Cuộc điều tra mới nhất của ZachXBT: Làm thế nào một chuyên gia Fortnite đã đánh cắp 3 triệu đô la bằng cách sử dụng trò lừa đảo meme?

Tác giả: zachxbt, thám tử trên chuỗi
Bản tổng hợp gốc: zhouzhou, BlockBeats

Lưu ý của người biên tập: Bài viết này phân tích cách hacker Serpent kiểm soát 9 tài khoản trên X và Instagram, bao gồm cả McDonald's và Kabosu, thực hiện một vụ lừa đảo bằng đồng xu Meme, đánh cắp khoảng 3,5 triệu đô la Mỹ và sử dụng nó để đánh bạc trong sòng bạc. Serpent là một người chơi chuyên nghiệp (Fortnite) đã bị chấm dứt hợp đồng vì gian lận. Vào năm 2022, dự án NFT DAPE do anh đồng sáng lập đã gặp phải Rug Pull, và dự án LỖI ra mắt vào năm 2024 cũng gặp phải Rug Pull và cuối cùng bị X.

Sau đây là nội dung gốc (nội dung gốc đã được chỉnh sửa cho dễ đọc và dễ hiểu):

Tôi đã theo dõi một loạt vụ rò rỉ liên quan trong vài tháng qua liên quan đến McDonald's, Usher, chủ sở hữu của Kabosu, Andy Ayrey, Wiz Khalifa, SPX 6900, v.v., dẫn đến khoản lỗ khoảng 3,5 triệu đô la thông qua việc phát hành cuốn sách. Bơm trộm xu Funmeme.

Vào ngày 21 tháng 8 năm 2024, tài khoản Instagram của McDonald's bị xâm phạm và một bài đăng được xuất bản quảng cáo đồng xu meme đi kèm GRIMACE, sau đó tin tặc bắt đầu trò đùa của chúng. Từ đợt bơm và xả này, hơn 690.000 USD đã được chuyển vào hai ví.

4RiNhTwBxYWgb4MSCtt9vXgVk2yuPhoQR3DR9pMVPU1W

2vjnmxwTYNJvTmFhtqxZkPiuCHkaKZK5rcxTLuoC2dPB

Vào ngày 3 tháng 9 năm 2024, những kẻ tấn công McDonald's đã chuyển 101,5 SOL đến hai địa chỉ đã triển khai và bắn tỉa SCHRADER sau khi tài khoản X của diễn viên Dean Norris bị hack.

4s9Uz9pTBXcEaEtcjs8eg98r2TVte3rq3JUm3rVTFMudfewGbNKmqNyYs9bSAMDUaTbTcuA1v39sWr7GRqkDJ6EM

1gxo1pjTqjbee7rHW4cGvuNffX1qP4F8fP17g6SSC5EYbQrnktDrKSFB1uh4ju7PxQjprWFin37WUsAe225b9c6

Vào ngày 6 tháng 9 năm 2024, số tiền thu được từ APT (chiếm tài khoản) của McDonald's đã được chuyển đến địa chỉ gửi tiền vào sòng bạc.

CuNzegC9DE4CxCMn31ZcYLvtDaYsLD9RX8eRvmtZQrnB

Bằng cách thực hiện phân tích theo thời gian, có thể tìm thấy các lần rút tiền tiếp theo được thực hiện ngay sau khi gửi tiền.

B2fwZt5nTbdrnJ2CPsgrYMPuB4UnhN82EAM34dXDARLh

Vào ngày 12 tháng 9 năm 2024, B2fw đã chuyển 110 SOL đến hai địa chỉ tham gia cơn sốt meme coin được quảng bá trong vụ rò rỉ Usher.

4FUrwoHz1fuUf4eR6YEAYSG9d9rN5fzbowMXtbjwJAhTDtHXjpnTb1sz6aeF6T79JaiMFyT2xX2EuTxqT5UhFfKD

427zpHF1WWgYgKxcSiUzwXLg2UqsF6xq7K13PU3mh6Wr99mipiVA6GcDTwi7EY93RJeRuEUDZAK9BnoMeki7sU6C

B2fw sau đó đã chuyển 4868 SOL đến địa chỉ gửi tiền vào sòng bạc ECb5v, địa chỉ này có liên quan trực tiếp đến các sự cố APT (chiếm đoạt tài khoản) khác, bao gồm cả vụ vi phạm của Andy Ayrey và Thủy cung Enoshima.

