האיש שנפל קורבן לשוד הביטקוין הגדול והחליט להשיב מלחמה

יום אחד גילה המתכנת השוודי קים נילסון שנפל קורבן לשוד הביטקוין הגדול ביותר אי פעם • כשהחליט להתחקות אחר הגנבים, הוא נשאב לאודיסאת סייבר אפלה שמתחילה בטוקיו, עוברת במוסקבה ונגמרת במנזר יווני עתיק • סיפורו של האיש שבסך הכול רצה לחפש את הכסף שלו - ופתח את תיבת הפנדורה של תעשיית הקריפטו

קים נילסון / איור: גיל ג'יבלי
קים נילסון / איור: גיל ג'יבלי

פרולוג
פוף! נעלם הכסף

קים נילסון לא ידע את נפשו. הוא התעורר בוקר אחד ב-2014 וגילה שמישהו מונע ממנו גישה לחשבון הביטקוין שלו. זמן קצר לאחר מכן הוא גילה שאינו לבד. בזה אחר זה נעלמו מטבעות הקריפטו מבורסת הביטקוין הכושלת מאונט גוקס, ומאות משקיעים סבלו ממפח נפש רציני, אם לא פשיטת רגל של ממש. יותר מ-400 מיליון דולר פשוט התפוגגו אל חלל הרשת.

אבל שלא כמו רוב הקורבנות, נילסון, מתכנת שוודי המתגורר בטוקיו, היה נחוש למצוא את הכסף שלו. הוא חבר לשותף אחר שאיבד את הביטקוין שלו, ועם עורך דין הם יצאו למסע בן שלוש שנים, שהתנהל מאחורי הקלעים של האינטרנט והסתיים בקיץ האחרון, על חוף יווני. שם, בצל מנזר בן אלף שנה, סוכני FBI עצרו אזרח רוסי והאשימו אותו בהלבנת ביטקוין בשווי כ-4 מיליארד דולר, לפי השער העדכני. זהו אחד הפשעים הגדולים ביותר, כמדומה, בהיסטוריה הקצרה של מטבעות הקריפטו.

האודיסיאה של נילסון - שוחר מטבעות קריפטו אופטימי, שהפך בעל כורחו לבלש הביטקוין הראשון - היא בזעיר אנפין הסיפור של תהליך התבגרותם המורכב של מטבעות הקריפטו עצמם, שערכם נסק בשנים האחרונות. האופן שבו חשף נילסון את הגניבה ואת ההלבנה של אי-אלו מיליוני דולרים מבהיר את טיב הסכנות הפוטנציאליות האורבות למשקיעים במרחבי הדיגיטל, הבלתי מפוקחים בעיקרם. כך זה קרה, שלב אחרי שלב.

פרק ראשון: רקע
ההר המקוון של טוקיו

נילסון ורבים אחרים מחברי קהילת שוחרי המטבעות הדיגיטליים ביפן נהרו אל הביטקוין ברגע של אופטימיות, עם שוך הדי המשבר הפיננסי של 2008. הביטקוין, שנוצר בידי המתכנת האניגמטי (או המתכנתים האניגמטיים) שנודע רק בשם סאטושי נאקאמוטו, קיים רק בעולם המקוון, כשורת קוד במרשם דיגיטלי המכונה בלוקצ'יין, מחוץ למערכת הפיננסית המרכזית. כל אחד יכול לראות את הטרנזקציות המבוצעות בה - אך לא את האנשים שמאחוריהן. הסדר זה מבטיח שלא יוכלו להשתמש באותו ביטקוין כדי לשלם תמורת מזון או שירות כלשהם יותר מפעם אחת. אף שאפשר לראות ביטקוינים עוברים בין "כתובות" ולזהות אותם לפי רצף אותיות ומספרים, שמותיהם של בעלי הארנקים עצמם חסויים.

בתיאוריה, מדובר בתהליך מבוזר, וכל בעל או בעלת ביטקוין אחראים לסיסמה של עצמם. אין שום צורך במתווך אמין דוגמת בנק או חברת אשראי כדי להבטיח שהפעולות במטבע מתבצעות כתקנן; בזאת מטפל הבלוקצ'יין.

