Ничего не подозревающие пользователи потеряли около 1,6 миллиона долларов из-за поддельного криптовалютного кошелька, который каким-то образом проскользнул через строгий процесс проверки приложений Apple в феврале. Журнал отслеживает цепочку подсказок в блокчейне, чтобы выяснить, кто стоит за поддельным кошельком.

Мошенническое приложение, выдававшее себя за Rabby Wallet DeBank, оставалось в App Store в течение четырех дней, выкачивая средства у нескольких жертв, прежде чем Apple удалила его.

“Я ни разу не думал, что это будет мошенничество, поскольку я полностью доверял Apple App Store. Примерно через 20-30 минут я открыл свой кошелек для ноутбука Rabby и увидел, что мой баланс практически обнулился ”, - рассказывает журналу жертва поддельного кошелька Rabby.

Одной из первых жертв, сообщивших о мошенничестве, был пользователь X Bthemouth, который сообщил, что его средства были переведены на кошелек Rabby Drainer (RD) “0x652 ... 0371F”.

Анализ блокчейна связывает кошелек RD с “0x44Bd ... 9E480”, который изначально был помечен как “Konpyl” на торговой площадке NFT OpenSea. Хотя название аккаунта с тех пор было изменено, его первоначальный ярлык все еще можно проверить на Arkham Intelligence, платформе блокчейн-данных, которая, среди прочего, отслеживает аккаунты OpenSea.

Частный детектив, который, как подтвердил журнал, сотрудничает по этому делу с властями, утверждает, что его расследование связывает “Konpyl” с более крупной сетью, состоящей по меньшей мере из 20 дел, и журнал независимо подтвердил ссылки на семь из них.

Общим знаменателем для этой череды мошенничеств является адрес Konpyl.

“Он занимается этим около семи лет, [и] он преследует пользователей, которые вкладывают свои сбережения в некоторые из этих вещей, а не в большие протоколы”, - рассказывает журналу следователь.

Следователь поделился с журналом изображениями записей Know Your Customer (KYC), которые, как утверждается, были отправлены на многочисленные биржи по адресам, связанным с мошенниками.

Документы, увиденные журналом, связаны с “Константином Пылинским”, генеральным директором базирующейся в Дубае инвестиционной компании Moonward Capital, который использует X и подписывается в Telegram “@konpyl”. Однако для открытия учетных записей также использовались несколько поддельных учетных данных KYC и псевдонимов, поэтому журнал не предполагает, что Пылинский является Konpyl — просто имя связано с учетными записями.

Изначально Konpyl приветствовал журнал в Telegram словами “Чем я могу вам помочь?”. Но когда его попросили прояснить связь между Константином Пылинским, онлайн-персоной Konpyl, и мошенничеством с кошельком Rabby, он перестал отвечать.

Журнал попытался связаться с Пылинским по альтернативным каналам, но он не ответил.

Moonward Capital также не ответила на просьбу журнала прокомментировать эту историю.

Журнал подтвердил правительственному агентству США, что продолжающееся расследование связано с адресом Konpyl.

Последняя входящая транзакция на кошелек Konpyl была совершена с адреса, помеченного ярлыком “Fake_Phishing” на Etherscan. Его взаимодействие с Konpyl является единственной исходящей транзакцией.

Поддельный кошелек Rabby-Konpyl connection

“У него был сливной бот в моем аккаунте”, - сообщает Bthemouth журналу, имея в виду автоматический скрипт, предназначенный для перекачки средств. “Даже спустя все эти месяцы он все еще активен”.

Мошенник Rabby Drainer предпринимает множество шагов, чтобы скрыть свои следы, например, распределяет преступные доходы по нескольким кошелькам и использует сервисы DeFi, чтобы скрыть улики и слиться с толпой.

Затем мошенник часто переводит большие суммы средств на последующие кошельки для внесения депозитов на централизованных биржах. Даже после таких попыток запутывания между RD и Konpyl существуют связи.

Выведенные средства Bthemouth были переведены на Rhino, мультицепочечный мост, которым часто пользуется мошенник с кошельком Rabby. Мошенник перевел токены на Rhino и вывел их через другой кошелек.

