 일상처럼 느껴진다면, 지난 3년 동안 그가 인터넷에서 세계에서 가장 많은 암호화폐를 추적하는 독립 탐정으로 거듭났기 때문일 것입니다. 그는 2021년에 아마추어 수사관으로 일을 시작한 이래 수십억 달러의 자금과 사기를 추적했습니다. 그가 직접 집계한 바에 따르면, 수백 건의 수사를 통해 약 2억 1천만 달러 상당의 범죄 암호화폐 자금을 직접 회수했으며, 피해자들이 도난당한 2억 2천 5백만 달러의 자금을 회수하는 데 간접적으로 도움을 주었습니다.ZachXBT는 풀 하이 판매 방식으로 다양한 토큰을 홍보한 KOL을 문책하고 대규모 암호화폐 절도 배후의 사이버 범죄자를 추적했으며 수십 개의 북한 암호화폐 회사를 해킹하고 심지어 직원으로 잠입하기도 했습니다.

그 동안의 추적 과정에서 잭XBT는 거의 전적으로 암호화폐 단체의 보조금과 소셜 미디어 프로필에 기재한 주소로 낯선 사람으로부터 송금받은 암호화폐 기부금 형태로 '보상'을 받았으며, 그 금액은 2021년 이후 약 130만 달러에 달합니다. "그는 새로운 세대의 수사관입니다. 그는 국민을 위해 일합니다."라고 ZachXBT와 함께 일한 비밀경호국 분석가인 조 맥길은 말합니다. "그의 성공은 전적으로 자신의 능력과 관련이 있습니다.

그러나 잭XBT는 암호화폐 자경단원으로 활동하는 동안에도 가면을 쓰고 있었습니다. 인터넷에서 그는 형사 트렌치코트나 후드티를 입은 오리너구리 만화 이미지로만 보여집니다. 암호화폐 업계의 많은 적들과 사기꾼들의 보복을 피하기 위해 그는 공개석상에 모습을 드러내거나 자신의 실명이나 정확한 나이를 밝히지 않으며, 신상에 대한 자세한 정보를 캐내지 않는 조건으로만 인터뷰에 응하고 있습니다.

맥길은 초기의 몇몇 컨퍼런스 콜에서 ZachXBT가 카메라를 끌 뿐만 아니라 음성 변경 소프트웨어를 사용하여 때로는 고음의 '사우스 파크 캐릭터'처럼, 때로는 공포 영화의 목소리를 연상시키도록 음조를 높이기도 했다고 회상합니다. 당시 암호화폐 보안 회사 TRM 랩스에서 일하고 있던 맥길은 "처음에는 이상하게 느껴졌다"며 "하지만 이 익명의 남자가 훌륭한 일을 하고 있었기 때문에 그의 프라이버시를 존중했다"고 말했습니다.

또한 암호화폐 수사관이자 파이브 아이스의 설립자인 닉 백스는 잭XBT가 거의 매주 수많은 암호화폐 범죄 사기 및 절도 사건을 폭로하고 있으며 법 집행 기관보다 훨씬 더 빠른 속도로 수사하는 경향이 있다고 말하며, 농담 반 진담 반으로 "그는 기계다"라고 농담처럼 말한 적이 있습니다.

작년에 두 사람이 협력하여 2021년에 아누비스다오라는 암호화폐 프로젝트에서 6천만 달러의 도난을 추적한 수사의 일환으로, 박스는 토요일 밤에 500건의 거래 목록을 ZachXBT에 제공했습니다. 각 거래는 모든 관련 블록체인 주소와 함께 수동으로 분석해야 했습니다. "적어도 이틀 정도는 바쁘게 지낼 수 있을 거라고 생각했습니다."라고 백스는 말했습니다. 하지만 다음 날 오후가 되자 ZachXBT는 모든 거래를 완료하고 어떤 거래가 도난과 관련이 있는지 파악했습니다. "저는 충격을 받았습니다."라고 백스는 말했습니다. "그는 12시간 동안 컴퓨터 앞에 앉아 있었을 겁니다.

