Останнє розслідування ZachXBT: як професійні гравці «Fortnite» вкрали 3 мільйони доларів за допомогою мемів?

Оригінальний автор: zachxbt, Chain Detective Оригінальний збірник: zhouzhou, BlockBeats

Примітка редактора: у цій статті аналізується, як хакер Serpent захопив контроль над 9 обліковими записами в X та Instagram, включаючи McDonald's і Kabosu, запустив аферу з монетами Meme, викрав приблизно 3,5 мільйона доларів США та використав їх для азартних ігор у казино. Serpent був професійним гравцем (Fortnite), якого звільнили за шахрайство. У 2022 році NFT-проект DAPE, співзасновником якого він був, став Rug Pull, а проект ERROR, запущений у 2024 році, також зіткнувся з Rug Pull, і врешті був заборонений X.

Нижче наведено оригінальний вміст (оригінальний вміст було відредаговано для зручності читання та розуміння):

Протягом останніх кількох місяців я відстежував серію пов’язаних витоків інформації, пов’язаних із McDonald’s, Usher, власником Kabosu, Andy Ayrey, Wiz Khalifa, SPX 6900 тощо, що призвело до збитків приблизно на 3,5 мільйона доларів через випуск Крадіжка монет Pump Funmeme.

21 серпня 2024 року обліковий запис McDonald's в Instagram було зламано та опубліковано пост, що рекламує мем-монет GRIMACE, а потім хакери почали свою витівку. З цього викачування понад 690 000 доларів було переведено на два гаманці.

4RiNhTwBxYWgb4MSCtt9vXgVk2yuPhoQR3DR9pMVPU1W

2vjnmxwTYNJvTmFhtqxZkPiuCHkaKZK5rcxTLuoC2dPB

3 вересня 2024 року зловмисники McDonald's перемістили 101,5 SOL на дві адреси, які розгорнули та знищили SCHRADER після того, як обліковий запис X актора Діна Норріса було зламано.

4s9Uz9pTBXcEaEtcjs8eg98r2TVte3rq3JUm3rVTFMudfewGbNKmqNyYs9bSAMDUaTbTcuA1v39sWr7GRqkDJ6EM

1gxo1pjTqjbee7rHW4cGvuNffX1qP4F8fP17g6SSC5EYbQrnktDrKSFB1uh4ju7PxQjprWFin37WUsAe225b9c6

6 вересня 2024 року кошти від McDonald’s APT (викрадення облікового запису) були перераховані на адресу депозиту в казино.

CuNzegC9DE4CxCMn31ZcYLvtDaYsLD9RX8eRvmtZQrnB

Виконуючи часовий аналіз, можна знайти наступні зняття коштів, зроблені незабаром після депозиту.

B2fwZt5nTbdrnJ2CPsgrYMPuB4UnhN82EAM34dXDARLh

12 вересня 2024 року B2fw переказав 110 SOL на дві адреси, які брали участь у ажіотажі монет мемів, рекламованому під час витоку Usher.

4FUrwoHz1fuUf4eR6YEAYSG9d9rN5fzbowMXtbjwJAhTDtHXjpnTb1sz6aeF6T79JaiMFyT2xX2EuTxqT5UhFfKD

427zpHF1WWgYgKxcSiUzwXLg2UqsF6xq7K13PU3mh6Wr99mipiVA6GcDTwi7EY93RJeRuEUDZAK9BnoMeki7sU6C

Згодом B2fw перерахував 4868 SOL на депозитну адресу казино ECb5v, що було безпосередньо пов’язано з іншими інцидентами APT (викрадення облікового запису), зокрема зломи Енді Ейрі та Еношіма-Акваріум.

Ecb5vsomUG3MEnLCgiFvkdnnqpggTEXtN17z62iDPuU3

15 жовтня 2024 року обліковий запис X Enoshima Aquarium було зламано та рекламовано пакетну монету-мем. У той день 84 SOL, отримані в результаті шахрайства, були передані в ECb5v.

5PDjh74JTLMPW4dXr6fKm3Yue2j3vhbxLSK5dPbQ3oEGK4axE7fua1ngBMas4xpRY6dBr92Ccps7b1WwcLdnxXWL

29 жовтня 2024 року обліковий запис X Енді Ейрі (засновника Truth Terminal) було зламано протягом кількох днів і рекламувало 6 шахрайських шахраїв із монетами мемів. 3GVUs був однією з адрес, які брали участь у ажіотажній купівлі токенів.

3GVUs2gNr161ohqnVXjUeoNQmf3cELxKSiPrxyQu6pjd

30 жовтня 2024 року 3GVUs передали 169 SOL Ecb5vs.

67nwsLLE3aGua4VeH8p6qHc3SL3rpxi9omMxRnfpeyZVsBpZawnUHo4Pt4tdT5Vxny2uRNRDH3vSZ1fzvKkNCML4

З $2,178 мільйона, вилучених з Енді Ейрі АТО, $750 000 було внесено на депозитну адресу казино Apc3e.

Apc3eA9ScQksuZvfURQswZwVkusEYRaqeKEv4eXXbRZm

0,1 SOL в Kabosu ATO фінансує одну адресу, яка бере участь в Andy Ayrey ATO.