למעשה, רבות מן הטרנזקציות בביטקוין מתבצעות באמצעות בורסות, ולא בידי אנשים המשתמשים בבלוקצ'יין ישירות. בורסות רבות (שבעיקרו של דבר אינן נתונות לכל רגולוציה) מתפקדות פחות או יותר כמו מוסדות פיננסיים מסורתיים: הן מתווכות בין המוכרים לקונים ומחזיקות את המטבע בחשבונות המקוונים שלהן. חשבונות כאלה, כמו גם המידע שאוספת הבורסה על המשתמשים בשירותיה, עלולים ליפול קורבן להאקינג.

מאונט גוקס, שמקום מושבה היה טוקיו, הייתה אחת הבורסות הראשונות והגדולות שעסקו בביטקוין. היא סיפקה פלטפורמה לקניית המטבע הקריפטוגרפי ולמכירתו, כמו גם שירות לשמירת הארנקים הדיגיטליים המוגנים בסיסמה שבהם אוחסנו הביטקוינים של המשתמשים עצמם. נילסון עצמו רכש ביטקוין ראשון מידיד ב-2012. שנה לאחר מכן החל לרכוש את המטבע במאונט גוקס וצבר מאגר קטן.

אף שהמשתמשים בשירותיה של מאונט גוקס לא ידעו זאת, היא כבר עמדה על-פי פחת. האקרים הצליחו להשיג גישה למפתחות פרטיים ב-2011 והחלו לגנוב ביטקוינים מארנקים מקוונים - כ-630 אלף בארבע שנים.

בעליה של מאונט גוקס, מארק קרפלס, צרפתי המתגורר בטוקיו, ניסה להסתיר את עניין הגניבות עד ראשית 2014, אז ביטלה מאונט גוקס את האפשרות למשוך את הכסף והגישה בקשה לפשיטת רגל. קריסתה של מאונט גוקס - הגדולה ביותר בהיסטוריה הקצרה של הביטקוין - הותירה מאות קורבנות.

ביטקוין / איור: גיל ג'יבלי
 ביטקוין / איור: גיל ג'יבלי

פרק שני: הבלשים
קורבנות שהרימו ראש

דניאל קלמן, למשל, עורך דין מברוקלין שהתגורר אז בטייוואן, איבד 44.5 ביטקוינים, ששוויים הנוכחי עומד על כ-400 אלף דולר, והגיע לטוקיו בניסיון לרדת לעומק העניין.

בפגישת מחזיקי ביטקוין שנערכה בבר בגורד שחקים פגש קלמן את ג'ייסון מוריס, יליד הוואי, המכונה "ויז", העביר לו את שמו של אחד מעמיתיו - נילסון - שהיה מצויד בכישורי התכנות הדרושים כדי לפצח את תעלומת מאונט גוקס.

השלושה נפגשו לארוחת ערב בטדי'ז ביג בורגרז (אחת הרשתות ההוואיות שמוריס מתעקש לאכול בהן לא פעם), טיכסו עצה וגיבשו תוכנית לאיתור מטבעות הקריפטו הנעלמים - ולהפיכת היוזמה לעסק של ממש.

נילסון, קלמן ומוריס החליטו לקרוא לחברה החדשה WizSec, על שם כינויו של מוריס, ואימצו את הכותרת "מומחים לאבטחת ביטקוין". אלא שהעסק לא ממש המריא.

"כעבור זמן לא רב, מה שנשאר מכל הרעיון זה רק אני, ישבתי ועבדתי על ההיבט הטכני", אומר נילסון. בלי כסף לטכנולוגיה חדשה או למשרד, הוא ניהל את החקירה מדירתו בת 60 המטרים הרבועים, ברב-קומות לא רחוק ממרכז טוקיו.