ZachXBT가 발견한 많은 내용은 그의 X 계정에 가감 없이 게시되었습니다. 그러나 시간이 지남에 따라 그의 발견은 법 집행 기관의 감시를 받게 되었습니다(일부 기관은 이제 게시하기 전에 정기적으로 그의 발견을 공유합니다). "잭의 힘이 커지면서 재정적, 법적 결과도 커지고 있습니다."라고 암호화폐 회사 메타마스크의 보안 연구원이자 잭XBT의 가장 가까운 수사 협력자 중 한 명인 테일러 모나한은 "만약 잭이 지금 당장 누군가에 대한 글을 올린다면, 그리고 그 글이 정확하다면 그 사람은 체포될 것입니다."라고 말했습니다.

피해자에서 내부 고발자로

그렇다면 ZachXBT는 어떻게 정식 교육이나 조직의 지원 없이 법 집행 기관의 전문 암호화폐 수사관들조차 능가할 수 있었을까요? 사실 그 자신도 잘 모르겠습니다. "대답하기 어려운 질문입니다. 제가 왜 그렇게 잘하는지 모르겠습니다."라고 ZachXBT는 WIRED와의 전화 인터뷰에서 말했습니다. 그는 자신이 밤낮으로 일할 의지가 있고(결국 암호화폐 시장은 중단되지 않기 때문), 수년간 방대한 거래 원장을 분석해왔기 때문에 암호화폐 블록체인을 분석하는 데 매우 익숙하기 때문이라고 생각합니다. "블록체인을 떠나서는 밥도, 잠도, 숨도 쉬지 않을 정도로 블록체인에 집중하다 보면 시간이 지날수록 점점 더 통찰력이 생기게 됩니다."라고 그는 말합니다. "연결고리를 발견하기 시작하면 지갑을 보고 몇 초 만에 프로파일링하여 나쁜 행위자인지 알 수 있습니다."

ZachXBT는 암호화폐 애호가이자 트레이더로서 다년간의 경험과 암호화폐 경제의 일부 함정을 직접 겪어본 경험에서 블록체인에 대한 친숙함이 비롯되었다고 말했습니다. 결국 '러그 풀'로 인해 가치가 없어진 토큰을 순진하게 구매했다고 말했습니다." ZachXBT는 "저는 '이것이 내 인생을 바꿀 것이다'라고 생각하며 구매했습니다. 그리고는 절대 팔지 않고 보유했습니다."라며 "하지만 결과적으로 사기를 당한 사람은 저였습니다."라고 말했습니다.

2018년까지 ZachXBT가 투자한 토큰은 모두 폭락했고, 그가 사용하던 암호화폐 지갑인 일렉트럼은 멀웨어에 해킹당해 거의 15,000달러의 손실을 입었습니다.

이 시점에서 잭XBT는 한 발 물러서서 접근 방식을 재고하기로 결정했습니다. 그는 단순히 토큰을 구매하고 보유하는 대신 온체인 데이터를 분석하여 더 크고 성공적인 투자자들이 토큰을 어떻게 거래하는지 살펴보고 이를 모방하려고 했습니다.

2020년이 되면 ZachXBT는 암호화폐 거래 추적에 충분히 익숙해져 일반 투자자가 볼 수 없는 지속적인 사기를 발견할 수 있게 될 것입니다. 그는 수십만 명의 팔로워에게 공개적으로 자산을 홍보하고 가격을 부풀린 다음 곧바로 자신의 보유 자산을 매도하는 KOL을 보게 될 것입니다. "내부 고발자에 가깝죠."라고 ZachXBT는 말합니다. "이런 활동을 보고 '내가 2017년과 2018년에 속았던 일이 생각나네'라고 생각하게 될 것입니다. 이에 대해 포스팅을 해보는 건 어떨까요?"라고 생각했습니다. 그리고 나서 사방에 퍼져나갔죠."

