Người dùng không hề hay biết đã mất khoảng 1,6 triệu USD vào tay một ứng dụng ví tiền điện tử giả mạo, vượt qua được quá trình kiểm duyệt nghiêm ngặt của Apple vào tháng 2. Tạp chí theo dõi các manh mối trên blockchain để tìm ra ai đứng sau ví giả này.
Ứng dụng lừa đảo, giả danh là ví DeBank Rabby, đã tồn tại trên App Store trong bốn ngày, hút cạn tiền từ nhiều nạn nhân trước khi bị Apple gỡ bỏ.
“Tôi chưa bao giờ nghĩ rằng đó là một trò lừa đảo vì tôi hoàn toàn tin tưởng vào Apple App Store. Khoảng 20 đến 30 phút sau, tôi mở ví Rabby trên laptop và thấy rằng số dư của tôi gần như đã về con số không,” một nạn nhân của ví giả Rabby chia sẻ với Tạp chí.
Một trong những nạn nhân đầu tiên báo hiệu vụ lừa đảo là người dùng X tên Bthemouth, người đã báo cáo rằng số tiền của họ đã bị chuyển vào ví Rabby Drainer (RD) “0x652…0371F.”
Phân tích blockchain kết nối ví RD đến “0x44Bd…9E480,” ban đầu được gán nhãn “Konpyl” trên chợ NFT OpenSea. Mặc dù tên tài khoản đã được đổi, nhãn gốc của nó vẫn có thể được xác minh tại Arkham Intelligence, một nền tảng dữ liệu blockchain theo dõi tài khoản OpenSea, cùng với nhiều tài khoản khác.
Một điều tra viên tư nhân, người mà Tạp chí đã xác nhận là đang hợp tác với cơ quan chức năng, khẳng định rằng cuộc điều tra của anh ta kết nối “Konpyl” với một mạng lưới lớn hơn gồm ít nhất 20 vụ việc, và Tạp chí đã xác nhận độc lập mối liên kết đến bảy trong những vụ này.
Điểm chung giữa núi lừa đảo này là địa chỉ Konpyl.
“Anh ta đã làm điều này được khoảng bảy năm, và anh ta nhắm vào người dùng đặt toàn bộ khoản tiết kiệm của mình vào những thứ này, chứ không phải các giao thức lớn,” điều tra viên nói với Tạp chí.
Điều tra viên đã chia sẻ hình ảnh của hồ sơ Know Your Customer (KYC) với Tạp chí, được cho là đã nộp cho nhiều sàn giao dịch bằng các địa chỉ liên kết đến các vụ lừa đảo.
Các tài liệu mà Tạp chí đã thấy gắn liền với “Konstantin Pylinskiy”, Giám đốc điều hành của công ty đầu tư Moonward Capital có trụ sở tại Dubai, sử dụng các tài khoản X và Telegram “@konpyl”. Tuy nhiên, nhiều thông tin KYC giả và bút danh cũng được sử dụng để mở tài khoản, vì vậy Tạp chí không khuyến nghị rằng Pylinskiy là Konpyl — chỉ đơn giản là tên của anh ta được liên kết với các tài khoản này.
Ban đầu, Konpyl chào Tạp chí trên Telegram với câu “Tôi có thể giúp gì cho bạn?” Nhưng khi được yêu cầu làm rõ mối liên hệ giữa Konstantin Pylinskiy, danh tính trên mạng của Konpyl, và vụ lừa đảo ví Rabby, anh ta đã ngừng trả lời.
Tạp chí đã cố gắng liên lạc với Pylinskiy qua các kênh khác, nhưng anh ta không trả lời.
Moonward Capital cũng không trả lời yêu cầu bình luận của Tạp chí về câu chuyện này.
Tạp chí đã xác nhận với một cơ quan chính phủ Hoa Kỳ rằng có một cuộc điều tra đang diễn ra liên quan đến địa chỉ Konpyl.
Giao dịch mới nhất vào ví Konpyl là từ một địa chỉ bị gắn nhãn “Fake_Phishing” trên Etherscan. Sự tương tác của nó với Konpyl là giao dịch đầu ra duy nhất.