17 жовтня 2024 року обліковий запис власника Kabosu в Instagram був зламаний і рекламував шахрайство з мемами.

Того дня 191 SOL від шахрайства було перераховано на адресу депозиту казино:

6kwZ7tz8Xs7jaVqVJXZSRrZ2FtS2PPChEVuLXKrmMgCm

Інциденти APT (викрадення облікового запису) Кабосу та Енді Ейрі безпосередньо пов’язані з інцидентом APT Wiz Khalifa.

3 листопада 2023 року зловмисник опублікував адресу гаманця в акаунті Wiz Khalifa. 29 SOL було передано 6kwZ7, як це сталося в Кабосу АТО.

NFCs23ddXQc9Zff2VJotEn2zaSAh4tvw6U6kb7fdXovZ8YPQgJMGQkXmtWiTutqnoBf6wR2khaKvFpyEKNhHfjJ

Фінансування WIZ надходить від Andy Ayrey ATO. Інші адреси, які брали участь у акції, переказували всі кошти від миттєвого обміну на адресу депозиту казино 0x83ee.

0x83ee6b53a0ae76b71bed0c32721a451776dbdb3a

16 жовтня 2024 року 0x83ee отримав 0,54 ETH від розгортача шахрайства, а SPX 6900 було зламано 11 жовтня 2024 року.

На Solana інше шахрайство, яке рекламується за допомогою зламаного облікового запису SPX 6900, фінансував зловмисник Кен Карсон.

Щоб додатково підтвердити зв’язок між власниками Kabosu, SPX 6900, Кеном Карсоном і Enoshima ATO, кожен розгортач мем-монет намагався приховати джерело коштів, надаючи кошти на адресу попереднього розгортача шляхом миттєвого обміну.

Розслідування того, як актор-загроза Серпент пройшов шлях від професійного гравця у Fortnite до допомоги вкрасти 3,5 мільйона доларів у шахрайстві з мемкойнами, видавши 9+ облікових записів на X та IG, і використавши виручені гроші для азартних ігор в онлайн-казино.

Серпент (SerpentAU) — колишній професійний гравець у Fortnite з Австралії, який був звільнений кіберспортивною організацією «Overtime» у червні 2020 року після того, як його визнали винним у шахрайстві. Потім він став співзасновником NFT-проекту DAPE у березні 2022 року, пізніше — тягання килима.

У березні 2024 року Serpent запустив ще один проект під назвою ERROR, але проект зазнав негативних наслідків, у результаті чого його забанили на платформі X.

Адреса розробника:

0x8233873ee35547097ccb9098adbab955d7120ee8

23 жовтня 2024 року розгортачі ERROR перевели загалом 29 ETH на дві миттєві біржі.

Провівши аналіз часу, можна побачити, що кошти були отримані в Solana та переведені на ту саму адресу депозиту в казино.

Ecb5vsomUG3MEnLCgiFvkdnnqpggTEXtN17z62iDPuU3

Деякі ATO (наступальна торгова діяльність), пов’язані безпосередньо з адресою депозиту Ecb5vs, включають: McDonald's, Usher, Andy Ayrey, Dean Norris та Enoshima Aquarium. (Детальний вміст відстеження див. на початку)

Серпент грає мільйони доларів щомісяця на Roobet, Stake, BC Game та Shuffle і часто ділиться своїм екраном з друзями в Discord.

Я отримав записи його азартних ігор, у яких випадково злилися численні адреси для внесення та зняття коштів.

ID Discord: 1269557350486904945

На екрані 1 листопада 2024 року Serpent поділився депозитом у розмірі 100 тис. доларів США та зняттям коштів у розмірі 200 тис. доларів США, переказаними на вказану нижче адресу.

Під час зіставлення транзакцій було виявлено, що ця адреса має більший вплив на адреси, пов’язані з McDonald’s, Andy Ayrey та Usher ATO.

0xb8c9c8a5756a7992df65f949b7c1423eeb435aa5

У випадку з порушенням безпеки Енді Ейрі до вилучення цих шахрайських проектів був залучений інший загрозливий актор під псевдонімом «Декс» (з Массачусетсу, США).

Він почав панікувати після того, як його згадали в моєму каналі Telegram минулого тижня, і вигадав історію про те, що його шантажували, заявивши, що він втратив 700 тисяч доларів.

Кошти, пов’язані з цими порушеннями безпеки, наразі зберігаються за такими адресами:

0xeb60a5242c1c97eb54195ec83de43bb26813c0d1

0x2355ac2929bb7051814de3c48670fccbb515d8be

4jjWZ8RaXZBqntnhu2JFidXEQWXgfKRbJQZdTHrdaqbv

Сьогодні, після публікації першої частини мого розслідування, Serpent почав видаляти всі свої публікації в новому обліковому записі X. Я підозрюю, що є також певна пов’язана ATO (наступальна активність транзакцій), яку я ще не зміг відстежити безпосередньо в ланцюжку. Щодо одного зі зламаних облікових записів, я поділився детальним звітом про розслідування з жертвою, з якою я працюю.

"Оригінальне посилання"