Os hackers Greavys (Malone Iam), Wiz (Veer Chetal) e Box (Jeandiel Serrano) realizaram um roubo de criptomoedas no valor de US$ 243 milhões no mês passado. A única vítima, um credor da Genesis, perdeu tudo em um elaborado ataque de engenharia social.
Estedent foi cuidadosamente planejado e a execução foi impecável (sem ofensa à vítima).
ZachXBT, um investigador on-chain, esteve envolvido no caso, conectando os pontos e trabalhando com as autoridades policiais para congelar milhões e efetuar diversas prisões.
1/ Uma investigação sobre como Greavys (Malone Iam), Wiz (Veer Chetal) e Box (Jeandiel Serrano) roubaram US$ 243 milhões de uma única pessoa no mês passado em um ataque de engenharia social altamente sofisticado, e meus esforços que ajudaram a levar a várias prisões e milhões congelados. pic.twitter.com/dcY1e9xsPd
-ZachXBT (@zachxbt) 19 de setembro de 2024
O ataque começou em 19 de agosto. Greavys, Wiz e Box usaram números falsificados e ligações de suporte técnico fraudulentas para se passarem por representantes do Google e da Gemini.
Eles manipularam a vítima para que ela redefinisse sua autenticação de dois fatores (2FA) e transferisse fundos de sua conta Gemini para uma carteira comprometida.
Os hackers também obtiveram acesso às chaves privadas Bitcoin da vítima usando o AnyDesk, um software de acesso remoto, durante uma sessão de compartilhamento de tela.
Uma vez que as chaves foram reveladas, eles se tornaram imparáveis.
A primeira grande Bitcoin ocorreu às 1h48 GMT, envolvendo 59,34 BTC. Pouco depois, outros 14,88 BTC foram movimentados às 2h30.
Mas, ah, isso foi apenas o começo.
US$ 238 milhões em uma única transação
Às 4h05 UTC, ocorreu a maior parte do assalto.
4064 BTC, equivalentes a US$ 238 milhões na época, foram transferidos em uma única transação.
Zach compartilhou um vídeo privado onde os hackers comemoravam após receberem os fundos. As reações deles? Exatamente o que se esperaria depois de um roubo de 240 milhões de dólares: choque, empolgação e talvez um pouco de arrogância.
Confira:
Depois disso, os fundos roubados foram divididos entre os hackers e enviados por meio de mais de 15 corretoras de criptomoedas diferentes.
Os criminosos movimentaram o dinheiro entre Bitcoin, Litecoin, Ethereume Monero para dificultar o trac. Mesmo assim, Zach traco rastro edentcada uma das partes desviadas pelos hackers.
Wiz, que recebeu a maior parte dos fundos roubados, cometeu uma gafe durante uma transmissão ao vivo compartilhada, ao dizerdentseu nome verdadeiro.
Como se isso não bastasse, seus parceiros foram ouvidos chamando-o de "Veer" em gravações de áudio e conversas.
Pelo menos US$ 34,5 milhões da parte de Wiz foram encontrados em uma carteira Ethereum (0x3c7a5f2795e73d2b94a9120a643f608cfc45c935).
Apesar de Wiz ter tentado encobrir seus trac, os vazamentos foram muito óbvios.
O amigo de Wiz, conhecido como Light ou Dark, ajudou-o a lavar o dinheiro roubado usando plataformas como eXch e Thorswap.
Mas, assim como Wiz, Light/Dark cometeu o mesmo erro: revelou seu nome durante um compartilhamento de tela.
Zach confirmou a última transferência de criptomoedas de Wiz para um endereço de carteira específico: 0xa212d7441fed6db9ab666ba34e8c440c565f4af8.
O estilo de vida extravagante e os erros por descuido
Greavys, ou Malone Iam, leva uma vida de luxo — comprando mais de 10 carros de luxo e gastando centenas de milhares de dólares em clubes em Los Angeles e Miami.
Em algumas noites, ele gastava entre 250 mil e 500 mil dólares, chegando a distribuir bolsas Birkin como se não fossem nada.
De acordo com vídeos e registros de bate-papo, as pessoas o chamavam de "Malone" enquanto ele ostentava fundos roubados no Discord.
Neste momento, US$ 3,5 milhões do saque de Greavys estão em outra carteira Ethereum (0x21d7d256be564191a43553e574c06a4d0e629767).
Greavys não era exatamente um mestre em esconder sua localização.
A OSINT (Inteligência de Fontes Abertas) o tracem Los Angeles e Miami porque seus amigos e namoradas publicavam sua localização nas redes sociais quase todas as noites.
Box, também conhecido como Jeandiel Serrano ou John, era o cara que fazia o papel de representante de suporte da Gemini ao telefone. Ele enganava a vítima, orientando-a na transferência de fundos para a carteira comprometida.
No Discord e no Telegram, Box usa a mesma foto de perfil repetidamente. Isso foi suficiente para que os investigadores tracseus movimentos.
Pelo menos US$ 18 milhões relacionados à Box estão atualmente em uma carteira Ethereum (0x98b0811e2cc7530380caf1a17440b18f71f51f4e).
Outro participante do jogo era Danny Trauma, conhecido como Meech nos chats do Telegram.
Seu papel não está totalmente claro, mas sabe-se que ele tinha acesso a vários bancos de dados de falências. Sua ex-namorada vazou todas as suas fotos, então suadentnão é segredo.
Os investigadores também descobriram um conjunto de endereços Ethereum ligados tanto à Box quanto à Wiz.
Mais de 41 milhões de dólares provenientes de duas transações passaram por esses endereços, grande parte dos quais acabou nas mãos de corretores de bens de luxo para a compra de carros, relógios, joias e roupas de grife.
Os registros de bate-papo comprovam isso. Os hackers estavam discutindo abertamente como gastariam os fundos roubados.
Embora a maior parte dos fundos roubados tenha sido convertida em Monero (XMR) para dificultar o trac, Zach disse que tanto Box quanto Wiz cometeram um novo deslize.
Elesdentligaram os fundos lavados aos fundos sujos. Durante um compartilhamento de tela, Wiz mostrou um endereço que usava para enviar dinheiro para roupas de grife, que tinha milhões vinculados a fundos sujos.
Box cometeu um erro semelhante ao reutilizar um endereço de depósito, associando fundos lícitos a fundos roubados.
Zach não trabalhou sozinho. Ele mencionou no tópico X que recebeu ajuda da Binance , da CFInvestigators e da ZeroShadow para trac os fundos.
Juntos, eles conseguiram bloquear mais de 9 milhões de dólares. Cerca de 500 mil dólares já foram devolvidos à vítima.
Graças à investigação, Box e Greavys foram presos em Miami e Los Angeles.
É provável que as autoridades tenham apreendido fundos adicionais durante as prisões, considerando as grandes transferências realizadas na mesma época.
Pois é. Esses caras eram ou muito estúpidos ou muito corajosos, embora as chances da primeira opção pareçam maiores, não é?
Esta notícia está em desenvolvimento