פרק שלישי: החקירה
לעקוב אחרי הדפוסים

נילסון היה מצויד רק במחשב ביתי שהרכיב לצורכי גיימינג מחלקים שהזמין ברשת, ולא היה מצויד בכוח המחשוב הדרוש לחיפוש בבלוקצ'יין של ביטקוין. חיפושים היו נמשכים לילות שלמים. במקום זאת פיתח נילסון תוכנה שאפשרה לו לבצע חיפושים מהירים בכתובות של כל טרנזקציה.

אט-אט החלו להתגבש דפוסים, אלא שהיה קשה לעמוד על משמעותם, הואיל והבלוקצ'יין אינו מאפשר לזהות מי עומד מאחורי כל טרנזקציה ואין שום דבר דומה לספר טלפונים מקוון, המאפשר לחבר בין כתובות בלוקצ'יין לבין אנשים של ממש.

אבל אז קרה דבר שסיפק לו משנה מוטיבציה: חלקים ממסד הנתונים של מאונט גוקס דלפו, חלקם לפורומים ברשת וחלקם לתקשורת הממוסדת, ונילסון הצליח להשיג רשומות פרטיות של עסקות, של משיכות, של הפקדות ושל מאזנים של משתמשים.

פרק רביעי: הגילוי
כרוניקה של טיוח והסתרה

במאי 2014, מתכנת אחר פרסם ניתוח של המידע שדלף. הוא מצא חשבונות שרכשו ביטקוין באופן שעורר את הרושם שהוגדרו לפעול אוטומטית - במטרה לשפר את ערך החזקותיה של מאונט גוקס. נילסון, שהתחקה אחר מקורותיו של הדיווח, הבין שהוא יכול להשתמש במסד הנתונים כדי לברר כמה כסף איבדה מאונט גוקס, באמצעות איתור כל ארנקי הביטקוין הקשורים בבורסה ואז התחקות אחר הטרנזקציות שלהם.

החקירה השתלטה על חייו. בימים עדיין עבד במשרה מלאה, אך לילותיו היו קודש למרתונים רוויי קולה זירו מול שלושה צגים זוהרים: על האחד הופיעו שורות קוד, על האחר - גיליון נתונים לתיעוד מידע חשוב, ובשלישי כתב נילסון הערות ומסקנות. בתום כמה חודשים של עבודה היו לנילסון כמעט 2 מיליון כתובות הקשורות במאונט גוקס - אבל לא היה לו שום מושג מי השתמש באיזו כתובת ולאיזו מטרה. הוא היה זקוק לעזרה מבפנים.

הרשויות היפניות חקרו אז את מאונט גוקס. בעל החברה, קרפלס, הנמיך פרופיל. קלמן יצר איתו קשר באמצעות ערוץ המוקדש לביטקוין בתוכנת ההודעות IRC, הוא ידע שקרפלס מרבה להשתמש בו. "יום אחד פשוט נכנסתי ל-IRC והתחלתי להאשים את מארק במעילה", מספר קולמן.

קרפלס, שביקש לנקות את שמו, הסכים להיפגש עם נילסון ועם קלמן במזללת המבורגרים. הוא אישר את המידע שאסף נילסון על החשבונות וסייע לו לערוך רשימת כתובות מלאה ממאונט גוקס. שני המשקיעים מספרים שגילה להם גם פרט נוסף, שנודע לציבור רק זמן רב מאוחר יותר: את פעולות המסחר החשודות במאונט גוקס ביצעה תוכנה שפיתח קרפלס עצמו, בניסיון להסתיר את הגניבות שביצעו עבריינים שזהותם לא נודעה.

קרפלס סירב להגיב לדברים, אך בעבר הכחיש כל מעילה בכספי מאונט גוקס.

נילסון עבר על אלפי הארנקים הנותרים ומצא כי אף שמאונט גוקס הייתה אמורה להחזיק ביותר מ-900 אלף ביטקוינים, למעשה החזיקה בפחות מ-200 אלף. הוא ראה שהמטבעות החלו להיעלם כבר בשנת 2011. "ביודעין או שלא ביודעין", כתב בבלוג בשנת 2015, "מבחינה טכנית מאונט גוקס הייתה חדלת פירעון לפחות מאז 2012".