В период с 15 по 18 февраля RD обезвредила еще нескольких жертв, большая часть выручки была переведена в токены ERC-20. 19 февраля эти токены были конвертированы в 52 ETH (примерно 151 000 долларов на тот момент) с помощью сервисов DeFi, таких как Uniswap и 1inch.

Позже в тот же день средства поступили на кошелек “0xCE6A ... b2Ac5”, который вместе с деньгами Bthemouth и дополнительными 7 ETH перевел примерно 173 000 долларов в эфире Rhino.

Детективы Onchain Tay и SomaXBT идентифицировали кошелек “0x4E93 ... c71C2” в качестве получателя вывода Rhino. В результате трех транзакций было получено 173 388 долларов в USDT, причем первая партия поступила примерно через 10 минут после первоначального депозита.

Записи блокчейна показывают, что тот же кошелек Rhino output получил почти 100 000 долларов от Konpyl за шесть ежемесячных транзакций в период с февраля по июль.

Эти средства в конечном итоге попадают в OKX.

Мошенник, похоже, использует несколько бирж, обычно используя более одного адреса для пополнения счета на биржу.

При анализе кошельков, подозреваемых в причастности к взломам, их первые входящие транзакции часто оставляют важные подсказки для связанных кошельков. Иногда они могут показать, кто финансировал платежи кошелька за газ.

Но это не характерно для мошенничеств, связанных с Konpyl.

“[Konpyl] пополняет эти счета с кошельков жертв”, - говорит частный детектив.

“Он берет деньги у других хакеров для финансирования этих хакерских кошельков, так что вы понятия не имеете, что это он”.

Общий ущерб от утечки кошелька Rabby

Включая RD, которая отняла у жертв около 152 257 долларов, в публичных отчетах о жертвах указано по меньшей мере 10 адресов. Эти адреса повинны в убытках более чем в 1 миллион долларов после того, как пользователи скачали февральский поддельный кошелек Rabby wallet из App Store.

Февральский инцидент был не первым случаем появления поддельного кошелька Rabby в App Store. В конце 2023 года в другой итерации мошенничества использовались по меньшей мере два других кошелька, связанных с Konpyl, чтобы вывести из жертв около 93 000 долларов.

Журнал подтвердил, что более старая афера с кошельком Rabby связана с Konpyl, а маршруты фондов указывают на тот же адрес вывода Rhino, который использовался в случае с Bthemouth.

Частный детектив сообщил журналу, что из трех других подозрительных кошельков, подозреваемых в причастности к схеме Rabby wallet, было выведено 278 872 доллара, хотя жертвы публично не сообщали об этих случаях.

Кроме того, журналу известно по меньшей мере еще о трех кошельках, которые не были частью схемы поддельных кошельков Rabby, но крали средства, используя другие тактики, такие как фишинговые ссылки, которыми делились в социальных сетях. Эта тройка кошельков также отображает связи с Konpyl, используя общий адрес депозита OKX в качестве мошеннического кошелька Rabby и переводя средства на выходной кошелек Rhino.

Вместе они забрали у жертв 93 261 доллар, в результате чего предполагаемый ущерб, связанный с сагой о поддельных кошельках Rabby, составил не менее 1,6 миллиона долларов.

Другие мошенничества, связанные с поддельным кошельком Rabby

Мошенничество с кошельком Rabby в 2024 году - не первая незаконная деятельность, тесно связанная с блокчейн-адресом Konpyl, свидетельствуют записи блокчейна, идентифицированные частным детективом.

Например, в отчете жертвы на Reddit говорится, что средства пользователя были выведены с кошелька “0x0000 ... 4e9Aba” (который мы обозначаем как LS1 для мошенничества с бухгалтерской книгой). Более пристальный взгляд на LS1 показывает, что стратегии пополнения похожи на те, которые использовались в схемах фальшивых кошельков Rabby 2024 года.

В 2020 году LS1 использовал адрес депозита “0x05a8 ... a21e6” (YB1) для перевода средств на криптовалютную биржу Yobit.

LS1 часто взаимодействует с “0x1111 ... 858eB” (LS2), отправляя и получая криптовалюту на сумму более 51 000 долларов друг с другом в течение 14 транзакций в течение года, начиная с апреля 2020 года.

Похоже, что два кошелька используют разные адреса для пополнения счета на Yobit, поскольку LS2 предпочитает “0x7e17 ... 873cE” (YB2).