Sự kết nối giữa ví Rabby giả và Konpyl
“Anh ta đã cài một bot rút tiền trong tài khoản của tôi,” Bthemouth nói với Tạp chí, ám chỉ đến một script tự động được thiết kế để hút tiền. “Thậm chí sau bao tháng, nó vẫn hoạt động.”
Hacker Rabby Drainer thực hiện nhiều bước để che dấu vết của mình, như chia nhỏ số tiền thu được vào nhiều ví và sử dụng các dịch vụ DeFi để che đậy bằng chứng và hoà lẫn vào đám đông.
Kẻ lừa đảo thường gom những khoản tiền lớn vào các ví tiếp theo để gửi vào các sàn giao dịch tập trung. Mặc dù đã nỗ lực che giấu, vẫn tồn tại sự liên kết giữa RD và Konpyl.
Số tiền của Bthemouth bị rút đã chảy vào Rhino, một cầu nối đa Chain mà kẻ lừa đảo ví Rabby thường sử dụng. Kẻ lừa đảo đã gửi Token vào Rhino và rút chúng qua ví khác.
Từ ngày 15 đến 18 tháng 2, RD đã rút tiền từ nhiều nạn nhân khác với phần lớn số tiền là Token ERC-20. Vào ngày 19 tháng 2, những Token này được chuyển đổi thành 52 ETH (tương đương khoảng 151.000 USD lúc đó) qua các dịch vụ DeFi như Uniswap và 1inch.
Cuối ngày hôm đó, số tiền được chuyển tới ví “0xCE6A…b2Ac5,” nơi cùng với số tiền của Bthemouth và 7 ETH nữa, chuyển khoảng 173.000 USD trong Ether tới Rhino.
Các nhà điều tra Blockchain Tay và SomaXBT xác định ví “0x4E93…c71C2” là người nhận đầu ra Rhino. Nó đã nhận được 173.388 USD trong USDT qua ba giao dịch, với lần chuyển đầu tiên diễn ra khoảng 10 phút sau khi gửi tiền ban đầu.
Dữ liệu blockchain cho thấy cùng ví đầu ra Rhino đã nhận gần 100.000 USD từ Konpyl qua sáu giao dịch hàng tháng từ tháng 2 đến tháng 7.
Các quỹ này cuối cùng di chuyển đến OKX.
Kẻ lừa đảo dường như sử dụng nhiều sàn giao dịch, thường dùng hơn một địa chỉ gửi vào mỗi sàn.
Khi phân tích các ví bị nghi ngờ liên quan đến các vụ hack, các giao dịch đầu vào đầu tiên của chúng thường để lại những manh mối quan trọng cho các ví liên kết. Đôi khi, chúng có thể chỉ ra ai đã tài trợ cho phí gas của ví này.
Nhưng đây không phải đặc điểm của các vụ lừa đảo liên quan đến Konpyl.
“[Konpyl] tài trợ cho các tài khoản này bằng các ví của nạn nhân,” điều tra viên cho biết.
“Anh ta sẽ lấy từ các vụ hack khác để tài trợ cho các ví hacker này, vì vậy bạn không biết rằng đó là anh ta.”
Thiệt hại tổng cộng từ ví Rabby rút tiền
Trừ RD, ước tính đã rút khoảng 152.257 USD từ các nạn nhân, có ít nhất 10 địa chỉ được báo cáo bởi các nạn nhân công khai. Các địa chỉ này chịu trách nhiệm cho hơn 1 triệu USD giảm sau khi người dùng tải xuống ví Rabby giả vào tháng 2 từ App Store.
Sự việc tháng 2 không phải là lần đầu tiên một ví Rabby giả xuất hiện trên App Store. Một phiên bản lừa đảo khác đã sử dụng ít nhất hai ví liên kết với Konpyl khác để rút khoảng 93.000 USD từ các nạn nhân vào cuối năm 2023.
Tạp chí đã xác nhận rằng vụ lừa đảo ví Rabby cũ kết nối với Konpyl, với các đường dẫn quỹ chỉ về cùng địa chỉ đầu ra Rhino đã được sử dụng trong trường hợp của Bthemouth.
Điều tra viên tư nhân nói với Tạp chí rằng ba ví đáng ngờ khác, bị nghi ngờ có liên kết đến kế hoạch ví Rabby, đã rút 278.872 USD, mặc dù những trường hợp này không được công khai báo cáo bởi nạn nhân.
