Crypto drainers nghỉ hưu khi điều tra viên áp sát

Các nhóm rút tiền tiền điện tử lớn như Inferno và Pink đã gây chú ý trong năm nay khi tuyên bố nghỉ hưu — nhưng nạn nhân vẫn tiếp tục mất số tiền khủng khiếp.

Một ‘crypto drainer’ thường lừa người dùng kết nối ví và phê duyệt giao dịch để rút cạn tài sản của họ.

Trong tháng 10, hơn 20 triệu USD đã thất thoát vì các mưu đồ lừa đảo, theo Scam Sniffer. Trong khi lượng tiền bị tổn thất giảm 56% so với tháng 9, số lượng nạn nhân — 12.058 — tăng 20% so với tháng trước.

Alex Katz, CEO và đồng sáng lập của plugin bảo mật trình duyệt Kerberus nói với TinTucBitcoin rằng lượng tiền bị rút có thể dao động theo tháng tùy theo tình hình thị trường, nhưng số lượng nạn nhân tăng lên là điều đáng lo ngại.

Trong khi đó, các cơ quan pháp luật và các công ty an ninh mạng ngày càng giỏi hơn trong việc bắt giữ tội phạm mạng. “Chúng tôi nghĩ rằng [các nhóm rút tiền đang đóng cửa] vì họ đã kiếm được quá nhiều. Nếu họ tiếp tục, chỉ là vấn đề thời gian trước khi cơ quan pháp luật tìm thấy họ hoặc đồng phạm của họ,” Cos, người sáng lập MistTrack, nói với TinTucBitcoin.

Ví dụ, Tether, nhà phát hành stablecoin lớn nhất thế giới, gần đây đã đóng băng ít nhất ba ví liên quan đến các hoạt động rút tiền.

Mặc dù Tether không trả lời yêu cầu bình luận, một nhà điều tra tư nhân mà TinTucBitcoin đã xác nhận là đang làm việc với các cơ quan chức năng về các trường hợp rút tiền điện tử cho biết ba ví này đã bị đóng băng theo yêu cầu của một cơ quan pháp lý.

Nhà điều tra này đang phối hợp với các cơ quan để truy tìm một thực thể đáng ngờ tên là Konpyl. Một cuộc điều tra gần đây của TinTucBitcoin Magazine đã kết nối Konpyl và các ví liên quan với một trò lừa đảo ví Rabby giả đã lấy đi khoảng 1,6 triệu USD từ các nạn nhân.

Bằng chứng ngoài chuỗi giao dịch mà tạp chí đã xem xét trong cuộc điều tra tìm thấy liên kết giữa nhân vật trực tuyến Konpyl và một CEO tiền điện tử tại Dubai, người đã phủ nhận bất kỳ hành vi sai trái nào và khẳng định mình là nạn nhân của sự tống tiền.

Ba tài khoản mới nhất bị Tether đóng băng không chỉ có liên quan đến các ví rút tiền mà còn đến Konpyl.

Ít nhất là, “[Konpyl] là một khách hàng lớn của máy hút tiền,” nhà điều tra nói với TinTucBitcoin. “[Konpyl] chủ yếu sử dụng Inferno Drainer nhưng cũng đã thử nghiệm với Pink Drainer,” nhà điều tra cho biết.

Các máy hút tiền lớn đang ngắt kết nối

Các máy hút tiền điện tử thường hoạt động bằng cách khai thác các lỗ hổng trong hợp đồng thông minh, tấn công lừa đảo hoặc thông qua các chiến thuật kỹ thuật social để truy cập vào ví tiền.

Chúng được tạo ra bởi các nhà phát triển bán quyền truy cập cho những người hoạt động trái phép, cho phép họ thực hiện các cuộc tấn công và trộm cắp sau đó để đổi lấy phí. Mô hình này đã trở nên nổi tiếng như “scam-as-a-service”.