В то время Konpyl регулярно использовала YB2 для перевода средств на Yobit. Konpyl отправила более 41 000 долларов ETH в 23 транзакциях с сентября 2020 по февраль 2021 года.

YB1 и YB2 дополнительно связаны “0xBd7D ... A2DB7”. Он пять раз использует второй адрес депозита на сумму 196 000 долларов в ETH при регистрации транзакции в 2,4 ETH на YB1.

На этом кошельке также есть две прямые транзакции от Konpyl за 6 ETH.

Расследование поддельного кошелька Rabby и других мошенничеств продолжается

“Одна из моих целей для Apple - оторвать задницу от земли и заняться мошенниками в их App Store. Я сообщил в Apple несколько месяцев назад, но ответа так и не получил”, - рассказывает журналу следователь.

Конкурирующий технологический гигант Google ранее создал прецедент реагирования на подобные схемы мошенничества в начале этого года, когда подал в суд на группу предполагаемых крипто-мошенников за обман более 100 000 человек путем загрузки сомнительных приложений на свою торговую площадку Google Play.

Bthemouth отказался от попыток восстановления и говорит, что он уже сделал “все”, что мог.

Группа жертв была сформирована на раннем этапе, но к настоящему моменту “все продолжали жить своей жизнью”.

“Это тупик”, - говорит Bthemouth.

Но у жертв все еще есть некоторая надежда.

Расследования, проводимые правоохранительными органами и частными детективами по блокчейну, продолжаются, и Konpyl и связанные с ним кошельки остаются в центре подозрений.

Источник

4 октября она пытается оплатить покупку в супермаркете, но оплата не проходит по причине, что на карте недостаточно средств. Она пробует повторно, результат тот же. Очень удивляется, решает зайти в Сбербанк и перевести денег со Сбербанка на карту ВТБ. И выясняет, что ее личный кабинет СБЕРБАНК заблокирован. Идет в отделение Сбербанка. Сперва ей говорят подождать час. но она уже заподозрила неладное и потребовала разобраться в ситуации здесь и сейчас. Кабинет ей разблокировали и... посыпались пуш-уведомления с кодами подтверждения перевода денег со вклада на обычный счет, а с него - на ВТБ. Все деньги были выведены на ее счет ВТБ. А потом личный кабинет заблокирован. Сотрудники банка не пояснили, по какой причине ( подозреваю, банк таки засомневался. с какого перепуга клиентка. которая не переводила никогда больше 1000 рублей стала ночью переводить сотни тысяч). Вывод средств произошел в 3 часа ночи с 3 на 4 октября.

Тут она сразу побежала в ВТБ. ВТБ ничего не насторожило. Ни что деньги были переведены на счет 2 минуты назад, ни что клиентка никогда не переводила никому сотни тысяч, ни что на имя клиентки ночью же подали 5 заявок на кредиты. И даже не было подозрительным, что клиентка, у которой на счету ни копейки утром пыталась расплатиться этой картой. В общем, со счета ВТБ был перевод всех денег до копейки на неизвестный счет. НИ ОДНОГО СМС коллеге не пришло. В ВТБ стоял способ информирования.... push-уведомления! СМС информирование было ночью отключено. И если бы она не пришла вовремя - еще бы одобренный кредит, вероятно, перевели. И до сих пор ей приходят смс с отказами в кредитах во всевозможных банках.

Конечно, заявление в полицию написано. Но самое странное, что с слов коллеги ни одно пуш-уведомление от ВТБ не приходило на телефон. Если у Сбера они после разблокировки посыпались, то от ВТБ - ничего. Единственная ссылка, по которой она проходила - оценка качества обслуживания в Сбере, сотрудники Сбера подтвердили, что они отправлфяли такую ссылку и что это именно их ссылка, а не левая фишинговая. Телефон нигде не оставляла.
И как итог вопроса 2. 1 - как мошенники это провернули? 2 - Может ли кто-нибудь подсказать,что можно сделать в такой ситуации? Банки, разумеется, тут же открестились, мол она сама все перевела или предоставила коды посторонним, мы все высылали, сами виноваты, что перевели деньги, с нашей стороны никаких проблем нет.

ДОПОЛНЕНИЕ. По данным сбербанка вход осуществлялся без использования старого номера телефона. ВТБ комментариев на данный момент не дал.