نفّذ المخترقون غريفيس (مالون إيام)، وويز (فير شيتال)، وبوكس (جانديل سيرانو) عملية سرقة عملات رقمية بقيمة 243 مليون دولار الشهر الماضي. وقد سُرقت جميع أموال الضحية الوحيدة، وهو أحد دائني شركة جينيسيس، في هجوم هندسة اجتماعية مُحكم.
تم التخطيط لهذاdent بعناية، وكان التنفيذ مثالياً (مع كامل الاحترام للضحية).
تولى زاك إكس بي تي، وهو محقق متخصص في سلسلة الكتل، القضية، حيث قام بربط الخيوط والعمل مع جهات إنفاذ القانون لتجميد ملايين الدولارات وإجراء اعتقالات متعددة.
١/ تحقيقٌ في كيفية قيام غريفيس (مالون إيام)، وويز (فير شيتال)، وبوكس (جانديل سيرانو) بسرقة ٢٤٣ مليون دولار من شخص واحد الشهر الماضي في هجوم هندسة اجتماعية متطور للغاية، وجهودي التي ساهمت في إلقاء القبض على العديد منهم وتجميد ملايين الدولارات. pic.twitter.com/dcY1e9xsPd
– ZachXBT (@ zachxbt) 19 سبتمبر 2024
بدأ الهجوم في 19 أغسطس. استخدم كل من Greavys وWiz وBox أرقامًا مزيفة ومكالمات دعم وهمية للتظاهر بأنهم ممثلون لشركة Google وGemini.
لقد قاموا بالتلاعب بالضحية لحملها على إعادة ضبط المصادقة الثنائية (2FA) وتحويل الأموال من حسابها على Gemini إلى محفظة مخترقة.
كما تمكن المتسللون من الوصول إلى مفاتيح Bitcoin الخاصة بالضحية باستخدام برنامج AnyDesk، وهو برنامج سطح مكتب عن بعد، أثناء جلسة مشاركة الشاشة.
بمجرد الكشف عن المفاتيح، أصبحوا لا يمكن إيقافهم.
أول معاملة كبيرة Bitcoin في تمام الساعة 1:48 صباحاً بتوقيت غرينتش، بقيمة 59.34 بيتكوين. وبعد فترة وجيزة، تم تحويل 14.88 بيتكوين أخرى في تمام الساعة 2:30 صباحاً.
لكن أوه، كانت تلك مجرد البداية.
238 مليون دولار في صفقة واحدة
في تمام الساعة 4:05 صباحاً بالتوقيت العالمي المنسق، تم تنفيذ الجزء الأكبر من عملية السطو.
تم تحويل 4064 بيتكوين، بقيمة 238 مليون دولار في ذلك الوقت، في معاملة واحدة.
نشر زاك مقطع فيديو خاصًا احتفل فيه المخترقون بعد استلام الأموال. ما كانت ردود أفعالهم؟ تمامًا كما تتوقع بعد تنفيذ عملية سرقة بقيمة 240 مليون دولار - صدمة، وإثارة، وربما قليل من الغرور.
تحقق من ذلك:
بعد ذلك، تم تقسيم الأموال المسروقة بين المتسللين وإرسالها عبر أكثر من 15 منصة تداول عملات رقمية مختلفة.
قام المجرمون بتحويل الأموال بين Bitcoin، Litecoin، Ethereum، ومونيرو لجعل tracأكثر صعوبة. ومع ذلك، تمكن زاك tracالأثرdentكل عملية تحويل قام بها المخترقون.
أخطأ ويز، الذي حصل على غالبية الأموال المسروقة، أثناء مشاركة الشاشة عن طريقdentعندما قال اسمه الحقيقي.
وإذا لم يكن ذلك كافياً، فقد سُمع شركاؤه ينادونه "فير" في التسجيلات الصوتية والمحادثات.
تم العثور على ما لا يقل عن 34.5 مليون دولار من حصة ويز في محفظة Ethereum (0x3c7a5f2795e73d2b94a9120a643f608cfc45c935).
على الرغم من محاولة ويز tracعلى أفعاله، إلا أن التسريبات كانت واضحة للغاية.
ساعد صديق ويز، المعروف باسم النور أو الظلام، في غسل الأموال المسروقة باستخدام منصات مثل eXch و Thorswap.
لكن تمامًا مثل ويز، ارتكب لايت/دارك نفس الخطأ - فقد سرب اسمه أثناء مشاركة الشاشة.
أكد زاك أن عملية تحويل العملات المشفرة الأخيرة من ويز إلى عنوان محفظة محدد: 0xa212d7441fed6db9ab666ba34e8c440c565f4af8.