“Một sự thay đổi tư duy mà bạn cần thực hiện là các máy hút tiền là các doanh nghiệp,” Katz nói. “Nếu bạn thực sự nhìn vào các giao dịch rút tiền, một tỷ lệ lớn đã được chuyển cho người khai thác cơ chế hút tiền, vì họ nhận hoa hồng.”

Qua các năm, những công cụ phần mềm này đã được tiếp thị dưới thương hiệu riêng, với các dịch vụ như Inferno, Pink và Monkey Drainer trở nên phổ biến.

Ba công cụ này không phải là những máy hút tiền duy nhất, nhưng chúng có một điểm chung. Tất cả đã tuyên bố ngừng hoạt động, với Inferno là cái tên mới nhất ngắt kết nối vào tháng 10. Inferno tuyên bố rằng dịch vụ của họ đã được Angel Drainer tiếp quản.

Monkey Drainer là một trong những ứng dụng sớm nhất sử dụng mô hình SaaS cho việc hút tiền. Nó đã ngừng hoạt động vào tháng 3 2023, sau đó nhóm rút tiền tiếp theo xuất hiện, bao gồm Inferno và Pink.

Pink Drainer được cho là do một cựu thành viên cộng đồng bảo mật phát triển, người đã từng giúp chống lại Monkey Drainer, sau đó lại chuyển sang phía bóng tối. Pink Drainer tuyên bố nghỉ hưu vào tháng 5 2024, sau khi thu về khoảng 85 triệu USD từ hơn 21 nghìn nạn nhân.

Inferno không hoạt động sau khi tuyên bố nghỉ hưu vào tháng 10 Một 2023, nhưng đã tái xuất sau khi Pink rời khỏi hiện trường.

Việc ngừng hoạt động mới nhất của Inferno được công bố vài ngày sau khi Tether đóng băng ba ví vào ngày 16 tháng 10, cũng là ngày TinTucBitcoin Magazine công bố cuộc điều tra về Konpyl và vụ lừa đảo ví Rabby giả.

Kết nối giữa Inferno và Konpyl

Bằng chứng on-chain giao dịch gợi ý một mối liên hệ giữa các tài khoản liên kết với Konpyl và những tài khoản liên quan đến Inferno, mặc dù các chuyên gia bảo mật đã đưa ra các phân tích khác nhau về chi tiết cụ thể.

Một ví dụ về mối quan hệ on-chain là từ một vụ rút cạn diễn ra vào tháng 3 2024, khi một nạn nhân mất 4,39 triệu USD tiền điện tử vào tay một kẻ trộm được trang bị bộ công cụ của Inferno Drainer.

Một số Token bị đánh cắp đã bị đốt với sự giúp đỡ của thám tử blockchain ZachXBT, nhưng những Token khác đã được hợp nhất và chuyển đến 0x344…12ac3 mà công ty bảo mật MistTrack nghi ngờ thuộc sở hữu của Inferno Drainer. Ở đây, khoảng 767,610 USD Wrapped Ether đã được đưa vào nền tảng DeFi CoW Protocol.

Ở đầu kia, số tiền này được nhận bởi 0x87B…A53d92 (CoW Output) dưới dạng Tether (USDT).

Từ địa chỉ đầu ra của CoW này, có thể dẫn đến một mối quan hệ với Konpyl.

Địa chỉ đầu ra có ba giao dịch với 0xF2F…6a608, hai lần vào tháng 8 2022 và một lần vào tháng 5 2024. Giao dịch đầu tiên trong ba giao dịch này là giao dịch cấp vốn cho ví 0xF2F này, hoặc là lần chuyển đầu tiên được ghi nhận tới tài khoản đó.

0xF2F được kết nối với một tài khoản liên quan đến Konpyl thông qua bảy giao dịch từ tháng 10 2023, tổng cộng khoảng nửa triệu USD, thiết lập ví 0xF2F như cầu nối kết nối kế hoạch liên quan đến Inferno Drainer vào tháng 3 2024 và thực thể liên quan đến vụ ví Rabby giả 2024 trong bước đi này.

