ZachXBT 最新調查:《堡壘之夜》職業玩家如何利用 meme 騙局盜取 300 萬美元?
黑客 Serpent 在 X 和 Instagram 上控制了麥當勞、Kabosu 等 9 個帳號,發起 Meme 幣詐騙,盜取約 350 萬美元,並用於賭場賭博。
作者:zachxbt,鏈上偵探
原文編譯:zhouzhou,BlockBeats
編者按:本文分析黑客 Serpent 在 X 和 Instagram 上控制了麥當勞、Kabosu 等 9 個帳號,發起 Meme 幣詐騙,盜取約 350 萬美元,並用於賭場賭博。Serpent 曾是《堡壘之夜》職業玩家,因作弊被解約。2022 年,他共同創立的 NFT 項目 DAPE 發生 Rug Pull,2024 年推出的 ERROR 項目也遭遇 Rug Pull,最終被 X 封禁。
以下為原文內容(為便於閱讀理解,原內容有所整編):
過去幾個月,我一直在跟蹤一系列相關的洩露事件,涉及麥當勞、Usher、Kabosu 的擁有者、Andy Ayrey、Wiz Khalifa、SPX 6900 等,這些事件通過發布 Pump Funmeme 幣導致了約 350 萬美元的盜竊。
2024 年 8 月 21 日,麥當勞的 Instagram 帳戶遭到入侵,並發布了一條推廣捆綁 meme 幣 GRIMACE 的帖子,隨後黑客開始進行惡搞。從這次拉高出貨中,超過 69 萬美元被匯入兩個錢包。
4RiNhTwBxYWgb4MSCtt9vXgVk2yuPhoQR3DR9pMVPU1W
2vjnmxwTYNJvTmFhtqxZkPiuCHkaKZK5rcxTLuoC2dPB
2024 年 9 月 3 日,麥當勞攻擊者將 101.5 SOL 轉移到兩個地址,在演員 Dean Norris 的 X 帳戶被黑客入侵後,這兩個地址部署並狙擊了 SCHRADER。
4s9Uz9pTBXcEaEtcjs8eg98r2TVte3rq3JUm3rVTFMudfewGbNKmqNyYs9bSAMDUaTbTcuA1v39sWr7GRqkDJ6EM
1gxo1pjTqjbee7rHW4cGvuNffX1qP4F8fP17g6SSC5EYbQrnktDrKSFB1uh4ju7PxQjprWFin37WUsAe225b9c6
2024 年 9 月 6 日,麥當勞 APT(帳戶劫持)所得款項被轉移到一個賭場存款地址。
CuNzegC9DE4CxCMn31ZcYLvtDaYsLD9RX8eRvmtZQrnB
通過進行時間分析,可以找到存款後不久進行的後續取款。
B2fwZt5nTbdrnJ2CPsgrYMPuB4UnhN82EAM34dXDARLh
2024 年 9 月 12 日,B2fw 將 110 SOL 轉移到兩個地址,這些地址參與了在 Usher 洩露事件中推廣的 meme 幣搶購。
4FUrwoHz1fuUf4eR6YEAYSG9d9rN5fzbowMXtbjwJAhTDtHXjpnTb1sz6aeF6T79JaiMFyT2xX2EuTxqT5UhFfKD
427zpHF1WWgYgKxcSiUzwXLg2UqsF6xq7K13PU3mh6Wr99mipiVA6GcDTwi7EY93RJeRuEUDZAK9BnoMeki7sU6C
隨後,B2fw 將 4868 SOL 轉移到賭場存款地址 ECb5v,與 Ecb5v 直接相關的還有其他 APT(帳戶劫持)事件,包括 Andy Ayrey 和 Enoshima 水族館的洩露事件。
Ecb5vsomUG3MEnLCgiFvkdnnqpggTEXtN17z62iDPuU3
2024 年 10 月 15 日,Enoshima 水族館的 X 帳號遭到入侵,並推廣了一款捆綁 meme 幣。當天,從該詐騙中獲得的 84 SOL 被轉移到了 ECb5v。
5PDjh74JTLMPW4dXr6fKm3Yue2j3vhbxLSK5dPbQ3oEGK4axE7fua1ngBMas4xpRY6dBr92Ccps7b1WwcLdnxXWL
2024 年 10 月 29 日,Andy Ayrey(Truth Terminal 的創始人)的 X 帳號遭到入侵,持續了多天,並推廣了 6 個 meme 幣詐騙。3GVUs 是參與搶購代幣的地址之一。
3GVUs2gNr161ohqnVXjUeoNQmf3cELxKSiPrxyQu6pjd
2024 年 10 月 30 日,3GVUs 將 169 SOL 轉移到 Ecb5vs。
