想象在热火朝天的牛市，你所有的加密货币都被盗了……这就是科罗拉多州的 Andrew Schober 的真实遭遇。

2018 年，Schober 在/r/BitcoinAirdrops 的 Reddit 子论坛上无意中下载了一个被篡改的 Electrum 比特币钱包版本。在这个假钱包中隐藏着恶意软件：一个专门用来钓鱼比特币的剪贴板劫持程序。这个恶意软件会获取 Schober 机器上的任何比特币接受地址，并伪装成它，将预期的接收者地址替换为黑客控制的地址。

Schober 自 2014 年以来一直在慢慢积累比特币，最终因为这个钓鱼程序给黑客发了 16.5 个比特币，相当于他净资产的 95% 。当他被钓鱼时，这些比特币的价值为 18 万美元，但在 2021 年比特币的历史最高价时达到了 110 万美元。Schober 认为这是“改变他生活的钱”。

“我在 Reddit 上找到了一个恶意软件的链接，将其安装在我的电脑上，很快意识到它并不是宣传中所说的那样，”Schober 说。“所以我只是从我的电脑上删除了它，然后就不再考虑了。”

“但不幸的是，一旦这个木马程序安装在你的硬盘上，删除原始程序并不能摆脱这个木马。所以从那时起，它就一直在监视我的硬盘，每当我复制比特币地址时，它就会起作用。”

这个恶意软件预先编码了 195, 112 个不同的比特币地址。“它不仅仅将比特币地址更改为一些随机的新地址，”Schober 解释道。“它会匹配你复制的地址的前几个字符。所以它看起来在视觉上非常相似，如果你没有真正注意到区别，就不会察觉到。”

在 Schober 遭受攻击时，其中有四个地址接收到了来自不知情的受害者的比特币，这极大地缩小了他的索敌范围。

通过门罗币追踪被盗的比特币

区块链的美妙之处在于它的开放式账本。几乎所有加密货币交易都会留下数字化的痕迹。

通常情况下，跟踪这些路径涉及追踪转账以确定货币最终流向何处。

在 Schober 的案例中，他追踪到被同一恶意软件盗取的比特币流向了长期服务的加密货币原子交换平台  ShapeShift 。

ShapeShift 曾经维护一个 API，共享参与其交换的地址。API 数据显示，Schober 遭遇的“盗贼”曾将比特币换成门罗币（XMR），并使用了相应的地址。

因此，Schober 在 Reddit 上发帖询问是否有可能追踪门罗币的交易。链上调查员和资产追回专家 Nick Bax 回应了他的请求。