注:为方便友好阅读,文章中所有的钱包地址、id及excel文件名等信息,均只取字符串的前四位以示意。
朱桐辉、吴同:李某某涉嫌108枚比特币盗窃案虚拟币数据审查意见书
目 录
一、基本信息
二、委托情况
三、名词解释
四、审查过程及相应结论
3.涉嫌被盗币地址59qs******与硬件钱包的绑定情况4.涉嫌藏匿赃款的两个地址与硬件钱包的绑定情况及与其他地址的关系5.李某某购买的硬件钱包与钱包地址59qs******的关系(二)库神回证数据中手机ID、IP地址与钱包地址的关联性分析1.杨某某钱包地址绑定硬件钱包时对应的库神APP所在手机的ID,与涉嫌藏匿赃款钱包地址对应的库神APP所在手机的ID一致2.杨某某钱包地址对应库神APP所在手机的登录IP,与涉嫌藏匿赃款钱包地址对应库神APP所在手机的登录IP一致1.研判报告出具主体无任何资质,不能成为人民法院定案根据3.电子科技公司不具备得出某自然人有犯罪嫌疑结论的资格北京大学诉讼法学博士,南开大学法学院副教授,北京云证国际数据安全科技有限公司司法鉴定中心司法鉴定人。中国人民公安大学信息安全工程学院博士,北京交通大学计算机与信息技术学院博士后,中国政法大学证据科学研究院兼职教师,北京网络行业协会电子数据司法鉴定中心司法鉴定人。根据北京市京师律师事务所王希彬律师辩护的河北省李某某涉嫌108枚比特币盗窃案中的电子数据及其他案件材料,分析涉案硬件钱包、交互手机、登录IP等信息与虚拟币钱包地址的关联、控制情况。SF/Z JD0400001-2014电子数据司法鉴定通用实施规范委托人接受北京市京师律师事务所关于被告人李某某涉嫌比特币盗窃案的委托,对案件电子证据及关联证据做出专业分析。该案件重要依据之一是涉案电子数据及其他材料。现委托人委托朱桐辉(北京云证国际数据安全科技有限公司司法鉴定中心司法鉴定人)、吴同(北京网络行业协会电子数据司法鉴定中心司法鉴定人)作为专家辅助人,结合本案电子数据及其他涉案证据进行专业审查。BTC(比特币):Bitcoin,是一种去中心化的加密数字货币,也是首个基于区块链技术实现的点对点电子现金系统,由中本聪在 2008 年提出,2009 年正式上线。核心特点为去中心化、总量固定、全球流通、地址与交易透明、关联主体有一定匿名性。助记词:是从数字货币钱包的私钥转换而成的一组有固定规则的简单词汇,是私钥的人性化、易记化表达,也被称为恢复短语(Recovery Phrase)或种子短语(Seed Phrase)。其核心作用是方便用户备份和恢复钱包。因为私钥是一串冗长的随机字符,普通人难以记忆和准确记录,所以助记词通过将私钥映射为常见英文单词(也有部分钱包支持中文等其他语言),大幅降低了备份和保管的难度。数字货币钱包地址:由助记词生成,是用户在区块链网络中接收、发送数字资产(如加密货币、NFT 等)的唯一字符标识。它通过非对称加密算法生成,源于由私钥推导而来的公钥,再经哈希运算等处理简化形成,相当于区块链世界资产收发的 “数字门牌”。其仅用于标识资产流转的目标或来源,不直接关联用户真实身份,且交易记录可通过区块链浏览器公开查询,但无法从钱包地址反推出私钥,以保障资产安全。硬件钱包:硬件钱包是一种内置高安全等级芯片,具备独立运算与存储能力,专门用于离线存储数字货币私钥并完成离线签名的物理设备,也被称作冷钱包。其核心是通过物理隔离网络连接的方式,确保私钥始终存储在设备内部而不暴露至联网环境,进而从技术层面避免了私钥被网络攻击窃取的风险。同时还遵循 BIP-39、BIP-44 等区块链行业通用标准,是数字货币存储领域具备高安全性的专用设备。硬件设备唯一识别码:是最基础的设备唯一标识,由设备制造商分配,印在设备机身、包装盒或系统信息中,适用于所有电子设备(如电脑、手机、打印机、硬件钱包等),是厂商层面的唯一识别依据。本案电子数据中的“设备码”是库神公司硬件钱包设备的唯一编码。