Ничего не подозревающие пользователи потеряли около 1,6 миллиона долларов из-за поддельного криптовалютного кошелька, который каким-то образом проскользнул через строгий процесс проверки приложений Apple в феврале. Журнал отслеживает цепочку подсказок в блокчейне, чтобы выяснить, кто стоит за поддельным кошельком.
Мошенническое приложение, выдававшее себя за Rabby Wallet DeBank, оставалось в App Store в течение четырех дней, выкачивая средства у нескольких жертв, прежде чем Apple удалила его.
“Я ни разу не думал, что это будет мошенничество, поскольку я полностью доверял Apple App Store. Примерно через 20-30 минут я открыл свой кошелек для ноутбука Rabby и увидел, что мой баланс практически обнулился ”, - рассказывает журналу жертва поддельного кошелька Rabby.
Одной из первых жертв, сообщивших о мошенничестве, был пользователь X Bthemouth, который сообщил, что его средства были переведены на кошелек Rabby Drainer (RD) “0x652 ... 0371F”.
Жертвы идентифицируют кошелек хакера Rabby. (Bthemouth)
Анализ блокчейна связывает кошелек RD с “0x44Bd ... 9E480”, который изначально был помечен как “Konpyl” на торговой площадке NFT OpenSea. Хотя название аккаунта с тех пор было изменено, его первоначальный ярлык все еще можно проверить на Arkham Intelligence, платформе блокчейн-данных, которая, среди прочего, отслеживает аккаунты OpenSea.
Частный детектив, который, как подтвердил журнал, сотрудничает по этому делу с властями, утверждает, что его расследование связывает “Konpyl” с более крупной сетью, состоящей по меньшей мере из 20 дел, и журнал независимо подтвердил ссылки на семь из них.
Общим знаменателем для этой череды мошенничеств является адрес Konpyl.
“Он занимается этим около семи лет, [и] он преследует пользователей, которые вкладывают свои сбережения в некоторые из этих вещей, а не в большие протоколы”, - рассказывает журналу следователь.
Konpyl владеет криптоактивами на сумму около 3 миллионов долларов по состоянию на 4 октября. (Arkham Intelligence)
Следователь поделился с журналом изображениями записей Know Your Customer (KYC), которые, как утверждается, были отправлены на многочисленные биржи по адресам, связанным с мошенниками.
Документы, увиденные журналом, связаны с “Константином Пылинским”, генеральным директором базирующейся в Дубае инвестиционной компании Moonward Capital, который использует X и подписывается в Telegram “@konpyl”. Однако для открытия учетных записей также использовались несколько поддельных учетных данных KYC и псевдонимов, поэтому журнал не предполагает, что Пылинский является Konpyl — просто имя связано с учетными записями.
Изначально Konpyl приветствовал журнал в Telegram словами “Чем я могу вам помочь?”. Но когда его попросили прояснить связь между Константином Пылинским, онлайн-персоной Konpyl, и мошенничеством с кошельком Rabby, он перестал отвечать.
Журнал попытался связаться с Пылинским по альтернативным каналам, но он не ответил.
Moonward Capital также не ответила на просьбу журнала прокомментировать эту историю.
Журнал подтвердил правительственному агентству США, что продолжающееся расследование связано с адресом Konpyl.
Последняя входящая транзакция на кошелек Konpyl была совершена с адреса, помеченного ярлыком “Fake_Phishing” на Etherscan. Его взаимодействие с Konpyl является единственной исходящей транзакцией.
Поддельный кошелек Rabby-Konpyl connection
“У него был сливной бот в моем аккаунте”, - сообщает Bthemouth журналу, имея в виду автоматический скрипт, предназначенный для перекачки средств. “Даже спустя все эти месяцы он все еще активен”.
Мошенник Rabby Drainer предпринимает множество шагов, чтобы скрыть свои следы, например, распределяет преступные доходы по нескольким кошелькам и использует сервисы DeFi, чтобы скрыть улики и слиться с толпой.
Затем мошенник часто переводит большие суммы средств на последующие кошельки для внесения депозитов на централизованных биржах. Даже после таких попыток запутывания между RD и Konpyl существуют связи.
Выведенные средства Bthemouth были переведены на Rhino, мультицепочечный мост, которым часто пользуется мошенник с кошельком Rabby. Мошенник перевел токены на Rhino и вывел их через другой кошелек.
В период с 15 по 18 февраля RD обезвредила еще нескольких жертв, большая часть выручки была переведена в токены ERC-20. 19 февраля эти токены были конвертированы в 52 ETH (примерно 151 000 долларов на тот момент) с помощью сервисов DeFi, таких как Uniswap и 1inch.
Позже в тот же день средства поступили на кошелек “0xCE6A ... b2Ac5”, который вместе с деньгами Bthemouth и дополнительными 7 ETH перевел примерно 173 000 долларов в эфире Rhino.
Мошенник Rabby использует Rhino для отмывания средств. (Etherscan)
Детективы Onchain Tay и SomaXBT идентифицировали кошелек “0x4E93 ... c71C2” в качестве получателя вывода Rhino. В результате трех транзакций было получено 173 388 долларов в USDT, причем первая партия поступила примерно через 10 минут после первоначального депозита.
Записи блокчейна показывают, что тот же кошелек Rhino output получил почти 100 000 долларов от Konpyl за шесть ежемесячных транзакций в период с февраля по июль.
