" Ничего не подозревающие пользователи потеряли около 1,6 миллиона долларов из-за поддельного криптовалютного кошелька, который каким-то образом прошел строгий процесс проверки Apple Store в феврале. Исследуем цепочку подсказок на блокчейне, чтобы выяснить, кто стоит за поддельным кошельком.
Мошенническое приложение, которое выдает себя за Rabby Wallet от DeBank, оставалось в App Store в течение четырех дней, выводя средства с нескольких жертв, прежде чем компания Apple удалила его.
«Я ни разу не подумал, что это мошенничество, поскольку я полностью доверял Apple App Store. Примерно через 20-30 минут я открыл свой кошелек для ноутбука Rabby и увидел, что мой баланс практически обнулился», - рассказывает жертва поддельного Rabby Wallet.
Одной из первых жертв мошенничества стал пользователь X Bthemouth, который сообщил, что его средства были переведены на кошелек Rabby Drainer (RD) «0x652...0371F».
Рисунок 1. Жертвы идентифицируют кошелек хакера Rabby. Источник: Bthemouth.
Анализ блокчейна привязывает удаленный кошелек к «0x44Bd...9E480», который изначально был помечен как Konpyl, к торговой площадке NFT OpenSea. Хотя с тех пор название учетной записи было изменено, ее первоначальную метку по-прежнему можно проверить на Arkham Intelligence, блокчейн-платформе для обработки данных, которая, в частности, отслеживает аккаунты OpenSea.
Частный детектив, который сотрудничает в этом деле с властями, утверждает, что его расследование связывает Konpyl с более крупной сетью, которая насчитывает по меньшей мере 20 дел.
Общим знаменателем для всей этой серии мошенничеств является адрес Konpyl.
«Он занимается этим около семи лет, и преследует пользователей, которые вкладывают свои сбережения в некоторые из этих продуктов, в отличие от крупных протоколов», - рассказывает исследователь журналу.
Рисунок 2. По состоянию на 4 октября, Konpyl владеет криптоактивами на сумму около 3 миллионов долларов. Источник: Arkham Intelligence.
Следователь поделился с журналом изображениями записей Know Your Customer (KYC), которые, как утверждается, были отправлены на многочисленные биржи по адресам, связанным с мошенничеством.
Документы, с которыми ознакомился журнал, связаны с «Константином Пылинским», генеральным директором инвестиционной компании Moonward Capital, базирующейся в Дубае, который использует X и Telegram под ником «@konpyl». Однако для открытия аккаунтов также использовались несколько поддельных учетных данных KYC и псевдонимов, поэтому не утверждается, что Пылинский - это Konpyl. Просто это имя связано с аккаунтами.
Сначала Konpyl обратился к журналу Magazine в Telegram с вопросом: «Чем я могу вам помочь?» Но когда его попросили разъяснить связь между Константином Пылинским, онлайн-персоной Konpyl и аферой с Rabby Wallet, он перестал отвечать. Moonward Capital также не ответила на просьбу журнала прокомментировать эту историю.
Константин Пылинский действительно связался с журналистами после публикации этой статьи, чтобы опровергнуть обвинения и любую связь с адресом Konpyl как «дезинформацию». Он утверждал, что стал жертвой продолжающейся кампании шантажа, и поделился скриншотами пользователей, которые утверждали, что он несет ответственность за вывод их средств, требуя вернуть их деньги, а также сообщениями от пользователей, которые утверждали, что «работают с некоторыми очень влиятельными людьми», требуя вернуть деньги для своих клиентов, которые были «жертвами»:
«Я не участвую ни в каких аферах и, конечно же, не финансирую их. По мере нашего роста мы сталкиваемся с новыми попытками мошенничества, которые направлены против нас. Не верьте всему, что вы слышите, - всегда проверяйте! Сложно отличить мошенников от тех, кто действительно нуждается в помощи, но мы постоянно совершенствуем наши процессы».
В правительственном агентстве Соединенных Штатов подтвердили, что текущее расследование связано с адресом Konpyl.
Последняя входящая транзакция на Konpyl Wallet была совершена с адреса, который был помечен на Etherscan как «Fake_Phishing». Его взаимодействие с Konpyl является единственной исходящей транзакцией.
Поддельная связь Rabby Wallet с Konpyl
«У него был бот для слива средств из моего аккаунта, - рассказывает Bthemouth журналу Magazine, имея в виду автоматический скрипт, предназначенный для вывода средств. - Даже спустя столько месяцев он все еще активен».
Мошенник «Rabby Drainer» предпринимает множество шагов, чтобы скрыть свои следы, например, распределяет преступные доходы по нескольким кошелькам и использует сервисы DeFi, чтобы скрыть улики и слиться с толпой.
Рисунок 3.
Затем мошенник часто переводит большие суммы средств на другие кошельки для внесения на централизованные биржи. Даже после таких усилий сохраняются связи между RD и Konpyl.
Выведенные средства Bthemouth были переведены в Rhino, сеть с несколькими блокчейнами, которую часто посещал мошенник с кошельками Rabby. Мошенник перевел токены в Rhino и вывел их через другой кошелек.
В период с 15 по 18 февраля RD обанкротил еще нескольких жертв. Большая часть выручки была переведена в токены ERC-20. 19 февраля эти токены были конвертированы в 52 ETH (примерно 151 000 долларов на тот момент) с использованием сервисов DeFi, таких как Uniswap и 1inch.
Позже в тот же день средства поступили на кошелек «0xCE6A...b2Ac5», который вместе с деньгами Bthemouth и дополнительными 7 ETH перевел Rhino примерно 173 000 долларов в эфире.
Рисунок 4. Мошенник Rabby использует Rhino для отмывания средств. Источник: Etherscan.