Ecb5vsomUG3MEnLCgiFvkdnnqpggTEXtN17z62iDPuU3

Vào ngày 15 tháng 10 năm 2024, tài khoản X của Thủy cung Enoshima đã bị xâm phạm và quảng cáo một đồng meme đi kèm. Vào ngày hôm đó, 84 SOL thu được từ vụ lừa đảo đã được chuyển sang ECb5v.

5PDjh74JTLMPW4dXr6fKm3Yue2j3vhbxLSK5dPbQ3oEGK4axE7fua1ngBMas4xpRY6dBr92Ccps7b1WwcLdnxXWL

Vào ngày 29 tháng 10 năm 2024, tài khoản X của Andy Ayrey (người sáng lập Truth Terminal) đã bị xâm phạm trong nhiều ngày và quảng bá 6 trò lừa đảo meme coin. 3GVU là một trong những địa chỉ tham gia vào cuộc đua mua token.

3GVUs2gNr161ohqnVXjUeoNQmf3cELxKSiPrxyQu6pjd

Vào ngày 30 tháng 10 năm 2024, 3GVU đã chuyển 169 SOL sang Ecb5vs.

67nwsLLE3aGua4VeH8p6qHc3SL3rpxi9omMxRnfpeyZVsBpZawnUHo4Pt4tdT5Vxny2uRNRDH3vSZ1fzvKkNCML4

Trong số 2,178 triệu USD được lấy từ Andy Ayrey ATO, 750.000 USD đã được gửi vào địa chỉ gửi tiền sòng bạc Apc3e.

Apc3eA9ScQksuZvfURQswZwVkusEYRaqeKEv4eXXbRZm

0,1 SOL trong Kabosu ATO tài trợ cho một địa chỉ tham gia Andy Ayrey ATO.

Vào ngày 17 tháng 10 năm 2024, tài khoản Instagram của chủ sở hữu Kabosu đã bị xâm phạm và quảng bá một trò lừa đảo meme coin.

Vào ngày hôm đó, 191 SOL từ vụ lừa đảo đã được chuyển đến địa chỉ gửi tiền vào sòng bạc:

6kwZ7tz8Xs7jaVqVJXZSRrZ2FtS2PPChEVuLXKrmMgCm

Sự cố APT (chiếm tài khoản) của Kabosu và Andy Ayrey có liên quan trực tiếp đến sự cố APT của Wiz Khalifa.

Vào ngày 3 tháng 11 năm 2023, kẻ tấn công đã đăng địa chỉ ví lên tài khoản của Wiz Khalifa. 29 SOL đã được chuyển sang 6kwZ7, như đã xảy ra ở Kabosu ATO.

NFCs23ddXQc9Zff2VJotEn2zaSAh4tvw6U6kb7fdXovZ8YPQgJMGQkXmtWiTutqnoBf6wR2khaKvFpyEKNhHfjJ

Nguồn tài trợ của người triển khai cho WIZ đến từ Andy Ayrey ATO. Các địa chỉ khác tham gia cuộc đua gấp rút đã chuyển tất cả số tiền thu được từ giao dịch tức thời sang địa chỉ gửi tiền sòng bạc 0x83ee.

0x83ee6b53a0ae76b71bed0c32721a451776dbdb3a

Vào ngày 16 tháng 10 năm 2024, 0x83ee đã nhận được 0,54 ETH từ người triển khai vụ lừa đảo và SPX 6900 đã bị xâm phạm vào ngày 11 tháng 10 năm 2024.

Trên Solana, một trò lừa đảo khác được quảng bá bởi tài khoản SPX 6900 bị xâm nhập được tài trợ bởi kẻ tấn công Ken Carson.

Để chứng minh thêm mối quan hệ giữa chủ sở hữu Kabosu, SPX 6900, Ken Carson và Enoshima ATO, người triển khai mỗi đồng meme đã cố gắng che giấu nguồn tiền bằng cách cung cấp tiền đến địa chỉ của người triển khai trước đó bằng cách trao đổi tiền ngay lập tức.

