Người dùng không khỏi ngạc nhiên đã mất khoản dự kiến khoảng 1,6 triệu USD do một ví tiền điện tử giả mạo bằng cách nào đó đã lọt qua quy trình kiểm duyệt nghiêm ngặt của Apple vào tháng 2. Tạp chí lần theo dấu vết trên blockchain để tìm ra ai đứng sau chiếc ví giả mạo này.
Ứng dụng lừa đảo, mạo danh Ví Rabby của DeBank, đã tồn tại trên App Store trong bốn ngày, rút tiền từ nhiều nạn nhân trước khi Apple loại bỏ nó.
“Tôi chưa bao giờ nghĩ rằng đó là một trò lừa đảo vì tôi hoàn toàn tin tưởng vào Apple App Store. Khoảng 20 đến 30 phút sau, tôi mở ví Rabby trên máy tính xách tay và thấy số dư của mình hầu như đã về không,” một nạn nhân của ví Rabby giả mạo kể lại với Tạp chí.
Một trong những nạn nhân đầu tiên phanh phui vụ lừa đảo là người dùng X có nick là Bthemouth, báo cáo rằng tài sản của anh ta đã bị hút cạn vào ví Rabby Drainer (RD), địa chỉ “0x652…0371F.”
Phân tích blockchain kết nối ví RD với địa chỉ “0x44Bd…9E480,” ban đầu được gắn nhãn “Konpyl” trên chợ NFT OpenSea. Mặc dù tên tài khoản đã được thay đổi, nhãn gốc của nó vẫn có thể được xác minh trên Arkham Intelligence, một nền tảng dữ liệu blockchain theo dõi các tài khoản OpenSea, trong số các nền tảng khác.
Một điều tra viên tư nhân, mà Tạp chí đã xác nhận đang hợp tác trong vụ án cùng với các cơ quan hữu quan, khẳng định rằng cuộc điều tra của ông ta kết nối “Konpyl” với một mạng lưới lớn hơn ít nhất 20 vụ việc, và Tạp chí đã độc lập xác nhận các liên kết đến bảy trong số đó.
Điểm chung giữa núi những trò lừa đảo này là địa chỉ Konpyl.
“Anh ta đã làm điều này khoảng bảy năm, và anh ta nhắm tới những người dùng dành hết tiền tiết kiệm cho những thứ này, không phải là các giao thức lớn,” nhà điều tra nói với Tạp chí.
Nhà điều tra đã chia sẻ hình ảnh của các tài liệu Know Your Customer (KYC) với Tạp chí, được cho là đã được gửi tới nhiều sàn giao dịch bởi các địa chỉ liên kết với các vụ lừa đảo.
Các tài liệu mà Tạp chí đã thấy được liên kết với “Konstantin Pylinskiy,” CEO của công ty đầu tư ở Dubai mang tên Moonward Capital, người sử dụng các tài khoản trên X và Telegram là “@konpyl.” Tuy nhiên, nhiều thông tin KYC giả mạo và các bí danh cũng đã được sử dụng để mở tài khoản, do đó Tạp chí không gợi ý rằng Pylinskiy là Konpyl — chỉ ra rằng tên đó được liên kết với các tài khoản này.
Ban đầu, Konpyl chào đón Tạp chí qua Telegram với câu “Làm thế nào tôi có thể giúp bạn?” Nhưng khi được yêu cầu làm rõ mối liên hệ giữa Constantin Pylinskiy, persona trực tuyến của Konpyl, và vụ lừa đảo ví Rabby, anh ta ngừng phản hồi.
Tạp chí đã cố gắng liên hệ với Pylinskiy thông qua các kênh khác, nhưng anh ta không trả lời.
Moonward Capital cũng không phản hồi yêu cầu bình luận từ Tạp chí về câu chuyện này.
Tạp chí đã xác nhận với một cơ quan của chính phủ Mỹ rằng một cuộc điều tra đang diễn ra có liên quan đến địa chỉ Konpyl.
Giao dịch mới nhất đến ví Konpyl là từ một địa chỉ bị gắn nhãn “Fake_Phishing” trên Etherscan. Tương tác của nó với Konpyl là giao dịch gửi tiền đi duy nhất.