לאחר שהמטבעות האמורים עברו לבורסות אחרות, כמה מהם נמכרו, כמדומה, במזומן. נילסון לא הצליח לגלות מי גנב ומי מכר אותם, אבל הרגיש שהוא בדרך הנכונה.

באפריל 2015 פרסם את ממצאיו בבלוג של WizSec, בתקווה שהמידע יניע מישהו לספק מידע נוסף. הוא ציין מה הוא יודע והוסיף כי לדעתו מישהו שאינו קרפלס הוא שגנב את הביטקוינים. "ואם כך", חתם את הפוסט, "מי עשה את זה?".

פרק חמישי: השיטה
בחיפוש אחר WME

זמן לא רב לאחר מכן קיבל נילסון הודעה שלא ציפה לה. השולח היה סוכן של מס ההכנסה האמריקאי: גארי אלפורד, שנודע בחוגי מטבעות הקריפטו כחוקר שזיהה את בעליו של "דרך המשי", שוק מקוון שהיה אפשר לרכוש בו סמים וכלי נשק תמורת ביטקוין. תוצאת חקירתו זו של אלפורד הייתה אחת התביעות הגדולות ביותר אי-פעם שהייתה להן זיקה לביטקוין.

אלפורד המשיך לעקוב אחר הביטקוינים הקשורים ב"דרך המשי" והגיע לכמה מן המקומות שנילסון חיפש בהם את כספו האבוד. זה היה רגע מביך: הרי אחת המטרות שלשלמן נילסון החל להתעסק בביטקוין מלכתחילה, הייתה לחמוק מן הרגולטורים.

"כמובן שבחוגים שאני מסתובב בהם יש סטיגמה בנוגע למס הכנסה", הוא אומר. "אנשים מרשויות המס לא הכי פופולריים שם". ועם כל זאת, קלמן ונילסון חשבו שהממשל האמריקאי - עם שלל סמכויותיו ועם תקציב וטכנולוגיה גדולים פי כמה - עשוי להיות להם לעזר. אלא שבדיעבד, קלמן אומר שהאינטרקציה הייתה חד-סטרית. "אנחנו נתנו להם הכול, אבל אלפורד לא נתן לנו כלום מעבר לאמירה 'אתם בכיוון הנכון'". אלפורד סירב להגיב לכתבה.

נילסון המשיך ביתר עוז. הוא התחקה אחר תנועת המטבעות שיצאו ממאונט גוקס והגיעו לבורסות אחרות, ובהן גם בורסה המכונה BTC-E. נילסון המשיך לחפור ומצא ארנקים של WME שהיו קשורים ב-BTC-E. הוא גילה שכמה מן הביטקוינים ממאונט-גוקס הגיעו לחשבונות של BTC-E ואז נשארו שם. כלומר: במקום שיוחלפו, הם נשארו בארנקים הקשורים במנהל של BTC-E.

בשלב זה, נילסון עדיין לא ידע ש-BTC-E נמצאת על הכוונת של חוקרים מטעם משרד המשפטים האמריקאי. חוקרים בתחום אבטחת הסייבר מספרים כי BTC-E הייתה לבורסה החביבה על פושעים ברחבי העולם. קשרי הבנקאות שלה באירופה אפשרו ללקוחותיה לרכוש ביטקוין או להמיר אותו לאירו ולרובל. חוקר עצמאי העוסק בבלוקצ'יין העריך כי BTC-E קשורה ב-60% עד 70% מכלל המקרים הפליליים שבהם נעשה שימוש במטבעות קריפטו ב-2016.