أسلوب الحياة الباذخ والأخطاء الطائشة
يعيش غريفيس، أو مالون إيام، حياة مترفة - حيث اشترى أكثر من 10 سيارات فاخرة وأنفق مئات الآلاف من الدولارات في النوادي الليلية في لوس أنجلوس وميامي.
في بعض الليالي، كان ينفق ما بين 250 ألف دولار و 500 ألف دولار، بل إنه كان يوزع حقائب بيركين وكأنها لا شيء.
بحسب مقاطع الفيديو وسجلات الدردشة، أطلق عليه الناس اسم "مالون" بينما كان منشغلاً باستعراض الأموال المسروقة على ديسكورد.
في الوقت الحالي، يوجد 3.5 مليون دولار من غنائم غريفيس في محفظة Ethereum أخرى (0x21d7d256be564191a43553e574c06a4d0e629767).
لم يكن غريفيس بارعاً تماماً في إخفاء موقعه.
تمكنت الاستخبارات مفتوحة المصدر (OSINT) tracتعقبه في لوس أنجلوس وميامي لأن أصدقاءه وفتياته نشروا مكان وجوده على وسائل التواصل الاجتماعي كل ليلة تقريبًا.
بوكس، المعروف أيضاً باسم جاندييل سيرانو أو جون، هو الشخص الذي تظاهر بأنه ممثل دعم شركة جيميني عبر الهاتف. وقد استغل الضحية، موجهاً إياها خلال عملية تحويل الأموال إلى المحفظة المخترقة.
يستخدم بوكس نفس صورة الملف الشخصي مرارًا وتكرارًا على منصتي ديسكورد وتليجرام. كان ذلك كافيًا للمحققين tracتحركاته.
يوجد حاليًا ما لا يقل عن 18 مليون دولار مرتبطة بشركة Box في محفظة Ethereum (0x98b0811e2cc7530380caf1a17440b18f71f51f4e).
كان داني تروما، المعروف باسم ميتش في محادثات تيليجرام، لاعباً آخر في اللعبة.
لم تتضح هويته تماماً، لكن من المعروف أنه كان لديه إمكانية الوصول إلى قواعد بيانات متعددة خاصة بالإفلاس. وقد سربت صديقته السابقة جميع صوره، لذا فإنdentليست سراً.
كما اكتشف المحققون مجموعة من عناوين Ethereum المرتبطة بكل من Box و Wiz.
تم تحويل أكثر من 41 مليون دولار من منصتي تداول عبر هذه العناوين، وانتهى المطاف بمعظمها في أيدي سماسرة السلع الفاخرة لشراء السيارات والساعات والمجوهرات والملابس المصممة.
تؤكد سجلات المحادثات هذا الأمر. فقد كان المخترقون يناقشون علنًا كيفية إنفاقهم للأموال المسروقة.
بينما تم تحويل معظم الأموال المسروقة إلى عملة مونيرو (XMR) لجعل tracأكثر صعوبة، قال زاك إن كلاً من بوكس وويز قد ارتكبا خطأً مرة أخرى.
ربطوا عن غيرdentالأموال المغسولة بالأموال غير المشروعة. خلال إحدى جلسات مشاركة الشاشة، عرض ويز عنوانًا كان يستخدمه لإرسال أموال لشراء ملابس مصممة، والتي كانت ملايين الدولارات مرتبطة بأموال غير مشروعة.
ارتكب بوكس خطأً مماثلاً عندما أعاد استخدام عنوان إيداع، مما أدى إلى ربط الأموال النظيفة بالأموال المسروقة.
لم يعمل زاك بمفرده. فقد ذكر في موضوع X أنه تلقى مساعدة من Binance ، ومحققي CF، وZeroShadow trac الأموال.
تمكنوا معاً من تجميد أكثر من 9 ملايين دولار. وقد تم بالفعل إعادة حوالي 500 ألف دولار إلى الضحية.
بفضل التحقيق، تم القبض على بوكس وجريفيس في ميامي ولوس أنجلوس.
من المرجح أن تكون أجهزة إنفاذ القانون قد صادرت أموالاً إضافية أثناء عمليات الاعتقال، نظراً للتحويلات الكبيرة التي تمت في نفس الوقت تقريباً.
إذن، نعم. هؤلاء الرجال إما كانوا أغبياء حقاً أو شجعاناً حقاً، على الرغم من أن احتمالات الاحتمال الأول تبدو أعلى، أليس كذلك؟
هذا خبر متطور