그해 말, NFT 열풍이 불기 시작하자 ZachXBT는 Bored Bunny와 Billionaire Dogs Club 같은 NFT 프로그램에 유입된 자금이 실제로 어디로 흘러가는지 보여주기 위해 유사한 리뷰를 시작했습니다. 이러한 NFT 판매자 중 일부는 만화 .jpg 이미지만으로 수백만 달러를 모금했으며, 이러한 이미지로 만든 NFT를 사용하면 독점 이벤트나 클럽에 입장할 수 있는 특권을 받을 수 있다고 약속했습니다. 그러나 ZachXBT는 블록체인 분석을 통해 이러한 판매자가 단순히 자금을 분배하고 주머니를 채우고 있다는 사실을 알아낼 수 있었습니다. 때때로 일부 신규 NFT 프로젝트는 실제로는 사기로 판명된 이전 프로젝트의 또 다른 가면일 뿐입니다.

NFT 프로젝트 측면에 대한 ZachXBT의 게시물이 어느 정도는 일부 구매자에게 도움이 되었습니다. 그러나 시간이 지남에 따라 ZachXBT는 동일한 사기를 반복해서 폭로하는 데 지쳤고, 보다 구체적인 결과가 나오지 않자 좌절감을 느꼈습니다. 그가 폭로한 NFT 사기 중 형사 고발을 당한 사례는 단 한 건도 없었습니다.

그러던 중 2022년 초, 그는 해커들이 유명 암호화폐 사용자의 트위터 계정을 장악하고 수천만 달러를 도난당하는 피싱 링크를 게시하는 것을 발견하기 시작했습니다. 슬픔에 잠긴 피해자가 자신의 자산을 도난당했다는 게시물을 올릴 때마다 잭XBT는 피해자에게 연락을 취한 후 사라진 자금을 꼼꼼하게 추적했습니다. 그는 이러한 블록체인 단서와 젊은 해커들이 자주 사용하는 디스코드 및 텔레그램 채널의 정보를 결합하여 막대한 재산을 획득했다고 자랑하던 몇몇 10대들의 계정을 찾아냈습니다.

이 시점에서 ZachXBT는 이미 암호화폐 지하 세계의 레이더망에 포착되었고, 한 젊은 해커는 트위터 게시물에서 오데마 피게 다이아몬드 박힌 시계 구매를 자랑하며 그를 공개적으로 조롱하기도 했습니다. 이에 굴하지 않고 ZachXBT는 명품 시계 디스코드 채널에서 시계 판매자를 찾아내 판매자에게 십대의 배송 주소와 실명을 넘기도록 설득했습니다.

그러나 이 용의자들이 체포되었는지 여부에 대한 공개 기록은 아직 없는 것으로 보입니다. 아마도 미성년자 보호를 위해 혐의가 봉인되었거나 기소되지 않았을 수도 있습니다. 하지만 ZachXBT가 발견한 몰수 통지서에 따르면, ZachXBT가 X에 수사 결과를 게시한 지 한 달 뒤인 2022년 10월, FBI는 그가 확인한 청소년 용의자들로부터 20만 달러 이상의 암호화폐 자산과 다이아몬드 시계를 압수했습니다.

같은 해, ZachXBT는 유사한 기술을 사용하여 250만 달러 규모의 NFT 피싱 도난 사건을 추적했으며, 모든 증거는 프랑스 해커 한 쌍을 지목했습니다. 이 사건에서 프랑스 검찰은 몇 달 후 용의자 5명을 체포했으며, AFP 통신에 따르면 프랑스 검찰은 특히 ZachXBT의 공헌에 감사를 표했습니다. "제가 공유한 정보로 법 집행 기관이 조치를 취하는 것을 보면 매우 보람을 느낍니다."라고 그는 말했습니다. 제가 해온 일이 정말 의미 있는 일이라는 생각이 들었습니다."라고 ZachXBT는 말했습니다.

법 집행 기관의 관심을 처음 받은 이후 2년 동안 ZachXBT의 수사 규모와 성과는 폭발적으로 증가했으며, 2023년 2월에는 암호화폐 프로젝트 Platypus에서 약 900만 달러의 도난 자금을 추적하여 몇 시간 만에 도둑 중 한 명의 신원을 밝혀냈습니다; 일주일이 조금 지난 후 프랑스 경찰은 용의자 2명을 체포했습니다. 두 사람에 대한 혐의는 결국 기각되었지만 경찰은 수백만 달러를 회수했고, Platypus는 트위터를 통해 ZachXBT에게 감사의 인사를 전했습니다.