כך או כך, החיפוש הוביל אותו לגילוי בלתי צפוי: בארנקים שאליהם הגיעו הביטקוינים ממאונט גוקס היו גם ביטקוינים שנגנבו מבורסות אחרות, במקרי גניבה מפורסמים אחרים ולכאורה בלתי קשורים. הוא הצליב בין הטרנזקציות הללו לבין מידע שדלף ממאונט גוקס, ומצא כי כמה מן המטבעות שנגנבו ממאונט גוקס הופקדו בחשבונות אחרים באותה הבורסה, ושבאחד מהם הופקד כסף מזומן בלוויית ההערה "WME". נילסון הסיק מכך כי בעליו של חשבון WME, יהיה אשר יהיה, החזיק מטבעות שנגנבו ממאונט גוקס. כעת היה עליו לברר במי מדובר.

לשם כך החליף את אנליזת הבלוקצ'יין בחטטנות אינטרנט מסורתית: הוא חפר ומצא כי מישהו שכינויו WME טוען שהפעיל בורסות מטבע במוסקבה. "שלום, אני עוסק במסחר במטבעות יותר מ-10 שנים, ועכשיו התחלתי לעבוד עם ביטקוין. אני יכול להחליף אותם תמורת מה שתרצו", כתב WME בשנת 2011 בלוח Bitcointalk.org, והוסיף, "עדיפות לסכומים גדולים".

ביטקוין / איור: גיל ג'יבלי
 ביטקוין / איור: גיל ג'יבלי

הצעד הבא היה להבין מיהו WME.

פרק שישי: הגנב
הותיר שובל של רמזים

נראה שמדובר במשימה לא פשוטה. לא קל לתפוס פושע שמשתמש בארנק שונה לכל טרנזקציה ונזהר שלא לחשוף שום מידע שעשוי לקשור בין הכינוי שלו לבין דמות אמיתית. אלא ש-WME, כפי שהתברר, לא היה זהיר במיוחד. נילסון מסביר ש"ניהול זהות מרושל" הותיר שובל של רמזים. ראשית, היו הודעות שקשרו בין WME לבין חשבונות ספציפיים. אחר כך נמצא פוסט מ-2012 שהתפרסם באחד הלוחות, ובו טען משתמש זועם, שכינויו WME, שפלטפורמת סחר אחרת "גנבה ממני וברחה עם הכסף".

כדי לתת לטענתו משנה תוקף, WME העלה תכתובות בינו לבין CryptoXchange, ולצידן גם מכתב שעורך דינו שלח לחברה. בתחתית אחת ההודעות, CryptoXchange מסרה ל-WME היכן הפקידה את כספו: בחשבון על שם "ויניק אלכסנדר".

נילסון היה המום. "אפילו לא האמנתי שזה שם אמיתי", הוא אומר. "חשבתי שזה כינוי או משהו. למה שמישהו שמתעסק במטבעות קריפטו יעלה לרשת את השם האמיתי שלו ומידע על חשבון בנק?" הוא העביר את השם (עם שגיאת כתיב) לידיו של סוכן המס אלפורד. זה היה בקיץ 2016, לאחר שנתיים שבהן שקד נילסון על החקירה.

מסמכים שהוגשו לבית המשפט מלמדים כי גם החוקרים הפדרליים מצאו כי אדם שכינויו WME שולט בחשבונות שבהם הופקדו מטבעות שנגנבו ממאונט גוקס, וכי יש לו קשר ל-BTC-E. החוקרים התחקו אחר עסקות בלוקצ'יין וזימנו רשומות בנקאיות. הם מצאו כי בשנים 2015-2013, חשבון שהיה קשור ל-BTC-E ולאזרח רוסי, היה מעורב בהעברות מזומן לבנקים בקפריסין ובלטביה - מדינות המשמשות מלביני כספים כתחנות ביניים בדרך לבנקים גדולים ביבשת. בסוף 2016 כבר היו בידי התובעים די ראיות כדי להגיש כתב אישום נגד ויניק.

הואיל ורוסיה אינה נוטה להסגיר פושעי סייבר, הסוכנים האמריקאים ביקשו למצוא דרך לתפוס אותו מחוץ למדינה. בינואר 2017 הגישו כתב אישום פדרלי חסוי ובו טענו כי ויניק, וכמה שותפים שזהותם טרם התבררה, הלבינו באמצעות BTC-E כ-4 מיליארד דולר. כאשר יצא מר ויניק לחופשה ביוון, ה-FBI וכוחות השיטור המקומיים כבר היו מוכנים.

