Cea mai recentă investigație a lui ZachXBT: Cum un profesionist Fortnite a furat 3 milioane de dolari folosind o înșelătorie cu meme?

Autor: zachxbt, detectiv în lanț
Compilație originală: zhouzhou, BlockBeats

Nota editorului: Acest articol analizează modul în care hackerul Serpent a preluat controlul a 9 conturi de pe X și Instagram, inclusiv McDonald's și Kabosu, a lansat o înșelătorie cu monede Meme, a furat aproximativ 3,5 milioane USD și l-a folosit pentru jocuri de noroc de cazinou. Serpent a fost un jucător profesionist (Fortnite) care a fost concediat pentru înșelăciune. În 2022, proiectul NFT DAPE pe care l-a co-fondat a suferit un Rug Pull, iar proiectul ERROR lansat în 2024 a întâlnit și un Rug Pull și, în cele din urmă, a fost interzis de X.

Următorul este conținutul original (conținutul original a fost editat pentru a facilita citirea și înțelegerea):

Am urmărit o serie de scurgeri conexe în ultimele luni care au implicat McDonald's, Usher, proprietarul Kabosu, Andy Ayrey, Wiz Khalifa, SPX 6900 și altele, care au dus la pierderi de aproximativ 3,5 milioane USD prin lansarea versiunii Pompă Funmeme furt de monede.

Pe 21 august 2024, contul de Instagram al McDonald's a fost compromis și a fost publicată o postare care promova moneda meme GRIMACE, iar apoi hackerii și-au început farsa. Din această pompă și gunoi, peste 690.000 USD au fost transferați în două portofele.

4RiNhTwBxYWgb4MSCtt9vXgVk2yuPhoQR3DR9pMVPU1W

2vjnmxwTYNJvTmFhtqxZkPiuCHkaKZK5rcxTLuoC2dPB

Pe 3 septembrie 2024, atacatorii McDonald's au mutat 101.5 SOL la două adrese care l-au desfășurat și l-au tras pe SCHRADER după ce contul X al actorului Dean Norris a fost spart.

4s9Uz9pTBXcEaEtcjs8eg98r2TVte3rq3JUm3rVTFMudfewGbNKmqNyYs9bSAMDUaTbTcuA1v39sWr7GRqkDJ6EM

1gxo1pjTqjbee7rHW4cGvuNffX1qP4F8fP17g6SSC5EYbQrnktDrKSFB1uh4ju7PxQjprWFin37WUsAe225b9c6

Pe 6 septembrie 2024, veniturile din APT McDonald’s (deturnarea contului) au fost transferate la o adresă de depozit de cazinou.

CuNzegC9DE4CxCMn31ZcYLvtDaYsLD9RX8eRvmtZQrnB

Efectuând o analiză temporală, pot fi găsite retragerile ulterioare efectuate la scurt timp după depunere.

B2fwZt5nTbdrnJ2CPsgrYMPuB4UnhN82EAM34dXDARLh

Pe 12 septembrie 2024, B2fw a transferat 110 SOL la două adrese care au participat la rula de monede meme promovată în scurgerea Usher.

4FUrwoHz1fuUf4eR6YEAYSG9d9rN5fzbowMXtbjwJAhTDtHXjpnTb1sz6aeF6T79JaiMFyT2xX2EuTxqT5UhFfKD

427zpHF1WWgYgKxcSiUzwXLg2UqsF6xq7K13PU3mh6Wr99mipiVA6GcDTwi7EY93RJeRuEUDZAK9BnoMeki7sU6C

B2fw a transferat ulterior 4868 SOL la adresa de depozit al cazinoului ECb5v, care a fost direct legată de alte incidente APT (deturnare a contului), inclusiv încălcările Andy Ayrey și Enoshima Aquarium.

Ecb5vsomUG3MEnLCgiFvkdnnqpggTEXtN17z62iDPuU3

Pe 15 octombrie 2024, contul X al Acvariului Enoshima a fost compromis și a promovat o monedă meme la pachet. În acea zi, 84 SOL obținute din înșelătorie au fost transferați la ECb5v.

5PDjh74JTLMPW4dXr6fKm3Yue2j3vhbxLSK5dPbQ3oEGK4axE7fua1ngBMas4xpRY6dBr92Ccps7b1WwcLdnxXWL

Pe 29 octombrie 2024, contul X al lui Andy Ayrey (fondatorul Truth Terminal) a fost compromis timp de mai multe zile și a promovat 6 escrocherii cu monede meme. 3GVU-urile a fost una dintre adresele care au participat la graba de a cumpăra jetoanele.

3GVUs2gNr161ohqnVXjUeoNQmf3cELxKSiPrxyQu6pjd

Pe 30 octombrie 2024, 3GVU-urile au transferat 169 SOL către Ecb5vs.

67nwsLLE3aGua4VeH8p6qHc3SL3rpxi9omMxRnfpeyZVsBpZawnUHo4Pt4tdT5Vxny2uRNRDH3vSZ1fzvKkNCML4

Din cei 2,178 milioane de dolari preluați de la ATO Andy Ayrey, 750.000 de dolari au fost depuși la adresa de depozit al cazinoului Apc3e.