같은 해 말에는 암호화폐 회사 Uranium Finance에서 2,500만 달러가 도난당한 사건을 추적했는데, 이 중 대부분은 희귀 매직: 더 개더링 카드 구매를 통해 세탁된 것으로 보입니다. 이 사건에 연루된 다른 수사관들과 와이어드와의 인터뷰에 따르면, 사이버 범죄 집단인 스캐터드 스파이더(Scattered Spider)가 라스베이거스의 시저스 엔터테인먼트에 랜섬웨어 공격을 가해 회사로부터 1500만 달러를 갈취했을 때 ZachXBT는 그 중 1200만 달러를 추적하고 회수하는 데 도움을 주었다고 합니다. 1,200만 달러

같은 시기에 ZachXBT는 북한 해커들이 저지른 25건의 암호화폐 절도 사건에 대한 광범위한 조사 결과를 발표했는데, 총 도난 자금은 2억 달러가 넘었으며 이 중 약 700만 달러를 동결하는 데 도움을 주었고 이 중 절반 정도는 공개되지 않은 것으로 알려졌습니다. 이 조사에 이어 그는 기술 기업에 침투해 암호화폐로 보수를 받은 약 30명의 북한 IT 인력 네트워크를 적발하는 또 다른 조사를 수행했습니다. 한 사례에서는 북한과 연계된 것으로 보이는 한 기술자가 NFT 기업 뭉쳐블에 고용되어 회사에서 6,200만 달러의 암호화폐 자산을 훔치기도 했습니다. ZachXBT가 자금을 식별하고 태그를 지정하는 데 도움을 주자 해커는 이를 실현하기 어렵다는 이유로 돈을 전액 반환했습니다.

"그 금액이 얼마인지 아세요?"

그럼에도 불구하고 8월 19일 한 피해자로부터 2억 4,300만 달러를 도난당한 사건은 그가 지금까지 추적한 도난 사건 중 가장 큰 규모입니다. 국제선 비행을 마치고 귀국한 그는 며칠 동안 계속해서 도난 자금을 추적하는 한편, 소셜 미디어를 모니터링하여 세 명의 용의자 중 두 명에게 Greavys와 Box라는 칭호를 부여했습니다. 특히 Greavys(본명은 말론 램이며 마이애미에 거주하는 것으로 보이는)는 고급 부동산, 다이아몬드 시계, 전용기, 스포츠카의 사진을 여러 차례 게시하고 등장했습니다. 일반적으로 300만 달러 이상에 판매되는 람보르기니 레뷰엘토와 파가니 우와이라를 포함한 스포츠카도 있었습니다. 또한 ZachXBT는 Greavys가 자신들에게 각각 3만 달러에서 5만 달러에 달하는 헤르메스 버킨 가방을 선물했다고 주장하는 KOL의 게시물을 발견했습니다. 게시물에 첨부된 이미지에는 나이트클럽의 웨이터들이 "WHO WANT A BIRK"라고 적힌 조명이 켜진 팻말을 들고 Greavys의 이름이 적힌 팻말을 들고 있는 모습이 담겨 있습니다.

며칠이 지나지 않아 ZachXBT는 비행기에서 처음 비공개 메시지를 보낸 제보자에게 절도에 연루된 것으로 보이는 해커 3명의 화면 공유 동영상을 보내달라고 부탁했습니다. 해커로 추정되는 사람 중 한 명이 화면 공유 과정에서 다른 친구들과 화면을 다시 공유했고, 그 중 한 명이 영상을 녹화한 것으로 보이는데, 90분 분량의 영상에서 세 명의 해커가 서로의 이름을 여러 번 불렀다고 ZachXBT는 말했습니다. 한 번은 세 명 중 한 명이 자신의 성을 보여주기 위해 잠시 자신의 Windows 홈 화면으로 돌아가는 장면도 있었습니다.