Детективы Onchain Tay и SomaXBT идентифицировали кошелек «0x4E93...c71C2» как получателя вывода Rhino. Он приобрел 173 388 долларов в USDT за три транзакции, причем первая партия была получена примерно через 10 минут после первоначального пополнения счета.
Записи блокчейна показывают, что тот же самый кошелек Rhino Output получил от Konpyl почти 100 000 долларов за шесть ежемесячных транзакций в период с февраля по июль.
Рисунок 5. Прямое взаимодействие Konpyl с кошельком Rhino для вывода средств. Источник: Arkham Intelligence.
В конечном итоге эти средства попадают на OKX.
Мошенник, по-видимому, использует несколько бирж, обычно используя более одного адреса для пополнения счета на каждой бирже.
При анализе кошельков, подозреваемых в причастности к хакерским атакам, первые входящие транзакции часто дают важные подсказки о связанных кошельках. Иногда они могут показать, кто финансировал оплату за газ с кошелька. Но это не характерно для мошенничества, связанного с Konpyl.
«Konpyl финансирует эти счета с кошельков жертв, - говорит частный детектив. - Он берет деньги у других хакеров, чтобы пополнить эти хакерские кошельки, так что вы понятия не имеете, что это он».
Общий ущерб, причиненный осушителем Rabby Wallet
Включая RD, из-за которого пострадавшие лишились примерно 152 257 долларов, в публичных отчетах о жертвах указано по меньшей мере 10 адресов. Эти адреса стали причиной убытков на сумму более 1 миллиона долларов после того, как пользователи загрузили из App Store поддельный Rabby Wallet в феврале.
Февральский инцидент был не первым случаем появления поддельного кошелька Rabby в App Store. В ходе другой итерации мошенничества были использованы по меньшей мере два других кошелька, привязанных к Konpyl, для вывода примерно 93 000 долларов из жертв в конце 2023 года.
Рисунок 6. Пример транзакции связывает Konpyl с более старыми случаями мошенничества, поскольку доходы от обоих случаев поступают на адрес вывода Rhino. Источник: Etherscan.
Частный детектив сообщил, что из трех других подозрительных кошельков, предположительно связанных со схемой Rabby Wallet, было выведено 278 872 доллара, хотя жертвы публично не сообщали об этих случаях.
Кроме того, известно по меньшей мере о еще трех кошельках, которые не были частью схемы фальшивых Rabby Wallet, но украли средства, используя другие тактики, такие как фишинговые ссылки, размещенные в социальных сетях. Это трио кошельков также отображает подключение к Konpyl, используя общий адрес пополнения счета OKX в качестве мошеннического Rabby Wallet и переводя средства на Rhino Wallet для вывода средств.
Вместе они выкачали из жертв 93 261 доллар, в результате чего предполагаемый ущерб, связанный с сагой о фальшивых Rabby Wallet, составил по меньшей мере 1,6 миллиона долларов.
Другие мошенничества, связанные с поддельным Rabby Wallet
Мошенничество с кошельком Rabby 2024 года - не первая незаконная деятельность, связанная с адресом Konpyl на блокчейне, о чем свидетельствуют записи блокчейна, выявленные частным детективом.
Например, в отчете жертвы на Reddit говорится, что средства пользователя были выведены с помощью кошелька «0x0000...4e9Aba» (который мы называем LS1 для мошенничества с Ledger). Более пристальный взгляд на LS1 показывает, что стратегии внесения депозитов схожи с теми, которые использовались в схемах фальшивых кошельков Rabby 2024.
Рисунок 7.
В 2020 году LS1 использовал депозитный адрес «0x05a8...a21e6» (YB1) для перевода средств на криптовалютную биржу Yobit.
LS1 часто взаимодействует с «0x1111...858eB» (LS2), отправляя и получая криптовалюты на сумму более 51 000 долларов в течение 14 транзакций в течение года, начиная с апреля 2020 года.
Рисунок 8. Движение средств между LS1 и LS2. Источник: Arkham Intelligence.
Судя по всему, эти два кошелька используют разные адреса для пополнения счета на Yobit, поскольку LS2 предпочитает «0x7e17...873cE» (YB2).
В то время Konpyl регулярно использовал YB2 для перевода средств на Yobit. С сентября 2020 по февраль 2021 года компания Konpyl отправила более 41 000 ETH в рамках 23 транзакций.
Рисунок 9. Вклады Konpyl в YB2. Источник: Arkham Intelligence.
YB1 и YB2 также связаны с помощью «0xBd7D...A2DB7». Он использует второй адрес для пополнения счета пять раз на сумму 196 000 долларов в ETH при регистрации транзакции стоимостью 2,4ETH на YB1.
На этом кошельке также есть две прямые транзакции от Konpyl на сумму 6 ETH.
Расследование по факту подделки Rabby Wallet и других мошенничеств продолжается
«Одна из моих целей - заставить Apple пошевелить мозгами и заняться поиском мошенников в своем App Store. Я обратился в Apple несколько месяцев назад, но ответа так и не получил», - рассказывает исследователь.
Конкурирующий технологический гигант Google ранее создал прецедент реагирования на подобные схемы мошенничества: в начале этого года он подал в суд на группу предполагаемых крипто-мошенников за то, что они обманули более 100 000 человек, загрузив сомнительные приложения на свою торговую площадку Google Play.
Bthemouth отказался от попыток восстановиться и говорит, что уже сделал все, что мог.
Группа жертв была сформирована на ранней стадии, но к настоящему времени «все продолжали жить своей жизнью».
«Это тупик», - говорит Bthemouth.
Но у жертв все еще есть некоторая надежда.
Расследования, проводимые правоохранительными органами и частными блокчейн-детективами, продолжаются, и Konpyl и связанные с ним кошельки остаются в центре подозрений.