Giải mã các dịch chuyển quỹ

Theo nhà điều tra tư nhân, những dịch chuyển này gợi ý rằng thực thể tên Konpyl có thể là một người dùng lớn của Inferno Drainer hoặc có một sự tham gia sâu xa hơn.

Tuy nhiên, Fantasy, trưởng nhóm điều tra tại công ty bảo hiểm tiền điện tử Fairside Network, có một phân tích khác.

Fantasy nói với TinTucBitcoin rằng cũng có khả năng không có ví nào được xác định trước khi vào CoW Protocol thực sự thuộc về Inferno Drainer. Thay vào đó, các ví có thể thuộc về các khách hàng của Inferno Drainer.

“Một khách hàng của Inferno sẽ không sẵn lòng từ bỏ thêm từ một phi vụ trộm cắp. Một lời giải thích hợp lý hơn là đây là một khách hàng đang hợp nhất số tiền phi vụ,” ông nói với TinTucBitcoin, chỉ ra các giao dịch cho thấy phí rút nước đã được trả cho một ví khác.

Fantasy cũng đưa ra một giả thuyết khác về lý do tại sao Konpyl có thể liên quan đến các vụ trục lợi.

“Tôi tự hỏi anh ta có phải là một OTC trader [giao dịch qua kênh riêng] và các nhân vật đe dọa đang sử dụng anh ta để rửa tiền. Điều này có thể dẫn đến lời giải thích tại sao các đầu ra Rhino của Konpyl hợp nhất như vậy,” Fantasy đưa ra giả thuyết, phân tích các chuyển động on-chain của Konpyl được tóm tắt bởi cuộc điều tra của TinTucBitcoin Magazine trong tháng 10.

“Che giấu các chuyển động sử dụng các trader OTC không phải là một chiến thuật hiếm gặp. Thông thường, những loại trader này không quan tâm nguồn tiền từ đâu, miễn là họ nhận được phí của mình.”

Cơ quan pháp luật và các chuyên gia bảo mật ngày càng thu hẹp khoảng cách

Trong khi đó, Fun, người sáng lập Scam Sniffer, nói với TinTucBitcoin rằng những đóng góp liên tục của các thực thể như MistTrack, Scam Sniffer và nhóm bảo mật SEAL 911 đang đóng góp vào việc đưa các địa chỉ bất hợp pháp vào danh sách đen.

Các tiện ích mở rộng trình duyệt internet như Kerberrus cũng đã có, trong khi ví tiền ngày càng tích hợp các dịch vụ bảo mật cho người dùng như Blockaid.

“Vì sự an toàn của họ, việc ngắt kết nối là không thể tránh khỏi,” Fun nói. “Dù đó là Inferno Drainer hay Pink Drainer, chúng chỉ là các dịch vụ được những kẻ lừa đảo sử dụng. Các thủ phạm thực sự đang ẩn sau những cái tên máy hút nước này.”

Tuy nhiên, Katz của Kerberrus cảnh báo rằng việc ngừng hoạt động trong thế giới máy hút nước tiền điện tử nên được nhìn nhận một cách thận trọng, vì chúng có thể đang giả vờ, giống như “kỳ nghỉ hưu” của Inferno vào tháng 10 Một 2023, chỉ để quay lại và gây loạn nửa năm 2024.

“Họ có thể nói rằng họ ngừng hoạt động để các công ty bảo mật giảm cảnh giác. Nhưng cuối cùng, họ có thể thương hiệu lại dưới một tên gọi mới [và] họ có thể quay trở lại,” Katz nói.

“Đây là tội phạm — hãy làm rõ điều đó. Bạn không thể tin tưởng tội phạm bất kể họ nói gì.”

Tin Tức Bitcoin tổng hợp