今年 2 月,一款假冒加密货币钱包不知何故逃过了苹果严格的应用审核流程,导致毫无戒心的用户损失了约 160 万美元。《杂志》通过区块链上的线索,找出了假冒钱包背后的黑手。
这款冒充 DeBanks Rabby Wallet 的欺诈性应用程序在 App Store 上停留了四天,窃取了多名受害者的资金,随后被苹果公司下架。
我从来没有想过这会是一个骗局,因为我完全信任苹果应用商店。大约 20 到 30 分钟后,我打开了我的 Rabby 笔记本电脑钱包,发现我的余额基本上已经为零,一位假 Rabby 钱包的受害者告诉杂志。
最早曝光该骗局的受害者之一是 X 用户 Bthemouth,他报告说他的资金已被转移到 Rabby Drainer (RD) 钱包 0x652…0371F。
区块链分析将 RD 钱包与 0x44Bd9E480 联系起来,该钱包最初在 NFT 市场 OpenSea 上被标记为 Konpyl。虽然账户名称后来已更改,但其原始标签仍可在 Arkham Intelligence 上验证,Arkham Intelligence 是一个跟踪 OpenSea 账户等的区块链数据平台。
据《杂志》证实,一名私家侦探正在与当局合作调查此案,他声称,他的调查将“Konpyl”与至少 20 起案件联系在一起,而《杂志》已独立证实了与其中 7 起案件有联系。
这些骗局的共同点是 Konpyl 地址。
“他这样做大约有七年了,他追踪的是那些将毕生积蓄投入这些东西的用户,而不是像那些大型协议那样,”调查员告诉《杂志》。
调查人员与《杂志》分享了“了解你的客户”(KYC)记录的图像,据称这些记录是通过与诈骗相关的地址提交给众多交易所的。
Magazine 看到的文件与迪拜投资公司 Moonward Capital 的首席执行官 Konstantin Pylinskiy 有关,他使用 X 和 Telegram 账号 @konpyl。然而,一些虚假的 KYC 凭证和别名也被用于开设账户,因此 Magazine 并没有暗示 Pylinskiy 就是 Konpyl,只是说这个名字与账户有关。
最初,Konpyl 在 Telegram 上向 Magazine 致意,询问“有什么可以帮您的吗?”但当被要求澄清 Konstantin Pylinskiy、Konpyl 网络人物和 Rabby 钱包骗局之间的关系时,他停止了回应。
《杂志》曾尝试通过其他渠道联系皮林斯基,但他没有回应。
Moonward Capital 也没有回应杂志对此事发表评论的请求。
《杂志》已向美国政府机构确认,正在进行的调查与 Konpyl 地址有关。
Konpyl 钱包的最新入站交易来自 Etherscan 上标有 Fake_Phishing 标签的地址。它与 Konpyl 的交互是唯一的出站交易。
虚假的 Rabby Wallet-Konpyl 连接
Bthemouth 告诉《杂志》,他在我的账户中安装了“流失机器人”,指的是一种旨在抽走资金的自动脚本。即使过了这么多个月,它仍然活跃。
Rabby Drainer 攻击者采取多种措施掩盖其踪迹,例如将犯罪所得分成多个钱包,并使用 DeFi 服务掩盖证据并融入人群。
骗子随后频繁将大量资金整合到后续钱包中,存入中心化交易所。即使经过这样的混淆,RD 和 Konpyl 之间仍然存在联系。
Bthemouth 挪用的资金流向了 Rhino,这是 Rabby 钱包骗子经常光顾的多链桥。骗子将代币存入 Rhino,然后通过另一个钱包将其取出。
2 月 15 日至 18 日期间,RD 又骗取了多名受害者的资金,大部分收益都是 ERC-20 代币。2 月 19 日,这些代币通过 Uniswap 和 1inch 等 DeFi 服务兑换成 52 ETH(当时约合 15.1 万美元)。
当天晚些时候,这些资金转移到钱包 0xCE6A…b2Ac5,该钱包与 Bthemouth 的钱以及另外 7 个 ETH 一起,将价值约 173,000 美元的以太币转移到了 Rhino。
Onchain 侦探 Tay 和 SomaXBT 确认钱包 0x4E93…c71C2 是 Rhino 输出的接收者。它通过三笔交易获得了 173,388 美元的 USDT,第一批款项在首次存款后约 10 分钟到达。
区块链记录显示,同一个 Rhino 输出钱包在 2 月至 7 月之间的六个月内从 Konpyl 获得了近 10 万美元。
这些资金最终流向 OKX。
