Злами акаунтів інвестора Кіта Гілла (Keith Gill), творця «Жабеня Пепе» Метта Фьюрі (Matt Furie) та проекту WinRAR у соцмережі Х зробила одна і та ж група зловмисників, заявив анонімний блокчейн-дослідник під ніком Specter.
Загальний дохід від діяльності групи, у тому числі від просування своїх токенів через захоплені акаунти та відмивання коштів через різні блокчейни, перевищив $14 млн.
Розслідування виявило рух коштів у п'яти мережах: Solana, BNB Chain, Ефіріум, Tron та Hyperliquid. Група також причетна до фішингової атаки 2024 року, в результаті якої жертви викрали wstETH на $2,45 млн, припустив Specter.
Specter проаналізував атаку на обліковий запис Гілла і виявив 11 гаманців, які, ймовірно, належать зловмисникам. Один з них отримав $10 000 з BNB Chain з гаманця, який раніше використовувався для комісій за токен-клон Pepe, запущений через bnbshare.fun під час злому облікового запису Метта Ф'юрі 14 квітня.
Під час злому акаунту Ф'юрі невідомий від імені власника написав, що його «зламали якісь типи з Solana», і запустив токен Pepe у BNB Chain із вбудованим механізмом автоматичного збору 2% від суми кожної транзакції. Дані BscScan показують: гаманець автора токена поповнили з рахунку біржі KuCoin за 100 днів до атаки.
За тією ж схемою стався злом облікового запису архіватора файлів WinRAR 4 травня. Specter відстежив, що ще один гаманець Tron (TGX2E), використаний при відмиванні коштів після злому Гілла, пов'язаний із гаманцем комісій токена Pepe на Solana та з гаманцем WinRAR для отримання комісій.
Платформа для запуску токенів у BNB Chain, bnbshare.fun, може бути ключовим елементом шахрайської схеми. Її розробив користувач Х під ніком aliasbacardi, який запустив токен SHARE, комісії від якого надходили на гаманець 0x4FC8…7257. Цю ж адресу переклав $237 на гаманець Solana G9XSs…XBcD, який безпосередньо пов'язаний із гаманцями хакерів, які зламали Гілла, оголосив анонімний дослідник. Specter стверджує, що після перевірки профілю aliasbacardi всі пости були видалені, хоча відповіді підтверджують активність у Х аж до 6 травня.
Specter встановив, що гаманець Tron TK5Z, використаний при відмиванні коштів від злому Гілла, наприкінці березня відправив $46 000 з Ефіріуму. Ланцюжок транзакцій привів до гаманців на Ефіріріумі (0xE443…804c) та Solana (ERaq…GHBR) — вони раніше використовувалися для розгортання та об'єднання токенів, включаючи USOR, VDOR, DROID, WCOR, UGOR. Усі вони були знецінені після накачування капіталізації, повідомив аналітик.
Раніше інший анонімний криптодетектив ZachXBT виявив схему шахрайства із токеном проекту LAB.