Прямое взаимодействие Konpyl с кошельком Rhino output. (Arkham Intelligence)
Эти средства в конечном итоге попадают в OKX.
Мошенник, похоже, использует несколько бирж, обычно используя более одного адреса для пополнения счета на биржу.
При анализе кошельков, подозреваемых в причастности к взломам, их первые входящие транзакции часто оставляют важные подсказки для связанных кошельков. Иногда они могут показать, кто финансировал платежи кошелька за газ.
Но это не характерно для мошенничеств, связанных с Konpyl.
“[Konpyl] пополняет эти счета с кошельков жертв”, - говорит частный детектив.
“Он берет деньги у других хакеров для финансирования этих хакерских кошельков, так что вы понятия не имеете, что это он”.
Общий ущерб от утечки кошелька Rabby
Включая RD, которая отняла у жертв около 152 257 долларов, в публичных отчетах о жертвах указано по меньшей мере 10 адресов. Эти адреса повинны в убытках более чем в 1 миллион долларов после того, как пользователи скачали февральский поддельный кошелек Rabby wallet из App Store.
Февральский инцидент был не первым случаем появления поддельного кошелька Rabby в App Store. В конце 2023 года в другой итерации мошенничества использовались по меньшей мере два других кошелька, связанных с Konpyl, чтобы вывести из жертв около 93 000 долларов.
Журнал подтвердил, что более старая афера с кошельком Rabby связана с Konpyl, а маршруты фондов указывают на тот же адрес вывода Rhino, который использовался в случае с Bthemouth.
Пример транзакции связывает Konpyl с более старыми случаями мошенничества, поскольку доходы от обоих случаев направляются на выходной адрес Rhino. (Etherscan)
Частный детектив сообщил журналу, что из трех других подозрительных кошельков, подозреваемых в причастности к схеме Rabby wallet, было выведено 278 872 доллара, хотя жертвы публично не сообщали об этих случаях.
Кроме того, журналу известно по меньшей мере еще о трех кошельках, которые не были частью схемы поддельных кошельков Rabby, но крали средства, используя другие тактики, такие как фишинговые ссылки, которыми делились в социальных сетях. Эта тройка кошельков также отображает связи с Konpyl, используя общий адрес депозита OKX в качестве мошеннического кошелька Rabby и переводя средства на выходной кошелек Rhino.
Вместе они забрали у жертв 93 261 доллар, в результате чего предполагаемый ущерб, связанный с сагой о поддельных кошельках Rabby, составил не менее 1,6 миллиона долларов.
Другие мошенничества, связанные с поддельным кошельком Rabby
Мошенничество с кошельком Rabby в 2024 году - не первая незаконная деятельность, тесно связанная с блокчейн-адресом Konpyl, свидетельствуют записи блокчейна, идентифицированные частным детективом.
Например, в отчете жертвы на Reddit говорится, что средства пользователя были выведены с кошелька “0x0000 ... 4e9Aba” (который мы обозначаем как LS1 для мошенничества с бухгалтерской книгой). Более пристальный взгляд на LS1 показывает, что стратегии пополнения похожи на те, которые использовались в схемах фальшивых кошельков Rabby 2024 года.
В 2020 году LS1 использовал адрес депозита “0x05a8 ... a21e6” (YB1) для перевода средств на криптовалютную биржу Yobit.
LS1 часто взаимодействует с “0x1111 ... 858eB” (LS2), отправляя и получая криптовалюту на сумму более 51 000 долларов друг с другом в течение 14 транзакций в течение года, начиная с апреля 2020 года.
Движение средств между Ls1 и LS2. (Arkham Intelligence)
Похоже, что два кошелька используют разные адреса для пополнения счета на Yobit, поскольку LS2 предпочитает “0x7e17 ... 873cE” (YB2).
В то время Konpyl регулярно использовала YB2 для перевода средств на Yobit. Konpyl отправила более 41 000 долларов ETH в 23 транзакциях с сентября 2020 по февраль 2021 года.
Депозиты Konpyl на YB2. (Arkham Intelligence)
YB1 и YB2 дополнительно связаны “0xBd7D ... A2DB7”. Он пять раз использует второй адрес депозита на сумму 196 000 долларов в ETH при регистрации транзакции в 2,4 ETH на YB1.
На этом кошельке также есть две прямые транзакции от Konpyl за 6 ETH.
Расследование поддельного кошелька Rabby и других мошенничеств продолжается
“Одна из моих целей для Apple - оторвать задницу от земли и заняться мошенниками в их App Store. Я сообщил в Apple несколько месяцев назад, но ответа так и не получил”, - рассказывает журналу следователь.
Конкурирующий технологический гигант Google ранее создал прецедент реагирования на подобные схемы мошенничества в начале этого года, когда подал в суд на группу предполагаемых крипто-мошенников за обман более 100 000 человек путем загрузки сомнительных приложений на свою торговую площадку Google Play.
Bthemouth отказался от попыток восстановления и говорит, что он уже сделал “все”, что мог.
Группа жертв была сформирована на раннем этапе, но к настоящему моменту “все продолжали жить своей жизнью”.
“Это тупик”, - говорит Bthemouth.
Но у жертв все еще есть некоторая надежда.
Расследования, проводимые правоохранительными органами и частными детективами по блокчейну, продолжаются, и Konpyl и связанные с ним кошельки остаются в центре подозрений.