诈骗者似乎使用了多家交易所,通常每家交易所使用多个存款地址。
在分析涉嫌与黑客有关的钱包时,其首笔入站交易通常会为相关钱包留下重要线索。有时,它们可以显示谁为钱包支付了 gas 费。
但这并不是 Konpyl 相关骗局的特征。
私家侦探说,[Konpyl] 用受害者的钱包为这些账户提供资金。
他会从其他黑客那里拿钱来资助这些黑客钱包,所以你不知道这是他。
另请阅读
特征
比特币发薪日?加密货币能否彻底改变工资水平
特征
现实生活中的加密货币 OG 内部指南:第 1 部分
兔子钱包消耗器总损坏
包括 RD(估计从受害者手中盗取了 152,257 美元)在内,公开受害者报告确定的地址至少有 10 个。在用户从 App Store 下载二月份的假 Rabby 钱包后,这些地址造成了超过 100 万美元的损失。
2 月份的事件并不是 App Store 上第一次出现假冒 Rabby 钱包。2023 年底,另一起骗局利用至少另外两个与 Konpyl 相关的钱包从受害者手中骗走了约 93,000 美元。
《杂志》已确认,较早的 Rabby 钱包诈骗与 Konpyl 有关,资金流向指向与 Bthemouths 案中使用的相同 Rhino 输出地址。
这位私家侦探告诉《杂志》,另有三个可疑钱包被怀疑与“Rabby”钱包骗局有关,共盗取了 278,872 美元,尽管这些案件并未被受害者公开报告。
此外,Magazine 还发现至少还有三个钱包不属于 Rabby 假钱包计划,而是使用其他手段窃取资金,例如在社交媒体上分享钓鱼链接。这三个钱包还显示与 Konpyl 有联系,它们使用一个共同的 OKX 存款地址作为 Rabby 钱包骗子,并将资金转移到 Rhino 输出钱包。
他们总共从受害者手中骗取了 93,261 美元,使得与 Rabby 假钱包事件相关的损失估计达到至少 160 万美元。
另请阅读
特征
比特币普及之路由整数铺就
专题 如何在 2023 年重振“元宇宙之梦”
与假冒 Rabby 钱包相关的其他骗局
私人调查员发现的区块链记录显示,2024 年 Rabby 钱包骗局并不是第一个与 Konpyl 地址有紧密区块链联系的非法活动。
例如,Reddit 上的一份受害者报告称,一名用户的资金被钱包 0x00004e9Aba 盗走(我们将其称为 Ledger Scam 的 LS1)。仔细观察 LS1 会发现,其存款策略与 2024 Rabby 假钱包骗局中使用的存款策略类似。
2020 年,LS1 使用存款地址 0x05a8a21e6 (YB1) 将资金转入加密货币交易所 Yobit。
LS1 频繁与 0x1111858eB (LS2) 交互,从 2020 年 4 月开始的一年内,在 14 笔交易中相互发送和接收了超过 51,000 美元的加密货币。
这两个钱包似乎在 Yobit 上使用不同的存款地址,因为 LS2 偏爱 0x7e17873cE (YB2)。
当时,Konpyl 经常使用 YB2 将资金转移到 Yobit。从 2020 年 9 月到 2021 年 2 月,Konpyl 通过 23 笔交易发送了超过 41,000 美元的 ETH。
YB1 和 YB2 进一步通过 0xBd7D…A2DB7 连接。它使用第二个存款地址五次存入 196,000 美元的 ETH,同时向 YB1 记录 2.4 ETH 交易。
该钱包还拥有两笔来自 Konpyl 的直接交易,金额为 6 ETH。
另请阅读
不稳定币种的特点:脱钩、银行挤兑和其他风险迫在眉睫
特征 DAO 是否被过度炒作且不可行?来自前线的教训
对假冒 Rabby 钱包和其他诈骗行为的调查仍在继续
我的目标之一是让苹果公司停止胡闹,并打击应用商店中的诈骗者。“几个月前我向苹果公司报告了此事,但一直没有得到回复,”调查员告诉《杂志》。
竞争对手科技巨头谷歌今年早些时候曾开创了应对此类欺诈行为的先例,当时该公司起诉了一群涉嫌加密货币诈骗的人,指控他们通过在其市场 Google Play 上上传可疑应用程序,欺骗了超过 10 万人。
Bthemouth 已放弃恢复努力并表示他已经尽了一切努力。
很早就成立了一个受害者小组,但现在大家仍继续自己的生活。
“这是一条死路,”Bthemouth 说。
但受害者仍然有一些希望。
执法机构和私人区块链侦探的调查仍在进行中,Konpyl 和相关钱包仍然是怀疑的焦点。
订阅
区块链领域最引人入胜的读物。每周发布一次。
电子邮件
订阅