Mối liên hệ giữa ví Rabby giả mạo và Konpyl
“Anh ta có một bot hút trong tài khoản của tôi,” Bthemouth nói với Tạp chí, ám chỉ một kịch bản tự động được thiết kế để rút tiền. “Thậm chí sau nhiều tháng, nó vẫn hoạt động.”
Kẻ đóng vai Rabby Drainer thực hiện nhiều bước để che giấu dấu vết của mình, chẳng hạn như chia nhỏ lợi nhuận tội phạm vào nhiều ví khác nhau và sử dụng các dịch vụ DeFi để che giấu bằng chứng và hòa lẫn vào đám đông.
Kẻ lừa đảo sau đó thường xuyên tập trung một lượng lớn tiền vào các ví tiếp theo để nạp vào các sàn giao dịch tập trung. Dù sau những nỗ lực che giấu, vẫn có các liên kết giữa RD và Konpyl.
Số tiền của Bthemouth bị hút cạn đã đi đến Rhino, một cầu nối đa Chain mà kẻ lừa đảo ví Rabby thường xuyên sử dụng. Kẻ lừa đảo nạp Token vào Rhino và rút chúng qua một ví khác.
Từ ngày 15 đến 18 tháng 2, RD đã hút cạn nhiều nạn nhân khác, với phần lớn số tiền được giữ dưới dạng các Token ERC-20. Vào ngày 19 tháng 2, các Token này đã được chuyển đổi thành 52 ETH (khoảng 151.000 USD vào thời điểm đó) bằng cách sử dụng các dịch vụ DeFi như Uniswap và 1inch.
Cuối ngày hôm đó, số tiền đã chuyển đến ví “0xCE6A…b2Ac5,” cùng với tiền của Bthemouth và thêm 7 ETH, chuyển khoảng 173.000 USD trong Ether đến Rhino.
Các nhà điều tra on-chain Tay và SomaXBT xác định ví “0x4E93…c71C2” là người nhận đầu ra Rhino. Nó đã nhận được 173.388 USD USDT trong ba giao dịch, với lô đầu tiên đến khoảng 10 phút sau khi nạp tiền ban đầu.
Số liệu blockchain cho thấy ví đầu ra Rhino đã nhận gần 100.000 USD từ Konpyl qua sáu giao dịch hàng tháng từ tháng 2 đến tháng 7.
Những khoản tiền này cuối cùng đã đến OKX.
Kẻ lừa đảo dường như sử dụng nhiều sàn giao dịch, thường sử dụng hơn một địa chỉ nạp tiền cho mỗi sàn.
Khi phân tích các ví nghi ngờ có liên quan đến các vụ tấn công, các giao dịch đầu tiên nhập vào thường để lại gợi ý quan trọng về các ví liên quan. Đôi khi, chúng có thể cho thấy ai đã tài trợ phí gas cho ví.
Nhưng đây không phải là đặc điểm của các vụ lừa đảo liên quan đến Konpyl.
“[Konpyl] tài trợ các tài khoản này bằng các ví của nạn nhân,” nhà điều tra tư nhân cho biết.
“Anh ta sẽ lấy từ các vụ tấn công khác để tài trợ cho ví lừa đảo này, nên không ai biết đó là anh ta.”
Tổng thiệt hại của kẻ hút ví Rabby
Tính cả RD, cái đã hút khoảng 152.257 USD từ nạn nhân, có ít nhất 10 địa chỉ được xác định bởi các báo cáo của nạn nhân công khai. Những địa chỉ này chịu trách nhiệm hơn 1 triệu USD thiệt hại sau khi người dùng tải xuống ví Rabby giả mạo vào tháng 2 từ App Store.
Sự cố tháng 2 không phải là lần đầu tiên có một ví Rabby giả mạo xuất hiện trên App Store. Một phiên bản khác của trò lừa đảo đã sử dụng ít nhất hai ví khác liên kết với Konpyl để hút khoảng 93.000 USD từ nạn nhân vào cuối năm 2023.
Tạp chí đã xác nhận rằng vụ lừa đảo ví Rabby cũ có liên quan đến Konpyl, với dấu vết tiền dẫn đến cùng địa chỉ đầu ra Rhino được sử dụng trong trường hợp của Bthemouth.
