Utenti ignari hanno perso circa 1,6 milioni di $ a causa di un falso portafoglio di criptovalute che in qualche modo è sfuggito al rigido processo di revisione delle app di Apple a febbraio. Magazine segue una serie di indizi sulla blockchain per scoprire chi c'è dietro il falso portafoglio.
L'app fraudolenta, che si spacciava per DeBanks Rabby Wallet, è rimasta sull'App Store per quattro giorni, sottraendo fondi a numerose vittime prima che Apple la rimuovesse.
Non ho mai pensato che si trattasse di una truffa, dato che avevo piena fiducia nell'Apple App Store. Circa 20-30 minuti dopo, ho aperto il portafoglio del mio portatile Rabby e ho visto che il mio saldo era praticamente a zero, racconta a Magazine una vittima del falso portafoglio Rabby.
Una delle prime vittime a denunciare la truffa è stato l'utente X Bthemouth, che ha segnalato che i suoi fondi erano stati trasferiti sul portafoglio Rabby Drainer (RD) 0x652…0371F.
L'analisi blockchain collega il portafoglio RD a 0x44Bd9E480, che inizialmente era etichettato Konpyl sul mercato NFT OpenSea. Sebbene il nome dell'account sia stato modificato, la sua etichetta originale può ancora essere verificata su Arkham Intelligence, una piattaforma di dati blockchain che tiene traccia degli account OpenSea, tra gli altri.
Un investigatore privato, che Magazine ha confermato stia collaborando al caso con le autorità, sostiene che la sua indagine collega "Konpyl" a una rete più ampia di almeno 20 casi, e Magazine ha confermato in modo indipendente i collegamenti con sette di questi.
Il denominatore comune di questa montagna di truffe è l'indirizzo Konpyl.
Fa questo da circa sette anni e se la prende con gli utenti che investono i loro risparmi di una vita in alcune di queste cose, non come nei grandi protocolli, racconta l'investigatore a Magazine.
L'investigatore ha condiviso con Magazine le immagini dei registri Know Your Customer (KYC), che sarebbero stati inviati a numerosi exchange da indirizzi collegati alle truffe.
I documenti visionati da Magazine sono collegati a Konstantin Pylinskiy, CEO della società di investimenti Moonward Capital con sede a Dubai, che usa X e gli handle Telegram @konpyl. Tuttavia, sono state utilizzate anche diverse credenziali KYC e alias falsi per aprire conti, quindi Magazine non sta suggerendo che Pylinskiy sia Konpyl, ma solo che il nome è collegato ai conti.
Inizialmente, Konpyl ha accolto Magazine su Telegram con Come posso aiutarti? Ma quando gli è stato chiesto di chiarire la connessione tra Konstantin Pylinskiy, la persona online di Konpyl, e la truffa del portafoglio Rabby, ha smesso di rispondere.
La rivista ha tentato di contattare Pylinskiy attraverso canali alternativi, ma non ha ricevuto risposta.
Anche Moonward Capital non ha risposto alla richiesta di Magazine di commentare questa storia.
La rivista ha confermato con un'agenzia governativa degli Stati Uniti che è in corso un'indagine collegata all'indirizzo Konpyl.
L'ultima transazione in entrata nel portafoglio Konpyl proviene da un indirizzo contrassegnato con un'etichetta Fake_Phishing su Etherscan. La sua interazione con Konpyl è l'unica transazione in uscita.
La falsa connessione Rabby Wallet-Konpyl
Aveva un drain bot nel mio account, racconta Bthemouth a Magazine, riferendosi a uno script automatico progettato per sottrarre fondi. Anche dopo tutti questi mesi, è ancora attivo.
L'attore di Rabby Drainer adotta diverse misure per nascondere le proprie tracce, come la suddivisione dei proventi illeciti in più portafogli e l'utilizzo di servizi DeFi per oscurare le prove e confondersi tra la folla.
Il truffatore poi consolida frequentemente grandi quantità di fondi in wallet successivi per depositarli in exchange centralizzati. Anche dopo tali sforzi di offuscamento, ci sono connessioni tra RD e Konpyl.
I fondi prosciugati di Bthemouth sono andati a Rhino, un ponte multichain che il truffatore del portafoglio Rabby frequenta. Il truffatore ha depositato i token in Rhino e li ha ritirati tramite un altro portafoglio.
Tra il 15 e il 18 febbraio, RD ha prosciugato diverse altre vittime, con la maggior parte dei proventi in token ERC-20. Il 19 febbraio, questi token sono stati convertiti in 52 ETH (circa $ 151.000 all'epoca) utilizzando servizi DeFi come Uniswap e 1inch.
Più tardi quel giorno, i fondi sono stati trasferiti al portafoglio 0xCE6A…b2Ac5, che, insieme al denaro di Bthemouth e ad altri 7 ETH, ha trasferito circa 173.000 $ in Ether a Rhino.
I detective di Onchain Tay e SomaXBT hanno identificato il wallet 0x4E93…c71C2 come destinatario dell'output di Rhino. Ha acquisito $ 173.388 in USDT in tre transazioni, con il primo lotto arrivato circa 10 minuti dopo il deposito iniziale.
I registri della blockchain mostrano che lo stesso portafoglio di output Rhino ha ricevuto quasi 100.000 dollari da Konpyl in sei transazioni mensili tra febbraio e luglio.
Questi fondi alla fine finiscono a OKX.
Sembra che il truffatore utilizzi diversi exchange, solitamente impiegando più di un indirizzo di deposito per exchange.
Quando si analizzano i wallet sospettati di essere associati ad attacchi informatici, le loro prime transazioni in entrata spesso lasciano indizi importanti sui wallet associati. A volte, possono mostrare chi ha finanziato le commissioni di gas dei wallet.
