Thám tử Blockchain ZachXBT vừa bóc trần một vụ lừa đảo kỹ thuật social lớn trị giá 4 triệu USD do Christian Nieves, hay còn gọi là Daytwo và PawsOnHips, thực hiện. Kẻ lừa đảo giả danh nhân viên hỗ trợ khách hàng để nhắm vào người dùng của Coinbase.
Theo ZachXBT, Daytwo vận hành một trung tâm cuộc gọi nhỏ, dụ dỗ nạn nhân tạo ví Coinbase bằng seed phrase bị xâm phạm thông qua các trang web phishing. Tiền bị đánh cắp nhanh chóng được chuyển vào các Casino trực tuyến hoặc đổi sang tiền điện tử bảo mật như Monero (XMR) để che giấu dấu vết. Kẻ lừa đảo này còn tiêu xài hoang phí và mất phần lớn tiền vào các cuộc cá cược.
Ví tiền điện tử của kẻ lừa đảo liên quan đến hơn 30 vụ trộm
ZachXBT tiết lộ, tháng 11 năm 2024, cộng sự của Daytwo tên Paranoia (Justin) đã đánh cắp 240 K USD từ một nạn nhân lớn tuổi. Có đoạn ghi âm riêng tư ghi lại toàn bộ quá trình lừa đảo. Địa chỉ trộm cắp bao gồm bc1q35tw4f5qrfxrjy2v8g8d3majtujv28audm6yvp và AJU5yh4kDahLak4uq5n4ehJDVs2w2Lbhw9UHoseaBwV7.
Thám tử Blockchain truy vết dòng tiền, chia thành ba phần: một phần gửi vào Roobet – Casino tiền điện tử trực tuyến nơi Daytwo thường xuyên cá cược – phần còn lại được đổi sang XMR.
4/ I went and traced out the theft and noticed the 240 K USD was split three different ways.
A portion was deposited to Roobet and the rest was converted to XMR. pic.twitter.com/rclz1myf3X
— ZachXBT (@zachxbt) June 23, 2025
Daytwo còn thích cá cược qua các cuộc gọi Discord với bạn bè. ZachXBT cung cấp đoạn ghi âm cho thấy tên đăng nhập Roobet của kẻ lừa đảo là ‘pawsonhips,’ đồng thời lộ địa chỉ ví gửi tiền (0x940970549037634c517deb741b16112b52e0ced1) trên tab trình duyệt. Dữ liệu on-chain liên kết địa chỉ này với ít nhất hơn 30 vụ trộm nghi ngờ, cho thấy mạng lưới nạn nhân rộng lớn.
Kẻ trộm tiền điện tử đốt sạch toàn bộ vào cờ bạc
Thói quen cá cược của Daytwo là điểm nổi bật trong cuộc điều tra. Dữ liệu cho thấy số tiền gửi vào Casino giảm dần qua từng lần, phản ánh chuỗi thua lỗ liên tục. Cuối cùng, hắn buộc phải lấy cắp tiền từ đồng phạm để duy trì thói quen chơi bạc. Các địa chỉ gửi tiền mới cũng đã bị truy vết on-chain khối, củng cố quy mô gian lận.
Kẻ lừa đảo thường nhóm họp trên Discord để trao đổi về việc rửa tiền và không ngần ngại lộ diện. Danh tính của hắn đã được phát hiện.
Đáng chú ý, Daytwo công khai khoe tiền đánh cắp trên mạng social và từng mua một chiếc Corvette bằng số tiền gian lận. Hắn còn dán nhãn Instagram ‘daytw00000’ lên xe, trực tiếp nối kết danh tính thật với nhân vật gian lận mạng.
Trong một hành động thách thức, kẻ lừa đảo đăng ảnh giơ ngón tay thối nhắm vào tài khoản X (trước đây là Twitter) của ZachXBT và sử dụng làm ảnh bìa trên Instagram. Trong khi đa số gian lận kỹ thuật social tồn tại trong bóng tối, sự coi thường tính ẩn danh của Daytwo biến vụ án thành mục tiêu đơn giản cho cơ quan thực thi pháp luật.