이 영상에는 9자리 숫자의 절도를 완료한 해커들의 광란의 반응도 담겨 있습니다. "세상에! 세상에! 2억 4,300만 달러! 예!" 해커 중 한 명이 녹음에서 말합니다. "우리가 해냈어! 우리가 해냈어요! 믿을 수가 없어요, 그게 얼마나 큰 돈인지 알아요?"

9월 18일 오후 늦게, ZachXBT가 수사를 시작한 지 한 달도 채 되지 않아 램은 한 달에 6만 8천 달러의 임대료를 내는 마이애미의 고급 해변가 임대 주택에서 체포되었습니다. 그리고 박스(본명 잔디엘 세라노)는 여자친구와 몰디브에서 휴가를 보내고 집으로 돌아오던 중 LA 국제공항에서 연행되었습니다. 검찰에 따르면 체포 당시 그는 50만 달러짜리 시계를 차고 있었고, 로스앤젤레스 인근에 월 4만 달러가 넘는 집을 빌렸으며, 고급 자동차에 100만 달러를 지출한 상태였다고 합니다. 다음 날 램과 세라노에 대한 보이스피싱 및 돈세탁 혐의가 풀려났습니다. 법원 문서에 따르면, 두 해커는 법 집행 기관 수사관에게 여러 건의 암호화폐 절도에 연루되었다고 자백했으며, 램은 이 사기를 통해 얻은 수익으로 31대 이상의 고급 자동차를 구입했다고 인정했습니다.

지금까지 이들이 훔친 것으로 의심되는 2억 4,300만 달러 중 7,900만 달러가 압수 또는 동결되었으며, ZachXBT는 더 많은 금액을 찾을 수 있기를 희망하고 있습니다. 검찰은 해커들이 소비 행각을 벌인 후에도 1억 달러 이상이 여전히 미수금 상태라고 밝혔습니다.

공식 기록에 따르면 ZachXBT가 발견한 세 번째 용의자는 코네티컷에 거주하는 것으로 보이지만 아직 범죄 혐의로 기소되지 않은 것으로 보입니다. 그러나 브라이언 크렙스 기자는 형사 고소장에 8월 말 2억 4,300만 달러 도난 사건 발생 4일 후 코네티컷 주 50대 부부의 람보르기니 스포츠카를 납치해 아들에게서 거액의 암호화폐 자산을 탈취할 계획으로 잠시 납치했다고 주장하는 남성 그룹에 대한 설명이 있다고 지적했습니다. 즉, 아들은 ZachXBT가 추적한 자금의 세 번째 수령인일 가능성이 높습니다.

이번 수사는 잭XBT에게 있어 커리어의 전환점이 될 수 있습니다. 기부금에 기반한 자원봉사자로서 수사에 착수한 것이 아니라 피해자로부터 고용과 급여를 받은 것은 이번이 처음이기 때문입니다. 그는 앞으로 더 많은 돈을 받는 일로 전환하거나 자신의 조사 회사를 설립할 수도 있다고 말했습니다. 하지만 그는 단지 부를 위해 수사를 하지는 않을 것이라고 강조했습니다. "도난당한 자금이 압수되어 반환되고 도둑들이 체포되어 잡히는 것을 보고 싶고, 그것이 제 목표이자 제가 하고자 하는 일입니다."라고 ZachXBT는 말했습니다. "사람들이 이 일을 통해 혜택을 받는 것을 보는 것이 저에게는 행복의 원천입니다.

ZachXBT와 함께 수십 건의 수사를 진행한 테일러 모나한은 암호화폐 세계에서 잔인한 범죄의 피해자였던 자신이 다른 사람들을 같은 상황으로부터 구하고자 하는 정의감에서 비롯된 것이 ZachXBT의 주된 동력이라고 말했습니다. 같은 상황에 처한 사람들을 돕고 싶었습니다. "모나한은 "자신과 업계에 종사하는 많은 사람들이 똑같이 나쁜 경험을 했고, 주변 사람들은 이를 개인적으로 받아들이곤 했습니다."라고 말합니다. 그는 그것을 바꾸고 싶었습니다.