Nhà điều tra tư nhân nói với Tạp chí rằng ba ví nghi ngờ khác, được cho là liên quan đến kế hoạch ví Rabby, đã hút 278.872 USD, mặc dù những trường hợp này không được báo cáo công khai bởi các nạn nhân.
Thêm vào đó, Tạp chí biết ít nhất ba ví khác không phải là một phần của kế hoạch ví Rabby giả mạo nhưng đánh cắp tiền bằng cách sử dụng các chiến thuật khác, chẳng hạn như liên kết lừa đảo được chia sẻ trên mạng social. Bộ ba ví này cũng hiển thị kết nối với Konpyl bằng cách sử dụng địa chỉ nạp tiền chung OKX như kẻ lừa đảo ví Rabby và chuyển tiền đến ví đầu ra Rhino.
Cùng nhau, họ đã hút 93.261 USD từ nạn nhân, nâng tổng thiệt hại được kết nối với saga ví Rabby giả mạo lên ít nhất 1,6 triệu USD.
Các vụ lừa đảo khác gắn kết với ví Rabby giả
Vụ lừa đảo ví Rabby năm 2024 không phải hoạt động bất hợp pháp đầu tiên có liên kết mạnh mẽ với blockchain đến địa chỉ Konpyl, hồ sơ blockchain xác định bởi nhà điều tra tư nhân cho thấy.
Ví dụ, một báo cáo nạn nhân trên Reddit cho thấy tiền của một người dùng bị hút cạn bởi ví “0x0000…4e9Aba” (chúng tôi gọi là LS1 cho Lừa Đảo Ledger). Một cái nhìn gần hơn vào LS1 tiết lộ các chiến lược nạp tiền tương tự như các kế hoạch ví Rabby giả năm 2024.
Năm 2020, LS1 sử dụng địa chỉ nạp “0x05a8…a21e6” (YB1) để chuyển tiền vào sàn giao dịch tiền điện tử Yobit.
LS1 thường xuyên tương tác với “0x1111…858eB” (LS2), gửi và nhận hơn 51.000 USD tiền điện tử với nhau qua 14 giao dịch trong một năm kể từ tháng 4 năm 2020.
Hai ví dường như sử dụng các địa chỉ nạp khác nhau trên Yobit, vì LS2 ưa chuộng “0x7e17…873cE” (YB2).
YB2 thường xuyên được Konpyl sử dụng vào thời điểm đó để chuyển tiền tới Yobit. Konpyl đã gửi hơn 41.000 USD ETH trên 23 giao dịch từ tháng 9 năm 2020 đến tháng 2 năm 2021.
YB1 và YB2 liên kết thêm bởi “0xBd7D…A2DB7.” Nó sử dụng địa chỉ nạp thứ 2 năm lần cho 196.000 USD trong ETH trong khi thực hiện một giao dịch 2,4 ETH tới YB1.
Ví này cũng có hai giao dịch trực tiếp từ Konpyl cho 6 ETH.
Cuộc điều tra về ví Rabby giả mạo và các vụ lừa đảo khác vẫn đang tiếp tục
“Một trong những mục tiêu của tôi là để Apple hành động và truy lùng những kẻ lừa đảo trên App Store của họ. Tôi đã báo cáo với Apple từ vài tháng trước nhưng chưa bao giờ nhận được phản hồi,” nhà điều tra nói với Tạp chí.
Đối thủ công nghệ Google trước đó đã tạo tiền lệ phản ứng trước các kế hoạch lừa đảo như vậy đầu năm nay khi kiện một nhóm được cho là kẻ lừa đảo tiền điện tử vì lừa đảo hơn 100.000 người bằng cách tải lên ứng dụng mánh khoé trên thị trường của mình, Google Play.
Bthemouth đã từ bỏ nỗ lực khôi phục và cho biết anh đã làm “mọi thứ” có thể.
Một nhóm nạn nhân đã được thành lập từ sớm, nhưng giờ đây, “mọi người đã tiếp tục cuộc sống của họ.”
“Nó là một ngõ cụt,” Bthemouth nói.
Nhưng vẫn còn một chút hi vọng cho các nạn nhân.
Các cuộc điều tra của các cơ quan thực thi pháp luật và các nhà điều tra blockchain tư nhân đang tiếp tục, với Konpyl cùng các ví liên quan vẫn đang là tâm điểm nghi ngờ.