Ma questa non è una caratteristica delle truffe legate a Konpyl.
[Konpyl] alimenta questi conti con i portafogli delle vittime, afferma l'investigatore privato.
Prenderà soldi da altri hacker per finanziare questi portafogli hacker, quindi non puoi immaginare che sia lui.
Leggi anche
Caratteristiche
Bitcoin payday? Le criptovalute rivoluzioneranno gli stipendi dei lavoratori... o no
Caratteristiche
Guida per addetti ai lavori ai crypto OG della vita reale: Parte 1
Danni totali ai portafogli Rabby
Incluso RD, che ha prosciugato circa $ 152.257 dalle vittime, ci sono almeno 10 indirizzi identificati da segnalazioni pubbliche delle vittime. Questi indirizzi sono responsabili di oltre $ 1 milione di perdite dopo che gli utenti hanno scaricato il falso portafoglio Rabby di febbraio dall'App Store.
L'incidente di febbraio non è stato il primo caso in cui un falso portafoglio Rabby è apparso sull'App Store. Un'altra iterazione della truffa ha utilizzato almeno altri due portafogli collegati a Konpyl per drenare circa $ 93.000 dalle vittime alla fine del 2023.
La rivista ha confermato che la vecchia truffa del portafoglio Rabby è collegata a Konpyl, con tracce di fondi che puntano allo stesso indirizzo di output Rhino utilizzato nel caso di Bthemouth.
L'investigatore privato racconta a Magazine che altri tre portafogli sospetti, sospettati di essere collegati allo schema Rabby, hanno prosciugato 278.872 dollari, sebbene questi casi non siano stati denunciati pubblicamente dalle vittime.
Inoltre, Magazine è a conoscenza di almeno altri tre wallet che non facevano parte dello schema del falso wallet Rabby ma hanno rubato fondi usando altre tattiche, come link di phishing condivisi sui social media. Questo trio di wallet mostra anche connessioni a Konpyl usando un comune indirizzo di deposito OKX come truffatore del wallet Rabby e trasferendo fondi al wallet di output Rhino.
Insieme, hanno sottratto alle vittime 93.261 dollari, portando la perdita stimata connessa alla saga del portafoglio falso di Rabby ad almeno 1,6 milioni di dollari.
Leggi anche
Caratteristiche
La strada verso l'adozione di Bitcoin è lastricata di numeri interi
Caratteristiche Come resuscitare il “sogno del Metaverso” nel 2023
Altre truffe legate al falso Rabby Wallet
La truffa del portafoglio Rabby del 2024 non è la prima attività illecita con forti legami con la blockchain e l'indirizzo Konpyl, come dimostrano i registri della blockchain identificati dall'investigatore privato.
Ad esempio, un rapporto di una vittima su Reddit afferma che i fondi di un utente sono stati prosciugati dal portafoglio 0x00004e9Aba (che chiamiamo LS1 per Ledger Scam). Uno sguardo più attento a LS1 rivela strategie di deposito simili a quelle utilizzate negli schemi di portafoglio falsi Rabby del 2024.
Nel 2020, LS1 ha utilizzato l'indirizzo di deposito 0x05a8a21e6 (YB1) per spostare fondi nell'exchange di criptovalute Yobit.
LS1 interagisce frequentemente con 0x1111858eB (LS2), inviando e ricevendo reciprocamente oltre 51.000 $ di criptovalute in 14 transazioni per un anno a partire da aprile 2020.
Sembra che i due portafogli utilizzino indirizzi di deposito diversi su Yobit, poiché LS2 preferisce 0x7e17873cE (YB2).
YB2 era regolarmente utilizzato da Konpyl in quel periodo per trasferire fondi a Yobit. Konpyl ha inviato oltre $ 41.000 di ETH in 23 transazioni da settembre 2020 a febbraio 2021.
YB1 e YB2 sono ulteriormente collegati da 0xBd7D…A2DB7. Utilizza il secondo indirizzo di deposito cinque volte per $ 196.000 in ETH mentre registra una transazione da 2,4 ETH su YB1.
Questo portafoglio ha anche due transazioni dirette da Konpyl per 6 ETH.
Leggi anche
Caratteristiche Unstablecoins: depegging, corse agli sportelli e altri rischi incombenti
Caratteristiche Le DAO sono sopravvalutate e inutilizzabili? Lezioni dalla prima linea
Continua l'indagine sul falso Rabby Wallet e altre truffe
Uno dei miei obiettivi è che Apple si muova e vada a caccia dei truffatori sul suo App Store. Ho segnalato la cosa ad Apple mesi fa, ma non ho mai ricevuto risposta, racconta l'investigatore a Magazine.
Il gigante tecnologico rivale Google aveva già creato un precedente rispondendo a simili frodi all'inizio di quest'anno, quando aveva citato in giudizio un gruppo di presunti truffatori di criptovalute per aver truffato più di 100.000 persone caricando app sospette sul suo marketplace Google Play.
Bthemouth ha rinunciato agli sforzi di recupero e afferma di aver già fatto tutto il possibile.
Ben presto si formò un gruppo di vittime, ma ormai tutti continuavano a vivere la loro vita.
È un vicolo cieco, dice Bthemouth.
Ma c'è ancora qualche speranza per le vittime.
Sono in corso le indagini da parte delle forze dell'ordine e degli investigatori privati specializzati in blockchain, con Konpyl e i portafogli associati che continuano a essere al centro dei sospetti.
Iscriviti
Le letture più coinvolgenti sulla blockchain. Consegnate una volta alla settimana.
Indirizzo e-mail
ISCRIVITI