本案电子数据中的“手机ID”是库神公司钱包APP从所安装手机获取的硬件信息计算出来的唯一编码。这二者均属于硬件设备唯一识别码,具有唯一性。IP:互联网协议地址,Internet Protocol Address,是分配给互联网每一个联网设备的唯一数字标识,它遵循TCP/IP 协议族的规定,既用于在网络中查找和定位设备的逻辑位置,也是设备间进行数据传输时的“网络门牌号”。通过IP 地址,不同设备能在复杂的互联网拓扑结构中实现精准的寻址与通信。主要分为IPv4(32 位二进制数,采用点分十进制形式)和IPv6(128 位二进制数,采用冒分十六进制形式)两大版本,以适配不同网络地址资源需求。库神公司回证文件《杨某某、杨2某补充侦查证据卷》(一退)P18-30(电子数据“6666******.xls”的打印版)显示本案有一个库神硬件钱包,其设备码为“5530f0d455e7ce108f”。该设备共绑定了28个地址,且该设备型号为库神P3设备(截图最后一列出现的“P1/P2”,根据库神公司回复,是不准确的,库神公司能确认该钱包为P3型钱包;而同样重要的是,下文将重点分析的本案扣押在案的杨某某的硬件钱包的型号为P1型)。 其中,59qs******是涉嫌被盗108枚比特币的地址。55WA******和55Nq******是涉嫌藏匿赃款的地址。
更值得注意的是,上述59qs******与ZX5i******、EECv******、28eV******共计四个地址,同时还是本案扣押在案的杨某某的P1硬件钱包的地址。
总之,本案电子数据材料和电子物证显示,本案涉及两个不同型号的钱包,其中,包括涉嫌被盗108枚比特币的地址与其他三个地址,在两个设备中均有过绑定。同时,均未发现李某某控制、使用的钱包地址。在《杨某某、杨2某比特币被盗案补充侦查卷》(一退)第4页杨某某笔录中,杨某某陈述有:“我就花了3000多元让李某某帮我买了冷钱包,到了2019年2月22日我见到了李某某,让李某某拿我手机帮我操作,将交易平台上的64个比特币转到冷钱包里……”结合库神公司对本案警方提问三的回答:“库神公司数据库中地址的创建时间是库神硬件钱包和手机端绑定的时间(2019年02月22日19:44:13)。绑定库神硬件设备需要有助记词。助记词有两种来源方式:1、导入助记词绑定硬件设备;2、使用冷钱包生成助记词绑定设备。如果是导入助记词绑定设备,可能在绑定库神硬件设备前这个助记词就已使用过(生成地址后出现过转账或者接受转账)。库神数据库中地址创建时间晚于地址首次转账的时间可能是这个原因。”杨某某笔录所述硬件钱包绑定时间2019年2月22日,与库神回证数据中地址59qs******与设备码为“5530f0d455e7ce108fbe”的库神P3硬件钱包的绑定时间2019年2月22日,是一致的。因该钱包地址于2017年起即有链上交易,结合要进行交易其助记词需在库神硬件钱包或其他具备同样功能硬件钱包上绑定使用的客观规律,以及杨某某于2019年2月22日才将新购库神硬件钱包绑定并使用的陈述,则可推定杨某某此前还有另外一部库神硬件钱包或具备同样功能的硬件钱包。而这一更早的硬件钱包,很高概率就是本案已扣押在案的P1库神硬件钱包。3.涉嫌被盗币地址59qs******与硬件钱包的绑定情况在前述库神公司回证文件《杨某某、杨2某补充侦查证据卷》(一退)P18、24、29(电子数据“6666******.xls”打印版)中,涉嫌被盗币地址59qs******于2019-02-22 19:44:13绑定到了ID为“5530f0d455e7ce108f”的库神硬钱包中。库神公司对本案警方提问二的回答有59qs******、55WA******和55Nq******这“三个地址是同一套助记词生成的地址,并且在设备(5530f0d455e7ce108f)中使用过”的内容。