Apc3eA9ScQksuZvfURQswZwVkusEYRaqeKEv4eXXbRZm

0.1 SOL în Kabosu ATO finanțează o adresă care participă la Andy Ayrey ATO.

Pe 17 octombrie 2024, contul de Instagram al proprietarului Kabosu a fost compromis și a promovat o înșelătorie cu monede meme.

În acea zi, 191 SOL din înșelătorie a fost transferat la adresa de depozit a cazinoului:

6kwZ7tz8Xs7jaVqVJXZSRrZ2FtS2PPChEVuLXKrmMgCm

Incidentele APT (deturnarea contului) ale lui Kabosu și Andy Ayrey sunt direct legate de incidentul APT al lui Wiz Khalifa.

Pe 3 noiembrie 2023, un atacator a postat o adresă de portofel pe contul lui Wiz Khalifa. 29 SOL a fost transferat la 6kwZ7, așa cum sa întâmplat în Kabosu ATO.

NFCs23ddXQc9Zff2VJotEn2zaSAh4tvw6U6kb7fdXovZ8YPQgJMGQkXmtWiTutqnoBf6wR2khaKvFpyEKNhHfjJ

Finanțarea angajatorului pentru WIZ provine de la Andy Ayrey ATO. Alte adrese care au participat la rush au transferat toate veniturile din schimbul instantaneu la adresa de depunere a cazinoului 0x83ee.

0x83ee6b53a0ae76b71bed0c32721a451776dbdb3a

Pe 16 octombrie 2024, 0x83ee a primit 0,54 ETH de la distribuitorul escrocherii, iar SPX 6900 a fost compromis pe 11 octombrie 2024.

Pe Solana, o altă înșelătorie promovată de un cont SPX 6900 compromis a fost finanțată de atacatorul Ken Carson.

Pentru a dovedi în continuare relația dintre proprietarii Kabosu, SPX 6900, Ken Carson și Enoshima ATO, distribuitorul fiecărei monede meme a încercat să ascundă sursa fondurilor furnizând fonduri la adresa angajatorului anterior prin schimb instantaneu de fonduri.

Investigarea modului în care actorul de amenințări Serpent a trecut de la a fi un jucător profesionist Fortnite la a ajuta la furtul de 3,5 milioane de dolari într-o înșelătorie memecoin, scurgând peste 9 conturi pe X și IG și folosind veniturile pentru jocurile de noroc online.

Serpent (SerpentAU) este un fost jucător profesionist Fortnite din Australia, care a fost eliberat de organizația de esports „Overtime” în iunie 2020, după ce a fost găsit vinovat de înșelăciune. Apoi a co-fondat proiectul NFT DAPE în martie 2022, mai târziu tragerea covorului.

În martie 2024, Serpent a lansat un alt proiect numit ERROR, dar proiectul a suferit o tragere de covor, ceea ce a dus la interdicția lui de pe platforma X.

Adresa distribuitorului:

0x8233873ee35547097ccb9098adbab955d7120ee8

Pe 23 octombrie 2024, implementatorii ERROR au transferat un total de 29 ETH în două schimburi instantanee.

Efectuând o analiză de timp, se poate observa că fondurile au fost primite în Solana și transferate la aceeași adresă de depunere a cazinoului.

Ecb5vsomUG3MEnLCgiFvkdnnqpggTEXtN17z62iDPuU3

Mai multe ATO (activități de tranzacționare ofensive) legate direct de adresa de depozit Ecb5vs includ: McDonald's, Usher, Andy Ayrey, Dean Norris și Enoshima Aquarium. (Pentru conținut de urmărire detaliat, consultați începutul)

Serpent pariază milioane de dolari în fiecare lună pe Roobet, Stake, BC Game și Shuffle și deseori își împărtășește ecranul cu prietenii de pe Discord.

Am obținut înregistrări cu el jocuri de noroc în care mai multe adrese de depunere și retragere au fost scurse accidental.

ID Discord: 1269557350486904945

Într-un ecran partajat pe 1 noiembrie 2024, Serpent a distribuit o depunere de 100.000 USD și o retragere de 200.000 USD, transferate la adresa de mai jos.

La maparea tranzacțiilor, s-a descoperit că această adresă avea o expunere mai mare la adresele legate de McDonald’s, Andy Ayrey și Usher ATO.

0xb8c9c8a5756a7992df65f949b7c1423eeb435aa5

În cazul încălcării securității lui Andy Ayrey, un alt actor de amenințare a fost implicat în smulgerea acestor proiecte de escrocherie, folosind pseudonimul „Dex” (din Massachusetts, SUA).

A început să intre în panică după ce a fost menționat pe canalul meu Telegram săptămâna trecută și a inventat o poveste despre șantaj, susținând că a pierdut 700.000 de dolari.

Fondurile legate de aceste încălcări de securitate sunt deținute în prezent la următoarele adrese:

0xeb60a5242c1c97eb54195ec83de43bb26813c0d1

0x2355ac2929bb7051814de3c48670fccbb515d8be

4jjWZ8RaXZBqntnhu2JFidXEQWXgfKRbJQZdTHrdaqbv

Astăzi, după ce prima parte a investigației mele a fost publicată, Serpent a început să-și ștergă toate postările din noul cont X. Bănuiesc că există și unele ATO (activitate de tranzacție ofensivă) asociate pe care încă nu le-am putut urmări direct în lanț. În ceea ce privește unul dintre conturile compromise, am împărtășit un raport de investigație detaliat unei victime cu care lucrez.