Ngoài ra, Tạp chí biết về ít nhất ba ví khác không thuộc phần của kế hoạch ví Rabby giả nhưng đã đánh cắp tiền sử dụng các chiến thuật khác, chẳng hạn như liên kết phishing được chia sẻ trên mạng social. Bộ ba ví này cũng cho thấy mối liên kết với Konpyl khi sử dụng chung một địa chỉ gửi vào OKX làm người lừa đảo ví Rabby và chuyển tiền đến ví đầu ra Rhino.
Cùng nhau, chúng đã rút 93.261 USD từ các nạn nhân, nâng tổng tổn thất ước tính liên quan đến câu chuyện ví Rabby giả lên ít nhất 1,6 triệu USD.
Các vụ lừa đảo khác liên kết đến ví Rabby giả
Vụ lừa đảo ví Rabby 2024 không phải là hoạt động bất hợp pháp đầu tiên với mối liên kết rõ ràng đến địa chỉ Konpyl, theo hồ sơ blockchain được xác định bởi điều tra viên.
Ví dụ, một báo cáo của nạn nhân trên Reddit tuyên bố rằng tiền của người dùng đã bị rút bởi ví “0x0000…4e9Aba” (chúng tôi gọi là LS1 vì vụ Lừa đảo Ledger). Một cái nhìn gần gũi hơn vào LS1 cho thấy các chiến lược gửi tiền tương tự như những gì được sử dụng trong các kế hoạch ví Rabby giả 2024.
Năm 2020, LS1 đã sử dụng địa chỉ gửi vào “0x05a8…a21e6” (YB1) để chuyển tiền vào sàn giao dịch tiền điện tử Yobit.
LS1 thường xuyên tương tác với “0x1111…858eB” (LS2), gửi và nhận hơn 51.000 USD tiền điện tử với nhau qua 14 giao dịch trong vòng một năm bắt đầu từ tháng 4 năm 2020.
Hai ví này sử dụng địa chỉ gửi khác nhau trên Yobit, khi LS2 ưa thích “0x7e17…873cE” (YB2).
YB2 thường xuyên được Konpyl sử dụng vào thời gian đó để chuyển tiền vào Yobit. Konpyl đã gửi hơn 41.000 USD ETH qua 23 giao dịch từ tháng 9 năm 2020 đến tháng 2 năm 2021.
YB1 và YB2 còn được kết nối bởi “0xBd7D…A2DB7.” Nó sử dụng địa chỉ gửi thứ 2 năm lần cho 196.000 USD trong ETH trong khi ghi một giao dịch 2,4 ETH tới YB1.
Ví này cũng có hai giao dịch trực tiếp từ Konpyl cho 6 ETH.
Cuộc điều tra vào ví Rabby giả và các vụ lừa đảo khác tiếp tục
“Một trong những mục tiêu của tôi là khiến Apple đứng dậy và truy đuổi những kẻ lừa đảo trên App Store của họ. Tôi đã báo cáo với Apple cách đây vài tháng nhưng chưa bao giờ nhận được phản hồi,” điều tra viên chia sẻ với Tạp chí.
Gã khổng lồ công nghệ đối thủ Google trước đó đã thiết lập tiền lệ phản ứng với các kế hoạch lừa đảo như vậy vào đầu năm nay khi nó kiện một nhóm kẻ lừa đảo tiền điện tử được cho là đã lừa đảo hơn 100.000 người bằng cách tải lên các ứng dụng đáng ngờ trên chợ ứng dụng Google Play của mình.
Bthemouth đã từ bỏ nỗ lực khôi phục và nói rằng anh ta đã làm “mọi thứ” có thể.
Một nhóm nạn nhân đã được thành lập từ sớm, nhưng đến bây giờ, “mọi người đều tiếp tục cuộc sống của mình.”
“Đó là ngõ cụt,” Bthemouth nói.
Nhưng vẫn có chút hy vọng cho các nạn nhân.
Các cuộc điều tra bởi các cơ quan thực thi pháp luật và các điều tra viên Blockchain tư nhân vẫn đang tiếp tục, với Konpyl và các ví liên quan vẫn là tâm điểm của sự nghi ngờ.