同时,库神公司对本案警方提问五的答复中更是明确指出:“公安地址调查表中关联的设备码是使用同一套助记词最后一次绑定库神硬件钱包的设备id”。另外,分析扣押在案杨某某的库神P1钱包地址截图可发现,该P1钱包中与59qs******有相同助记词的两个地址zgwW******(达世币)、7y26******(以太经典)。但在前文所言绑定了28个地址且有涉嫌被盗币地址59qs******的设备码为“5530f0d455e7ce108f”的P3硬件钱包的后台记录中,这两个地址均未有绑定记录。可见,如果助记词绑定新的硬件钱包但不在其中恢复钱包地址,那么,库神后台是不会记录该地址在旧有的库神钱包中的绑定时间的。因此,可得出确定的结论,上述库神公司回证文件“6666******.xls”中每一个地址的绑定时间就是最后一次与该5530f0d455e7ce108fbe硬件钱包绑定的时间。总之,综合以上分析,可得出结论:涉嫌被盗币的地址59qs******在设备码为5530f0d455e7ce108f的库神硬件钱包的最后绑定时间就是2019年2月22日,其后再无新的库神硬件钱包绑定、控制这一地址以及进行资产交易。如对库神公司的技术描述有疑问,可进一步调证后再分析。4.涉嫌藏匿赃款的两个地址与硬件钱包的绑定情况及与其他地址的关系涉嫌藏匿赃款的地址55WA******和55Nq******在前述库神回证的28个地址中,且在设备码为“5530f0d455e7ce108f”的硬件钱包中最后一次绑定。如前所述,扣押在案的杨某某P1钱包中的59qs******、ZX5i******、EECv******、28eV******.四个地址,同时也绑定了设备码为“5530f0d455e7ce108f”的P3钱包,与涉嫌藏匿赃款的钱包地址绑定在同一个P3钱包中。结合前述库神公司对本案警方问题二的前述回答,可认定,上述杨某某的四个地址与藏匿赃款的两个地址在同一个硬件钱包“5530f0d455e7ce108f”中绑定、使用过。5.李某某购买的硬件钱包与钱包地址59qs******的关系在案卷《杨某某、杨2某比特币被盗案补充侦查卷》(二退)第109页,李某某购买库神硬钱包时间为2020年2月14日。如果李某某使用所购买的这一硬件钱包实施比特币转出,必须使用窃取的私钥绑定、控制这一钱包,那么,库神后台记录到的涉嫌被盗币地址59qs******的最后一次绑定时间将为购买时间2020年2月14日之后的某个时间点。但库神公司后台记录的该地址的最后一次绑定时间2019-02-22 19:44:13。因此,可得出结论:李某某并没有使用这一新购硬件钱包对地址59qs******实施绑定、控制、转币的行为。(二)库神回证数据中手机ID、IP地址与钱包地址的关联性分析1.杨某某钱包地址绑定硬件钱包时对应的库神APP所在手机的ID,与涉嫌藏匿赃款钱包地址对应的库神APP所在手机的ID一致杨某某P1钱包中的地址 ZX5i******和EECv******在前述库神公司回证《杨某某、杨2某补充侦查证据卷》(一退)P18、24、29(电子数据“6666******.xls”打印版)中显示,它们与硬件钱包绑定时对应APP所在手机的ID为“777D******”。绑定时间均为被指控盗币的2020年10月15日之前的2018年2月24日和26日。涉嫌藏匿赃款的地址55Nq******在这同一个库神公司回证数据中显示,其与硬件钱包绑定时对应APP所在手机的ID也是“777D******”。同时,根据库神公司回证文件《杨某某、杨2某补充侦查证据卷》(一退)P14-17(电子数据“19cd******.xls”打印版),涉嫌藏匿赃款的地址55Nq******的19笔转账中有18笔,其对应APP所在手机的ID均为上述的:“777D******”。杨某某库神P1钱包中的地址28eV******在前述同一个公司库神回证材料中显示,其与硬件钱包绑定时对应APP所在手机的ID为“8g52******”。