Хакеры Гривис (Мэлоун Айам), Виз (Вир Четал) и Бокс (Жандиэль Серрано) в прошлом месяце совершили кражу криптовалюты на сумму 243 миллиона долларов. Единственной жертвой стал кредитор компании Genesis, у которого в результате тщательно спланированной атаки с использованием методов социальной инженерии были украдены все деньги.
Этотdent был тщательно спланирован, и его исполнение было безупречным (без обид в адрес жертвы).
ZachXBT, специалист по расследованию транзакций в блокчейне, занимается этим делом, сопоставляя факты и сотрудничая с правоохранительными органами, чтобы заморозить миллионы долларов и произвести многочисленные аресты.
1/ Расследование того, как Гривис (Мэлоун Айам), Виз (Вир Четал) и Бокс (Джандиэль Серрано) украли 243 миллиона долларов у одного человека в прошлом месяце с помощью изощренной атаки с использованием методов социальной инженерии, и мои усилия, которые привели к многочисленным арестам и замораживанию миллионов долларов. pic.twitter.com/dcY1e9xsPd
– ZachXBT (@zachxbt) 19 сентября 2024 г.
Атака началась 19 августа. Гривис, Виз и Бокс использовали поддельные номера и фальшивые звонки в службу поддержки, выдавая себя за представителей Google и Gemini.
Они обманом заставили жертву сбросить двухфакторную аутентификацию (2FA) и перевести средства со счета Gemini на скомпрометированный кошелек.
Хакеры также получили доступ к закрытым Bitcoin ключам жертвы, используя AnyDesk, программу для удаленного доступа к рабочему столу, во время сеанса демонстрации экрана.
Как только ключи были обнаружены, их стало не остановить.
Первая крупная Bitcoin произошла в 1:48 утра по Гринвичу, было переведено 59,34 BTC. Вскоре после этого, в 2:30 утра, было перемещено еще 14,88 BTC.
Но это было только начало.
238 миллионов долларов в рамках одной сделки
В 4:05 утра по UTC произошла основная часть ограбления.
В рамках одной транзакции было переведено 4064 BTC, что на тот момент составляло 238 миллионов долларов.
Зак поделился приватным видео, на котором хакеры празднуют получение средств. Их реакция? Именно такая, какую и следовало ожидать после ограбления на 240 миллионов долларов — шок, восторг и, возможно, немного высокомерия.
Посмотрите:
После этого украденные средства были разделены между хакерами и переведены через более чем 15 различных криптовалютных бирж.
Преступники переводили деньги между Bitcoin, Litecoin, Ethereumи Monero, чтобы затруднить trac. Тем не менее, Зак tracслед иdentкаждую из долей, полученных хакерами.
Виз, получивший большую часть украденных средств, допустил ошибку во время демонстрации экрана,dentназвав свое настоящее имя.
И если этого было недостаточно, то, как слышно на аудиозаписях и в чатах, его партнеры называли его «Вир».
По меньшей мере 34,5 миллиона долларов из доли Wiz были обнаружены в кошельке Ethereum (0x3c7a5f2795e73d2b94a9120a643f608cfc45c935).
Несмотря на попытки Виза замести trac, утечки были слишком очевидны.
Друг Виза, известный как Лайт или Дарк, помог ему отмыть украденные средства, используя такие платформы, как eXch и Thorswap.
Но, как и Wiz, Light/Dark совершил ту же ошибку — он раскрыл свое имя во время демонстрации экрана.
Зак подтвердил окончательный перевод криптовалюты от Виза на конкретный адрес кошелька: 0xa212d7441fed6db9ab666ba34e8c440c565f4af8.
Показной образ жизни и неосторожные ошибки
Гривис, или Мэлоун Айам, живёт на широкую ногу — он купил более 10 автомобилей класса люкс и тратит сотни тысяч долларов в клубах Лос-Анджелеса и Майами.
В некоторые вечера он тратил от 250 000 до 500 000 долларов, даже раздавая сумки Birkin, как будто это ничего не стоило.
Согласно видеозаписям и переписке, во время демонстрации украденных средств в Discord его называли «Мэлоун».
В данный момент 3,5 миллиона долларов из средств, полученных Гривисом, находятся в другом кошельке Ethereum (0x21d7d256be564191a43553e574c06a4d0e629767).
Гривис не отличался особым умением скрывать свое местоположение.
tracразведке на основе открытых источников (OSINT) его удалось отследить в Лос-Анджелесе и Майами, поскольку его друзья и девушки почти каждую ночь публиковали информацию о его местонахождении в социальных сетях.
Бокс, он же Жандиэль Серрано или Джон, был тем парнем, который по телефону изображал представителя службы поддержки Gemini. Он манипулировал жертвой, помогая ей перевести средства на взломанный кошелек.
В Discord и Telegram Бокс постоянно использует одну и ту же фотографию профиля. Этого оказалось достаточно, чтобы следователи tracего передвижения.
По меньшей мере 18 миллионов долларов, связанных с Box, в настоящее время находятся в кошельке Ethereum (0x98b0811e2cc7530380caf1a17440b18f71f51f4e).
Ещё одним участником игры был Дэнни Траума, известный в чатах Telegram как Мич.
Его роль не совсем ясна, но известно, что он имел доступ к нескольким базам данных о банкротстве. Его бывшая девушка слила все его фотографии, поэтому егоdentне является секретом.
Следователи также обнаружили группу адресов Ethereum , связанных как с Box, так и с Wiz.
Через эти адреса прошло более 41 миллиона долларов, полученных в результате двух сделок, большая часть которых в итоге оказалась в руках брокеров, торгующих предметами роскоши, для покупки автомобилей, часов, ювелирных изделий и дизайнерской одежды.
Это подтверждают записи чата. Хакеры открыто обсуждали, как они будут тратить украденные средства.
Хотя большая часть украденных средств была конвертирована в Monero (XMR), чтобы затруднить их trac, Зак заявил, что и Box, и Wiz снова допустили ошибку.
Ониdentсвязали отмытые деньги с грязными. Во время демонстрации экрана Уиз показал адрес, который он использовал для отправки денег на дизайнерскую одежду, на которую были переведены миллионы, связанные с грязными финансами.
Бокс допустил аналогичную ошибку, повторно используя адрес для внесения депозита, связав чистые средства с украденными.
Зак работал не в одиночку. В ветке обсуждения на X , что ему помогали Binance , CFInvestigators и ZeroShadow в trac средств.
Вместе им удалось заморозить более 9 миллионов долларов. Около 500 000 долларов уже возвращено пострадавшему.
Благодаря расследованию Бокс и Гривис были арестованы в Майами и Лос-Анджелесе.
Вполне вероятно, что во время арестов правоохранительные органы изъяли дополнительные средства, учитывая крупные переводы, совершенные примерно в то же время.
Так что, да. Эти парни были либо очень глупыми, либо очень храбрыми, хотя вероятность первого кажется выше, не так ли?
Это развивающаяся история