Điều tra xem kẻ đe dọa Serpent đã đi từ một người chơi Fortnite chuyên nghiệp đến việc giúp đánh cắp 3,5 triệu đô la trong một vụ lừa đảo memecoin bằng cách rò rỉ hơn 9 tài khoản trên X và IG, đồng thời sử dụng số tiền thu được để đánh bạc ở sòng bạc trực tuyến.

Serpent (SerpentAU) là một cựu người chơi Fortnite chuyên nghiệp đến từ Úc, người đã được tổ chức thể thao điện tử "Overtime" trả tự do vào tháng 6 năm 2020 sau khi anh ta bị kết tội gian lận. Sau đó, anh đồng sáng lập dự án NFT DAPE vào tháng 3 năm 2022, sau đó là kéo thảm.

Vào tháng 3 năm 2024, Serpent khởi động một dự án khác có tên ERROR, nhưng dự án đã trải qua một đợt kéo thảm, dẫn đến việc anh ta bị cấm tham gia nền tảng X.

Địa chỉ người triển khai:

0x8233873ee35547097ccb9098adbab955d7120ee8

Vào ngày 23 tháng 10 năm 2024, những người triển khai ERROR đã chuyển tổng cộng 29 ETH sang hai sàn giao dịch tức thì.

Bằng cách thực hiện phân tích thời gian, có thể thấy rằng số tiền đã được nhận vào Solana và được chuyển đến cùng một địa chỉ gửi tiền vào sòng bạc.

Ecb5vsomUG3MEnLCgiFvkdnnqpggTEXtN17z62iDPuU3

Một số ATO (hoạt động giao dịch tấn công) được liên kết trực tiếp với địa chỉ gửi tiền Ecb5vs bao gồm: McDonald's, Usher, Andy Ayrey, Dean Norris và Thủy cung Enoshima. (Nội dung theo dõi chi tiết vui lòng xem phần đầu)

Serpent đánh bạc hàng triệu đô la mỗi tháng trên Roobet, Stake, BC Game và Shuffle, đồng thời thường chia sẻ màn hình của mình với bạn bè trên Discord.

Tôi đã thu được các đoạn ghi âm ghi lại cảnh anh ta đánh bạc trong đó nhiều địa chỉ gửi và rút tiền vô tình bị rò rỉ.

Mã số Discord: 1269557350486904945

Trong một màn hình chia sẻ vào ngày 1 tháng 11 năm 2024, Serpent đã chia sẻ khoản tiền gửi 100 nghìn đô la và khoản rút 200 nghìn đô la, được chuyển đến địa chỉ bên dưới.

Khi lập bản đồ các giao dịch, người ta phát hiện ra rằng địa chỉ này có mức độ hiển thị cao hơn với các địa chỉ liên quan đến McDonald's, Andy Ayrey và Usher ATO.

0xb8c9c8a5756a7992df65f949b7c1423eeb435aa5

Trong trường hợp Andy Ayrey vi phạm an ninh, một kẻ đe dọa khác đã tham gia giật lấy các dự án lừa đảo này, sử dụng bút danh “Dex” (đến từ Massachusetts, Mỹ).

Anh ta bắt đầu hoảng sợ sau khi được nhắc đến trên kênh Telegram của tôi vào tuần trước và bịa ra một câu chuyện về việc bị tống tiền, cho rằng anh ta đã mất 700 nghìn đô la.

Các khoản tiền liên quan đến các vi phạm an ninh này hiện đang được giữ tại các địa chỉ sau:

0xeb60a5242c1c97eb54195ec83de43bb26813c0d1

0x2355ac2929bb7051814de3c48670fccbb515d8be

4jjWZ8RaXZBqntnhu2JFidXEQWXgfKRbJQZdTHrdaqbv

Hôm nay sau khi phần đầu tiên của cuộc điều tra của tôi được xuất bản, Serpent bắt đầu xóa tất cả các bài đăng của mình trên tài khoản X mới. Tôi nghi ngờ cũng có một số ATO (hoạt động giao dịch tấn công) liên quan mà tôi chưa thể theo dõi trực tiếp trên chuỗi. Về một trong những tài khoản bị xâm phạm, tôi đã chia sẻ báo cáo điều tra chi tiết với nạn nhân mà tôi đang làm việc cùng.