涉嫌藏匿赃款的钱包地址55WA******在这同一个库神公司回证数据中显示,其与硬件钱包绑定时对应APP所在手机的ID也是“8g52******”。因此,两个涉嫌藏匿赃款的地址在绑定硬件钱包时对应APP所在的手机ID,均系杨某某钱包地址绑定硬件钱包时对应APP所在手机ID。所以,根据用电子痕迹进行同一性认定的原理及手机软件与手机设备ID绑定的规律,这些相同的手机ID记录均客观地反映了:是杨某某在所谓被盗币后一直控制着藏匿赃款的上述两个地址。2.杨某某钱包地址对应库神APP所在手机的登录IP,与涉嫌藏匿赃款钱包地址对应库神APP所在手机的登录IP一致杨某某库神P1钱包中的地址 ZX5i******和EECv******在前述库神公司回证数据《杨某某、杨2某补充侦查证据卷》(一退)P18、24、29(电子数据“6666******.xls”打印版)中显示,其与硬件钱包绑定时对应APP所在手机的登录IP为186.**.***.185,绑定时间为2020年10月15日之前的2018年2月24和26日。而涉嫌藏匿赃款的钱包地址55Nq******在前述同一个库神公司的回证数据中显示,其与硬件钱包绑定时对应APP所在手机的登录IP同样为186.**.***.185。同时,该钱包地址在库神公司回证数据《杨某某、杨2某补充侦查证据卷》(一退)P14(电子数据“19cd******.xls”打印版)中显示,其对应APP所在手机于2021年5月4日登录时的IP也为186.**.***.185。因此,根据用电子痕迹进行同一性认定的原理以及IP分配与使用的客观规律,这些相同的IP记录也客观反应了是杨某某在所谓被盗币后一直控制着藏匿赃款的地址55Nq******。未发现李某某的设备和软件与以上电子证据及钱包地址的客观关联。本案中月神电子科技有限公司接受警方委托出具了《杨某某比特币被盗案研判报告》。结合刑事诉讼规则、司法鉴定程序通则及区块链交易特点,对该研判报告的合法性、可靠性及关联性分析如下。1.研判报告出具主体无任何资质,不能成为人民法院定案根据《中华人民共和国刑事诉讼法》第五十条第二款规定,证据包括:(一)物证;(二)书证;(三)证人证言;(四)被害人陈述;(五)犯罪嫌疑人、被告人供述和辩解;(六)鉴定意见;(七)勘验、检查、辨认、侦查实验等笔录;(八)视听资料、电子数据。该《研判报告》不属于以上类别。《最高人民法院关于适用〈中华人民共和国刑事诉讼法〉的解释》第一百条第一款规定:“因无鉴定机构,或者根据法律、司法解释的规定,指派、聘请有专门知识的人就案件的专门性问题出具的报告,可以作为证据使用。”但本案《研判报告》仅附有月神电子科技有限公司的营业执照及法定代表人“齐山神”的身份证复印件。该公司无电子数据分析和司法鉴定的专业资质,该法定代表人无任何“有专门知识的人”的资格证明,其既不是司法鉴定意见,也不属于上述司法解释规定的“专门性问题报告”。该报告依法不能成为人民法院定案的依据。该《研判报告》因为李某某将108个比特币提至钱包地址2tcx******账户,所以认定该地址是李某某的早期提币地址,归李某某控制。后根据该钱包的gas费流向,认定了“藏匿赃款”的地址55WA******是李某某控制。但如前所述,通过库神公司的回证数据可知,该地址事实上绑定在和涉嫌被盗币地址59qs******相同的硬件钱包设备5530f0d455e7ce108f上,是杨某某的钱包地址。同时,该认定的逻辑不符合区块链交易记录的特点以及与身份关系的基本规律。区块链网络仅记录钱包地址间的资产流转数据,而且交易双方的地址由算法生成,仅以一串字符标识呈现,且与用户真实身份信息无直接关联。区块链浏览器可查询交易的时间、金额、流向等信息,但无法从地址本身直接推导或关联出用户的姓名、身份证号、联系方式等实名信息。