ב-25 ביולי, שוטרים בלבוש אזרחי סגרו על ויניק בחוף הים, סמוך למנזר בן אלף שנה, ועצרו אותו. הם תפסו שני מחשבים ניידים, שני טאבלטים, חמישה טלפונים סלולריים וראוטר אחד. לפי מקור ברשויות האכיפה היווניות, המתבסס על מסמכים שהוגשו לבית המשפט, מדובר בציוד שעשוי ללמד על פעילותה של BTC-E.

אפילוג
אולי תפסנו רק איש קש?

מוקדם לומר מה יעלה בעתידו של ויניק. ארצות הברית מנסה להבטיח שיסגירו אותו לידיה, אך רוסיה מתנגדת בטענה שעליו לעמוד לדין במוסקבה בגין הונאה בהיקף של 9,500 אירו.

עורך דינו הרוסי של ויניק הכחיש את ההאשמות נגדו בבית המשפט היווני, טען כי מרשו אינו עובד של BTC-E והוסיף כי ויניק נלחם בדומיננטיות האמריקאית במערכת הפיננסים הגלובלית. אם זה לא דרמטי מספיק, הוא הזכיר גם את מורשת הנוצרית האורתודוקסית המשותפת ליוונים ולרוסים, וטען כי היוונים אינם יכולים לשלוח את "אחיהם לדת" לארצות הברית. ויניק עצמו בילה את השימועים בעניין גירושו בקריאה בכתבי הקודש.

ב-30 ביולי, פאנל של שופטים יוונים נעתרו לבקשה להסגיר את ויניק לרוסיה, אף שבתי משפט יווניים אחרים קבעו שיש להסגיר אותו לארצות הברית או לצרפת. ויניק ביקש מקלט ביוון, ואם בקשתו לא תתקבל, שר המשפטים הוא שיידרש להחליט לאן לשלוח אותו.

מדובר באחד המעצרים הגדולים ביותר אי-פעם בעולם המטבעות הדיגיטליים. עם זאת, הסוכנים שסגרו על ויניק ידעו כי לא סביר להניח שמעצרו יוביל לסוף לפעילותה של BTC-E. גורמים המעורבים בחקירה אומרים שלא ברור אם ויניק ניהל את BTC-E, ואפילו לא אם היה בעל תפקיד מרכזי בה. למעשה, הם ונילסון אומרים כי לא מן הנמנע כי מי שעומד מאחורי המבצע כולו יושב לבטח בגוש הסובייטי לשעבר, עשיר בביטקוין וממשיך בשלו.

כמה ימים לאחר מעצרו של ויניק, BTC-E שבה לפעול ברשת בשם אחר. האנשים המפעילים אותה כעת - זהויותיהם עדיין אינן ידועות - מחזיקים ברשימת לקוחותיה של BTC-E ובחלקים רבים מן הטכנולוגיה שלה, אך גורסים כי האתר פועל בהנהלה חדשה. לפני כמה שבועות הודיעו שהם מתעתדים לסגור אותו כליל. את תגובתם לא היה אפשר להשיג.

גורמים המעורים בפרטי החקירה אומרים כי מבחינתם של התובעים הפדרליים האמריקאים, ויניק הוא הראשון מבין כמה מטרות ב-BTC-E.

נילסון עצמו שבע רצון מהמעצר, אך עודו מתוסכל. הוא מרגיש שמצא את האיש שאחריו חיפש, אבל הכסף שלו עדיין תקוע בהליכי פשיטת הרגל של מאונט גוקס. הוא קיווה שהשימוש בביטקוין יאפשר לו להימנע ממגעים עם ממשלות, עם מוסדות פיננסיים ועם רמאים. במקום זאת, הוא וחופן הביטקוינים שלו נדרשו להתמודד עם כל השלושה. "זה סיפור די עגום", הוא אומר.