司法实践中,仅能通过地址的交易特征、设备号与IP 的关联痕迹、线下 KYC信息、线下KYT 信息、线下KYW 信以及对这些实名信息的核对结果等间接线索,追溯、推测到控制人的真实身份。gas费流向仅仅是推测目标地址身份的方法之一,可靠性很微弱,完全不能排除双方合作买币炒币过程中为及时交易而代为支付gas费到对方地址的可能性。更重要的是,从案件数据还可见,该2tcx******地址在收到108枚比特币后随即就转到了杨某某所谓被盗币的地址59qs******中。事实上,该2tcx******地址也归杨某某控制,是他转币的过渡地址之一,并不受李某某控制。3.电子科技公司不具备得出某自然人有犯罪嫌疑结论的资格犯罪嫌疑的认定是公检法的专属职权,需经法定程序并结合全案证据判断。电子科技公司通过自己的所谓的分析认定某自然人有犯罪嫌疑,侵犯了公检法的职权,此行为不可取、不可助长。根据委托方提供的文件及电子数据内容,进行详尽审查,得到如下结论:第一,杨某某至少持有两部硬件钱包,且具有生成或导入以及使用库神钱包助记词的功能。第二,截止本案库神公司回证之时,涉嫌被盗币地址59qs******最后一次绑定硬件钱包的时间为2019年2月22日,早于李某某购买钱包的时间。而且在该日之后,该地址没有绑定新的库神硬件设备,也没有通过新硬件钱包转出资产的行为。第三,控制杨某某多个钱包地址的硬件钱包设备ID、对应的库神APP所在手机的ID、登录IP,与控制涉嫌藏匿赃款的两个钱包地址的这些关联信息,呈现多点印证的高度一致性。这些电子证据已客观证明,是杨某某一直在控制这两个事后藏匿赃款的钱包地址。第五,本案《研判报告》为不具备专业资质的主体做出的,不具合法性和可信性,其推理过程不符合区块链匿名化、去中心化与及对真实身份推测和验证的逻辑,其并无得出某自然人有犯罪嫌疑结论的资格和职权,依法不能成为人民法院定案的依据。第六,为进一步落实本案钱包地址的控制人,建议本案司法机关(1)继续调查李某某、杨某某的行为轨迹、出行记录,与事后藏匿赃款的两个钱包地址对应APP的登录IP进行地理位置比对;(2)调查声称被盗币的杨某某的欧易、币信、芝麻开门等APP的登录IP,并与后两个钱包地址对应APP的登录IP进行比对;(3)对后两个藏匿赃款的钱包地址对应APP的登录IP进行实名信息调查。说明:文中姓名、钱包地址、硬件钱包设备唯一码、手机ID、登录IP均进行了去个性特殊化和匿名化处理。本审查意见仅对委托事项负责。系根据现有电子物证、电子数据及其他证据材料,主动遵循《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(2016)、《公安机关办理刑事案件电子数据取证规则》(2019)、《司法鉴定程序通则》(2016)、SF/Z JD0400001-2014电子数据司法鉴定通用实施规范等技术规范与鉴定流程,出具的专业审查意见,仅供有关办案单位参考。必要时,司法机关还可出具正式委托手续并提供完整数据材料,按照《司法鉴定程序通则》办理鉴定委托事项。
专家辅助人:朱桐辉、吴同
二〇二五年十一月
朱桐辉:南开大学法学院副教授,北京云证国际司法鉴定中心电子数据鉴定人。
中国人民大学法学院电子证据法研究团队成员,公安大学网络安全与人工智能研究中心研究员,北京市计算机学会网络空间安全与法务专委会委员。
京师、中银、泽亨、靖霖天津、广东众淼律所电子证据顾问,北京赛博威锋司法鉴定中心电子数据顾问,靖霖网络犯罪研究办公室顾问。北京大学诉讼法学博士,中国刑事诉讼学会研究会理事,公众号“中国政法大学刑事辩护研究中心”特邀编审,天津市法学会诉讼法学分会副会长。
吴同:中国人民公安大学信息安全工程学院博士,北京交通大学计算机与信息技术学院博士后,中国政法大学证据科学研究院兼职教师,北京网络行业协会电子数据司法鉴定中心司法鉴定人。
还没有评论,来说两句吧...