67nwsLLE3aGua4VeH8p6qHc3SL3rpxi9omMxRnfpeyZVsBpZawnUHo4Pt4tdT5Vxny2uRNRDH3vSZ1fzvKkNCML4
從 Andy Ayrey ATO 中獲得的 217.8 萬美元中,有 75 萬美元被存入賭場存款地址 Apc3e。
Apc3eA9ScQksuZvfURQswZwVkusEYRaqeKEv4eXXbRZm
Kabosu ATO 中的 0.1 SOL 為參與 Andy Ayrey ATO 的一個地址提供了資金。
2024 年 10 月 17 日,Kabosu 的擁有者 Instagram 帳戶遭到入侵,並推廣了一個 meme 幣詐騙。
當天,來自該詐騙的 191 SOL 被轉移到賭場存款地址:
6kwZ7tz8Xs7jaVqVJXZSRrZ2FtS2PPChEVuLXKrmMgCm
Kabosu 和 Andy Ayrey 的 APT(帳戶劫持)事件與 Wiz Khalifa 的 APT 事件直接相關。
2023 年 11 月 3 日,攻擊者在 Wiz Khalifa 的帳號上發布了一個錢包地址。29 SOL 被轉移到 6kwZ7,就像 Kabosu ATO 中發生的情況一樣。
NFCs23ddXQc9Zff2VJotEn2zaSAh4tvw6U6kb7fdXovZ8YPQgJMGQkXmtWiTutqnoBf6wR2khaKvFpyEKNhHfjJ
WIZ 的部署者資金來自 Andy Ayrey ATO。參與搶購的其他地址將所有通過即時兌換獲得的收益轉移到了賭場存款地址 0x83ee。
0x83ee6b53a0ae76b71bed0c32721a451776dbdb3a
2024 年 10 月 16 日,0x83ee 從該詐騙的部署者那裡收到了 0.54 ETH,而 SPX 6900 在 2024 年 10 月 11 日遭到入侵。
在 Solana 上,另一個由被入侵的 SPX 6900 帳戶推廣的詐騙得到了 Ken Carson 攻擊者的資助。
為了進一步證明 Kabosu 擁有者、SPX 6900、Ken Carson 和 Enoshima ATO 之間的關係,每個 meme 幣的部署者通過即時兌換資金向前一個部署者地址提供資金,試圖掩蓋資金來源。
調查威脅行為者 Serpent 如何從職業 Fortnite 玩家轉變為通過從 X 和 IG 上的 9+帳戶洩露發起的模因幣詐騙幫助竊取$3.5M,並將收益用於線上賭場賭博。
Serpent(SerpentAU)是一名來自澳大利亞的前職業 Fortnite 選手,他在 2020 年 6 月被發現涉嫌作弊後被電子競技組織「Overtime」釋放。然後他於 2022 年 3 月共同創立了 NFT 項目 DAPE,後來 rug pulling。
2024 年 3 月,Serpent 推出了另一個名為 ERROR 的項目,但該項目進行了拉地(rug pull),導致他被 X 平台封禁。
部署者地址:
0x8233873ee35547097ccb9098adbab955d7120ee8
2024 年 10 月 23 日,ERROR 部署者將總計 29 ETH 轉移到兩個即時交易所。
通過進行時間分析,可以看到這些資金被接收到了 Solana,並且轉入了相同的賭場存款地址。
Ecb5vsomUG3MEnLCgiFvkdnnqpggTEXtN17z62iDPuU3
直接與存款地址 Ecb5vs 相連的多個 ATO(攻擊性交易活動)包括:麥當勞、Usher、Andy Ayrey、Dean Norris 和 Enoshima 水族館。(詳細追蹤內容請參見開頭部分)
Serpent 每月在 Roobet、Stake、BC Game 和 Shuffle 上賭博數百萬美元,且經常在 Discord 上與朋友共享螢幕。
我獲得了他賭博時的錄音,其中不小心洩露了多個存款和提款地址。
Discord ID:1269557350486904945
在 2024 年 11 月 1 日的螢幕共享中,Serpent 分享了一個$100K 的存款和$200K 的提款,轉帳到以下地址。
在繪製交易圖時,發現該地址與麥當勞、Andy Ayrey 和 Usher ATO 相關的地址有較高的曝光度。
0xb8c9c8a5756a7992df65f949b7c1423eeb435aa5
在 Andy Ayrey 的安全漏洞事件中,另一位威脅行為者參與了搶奪這些詐騙項目,他使用的是「Dex」這個化名(來自美國麻薩諸塞州)。
他在上週被我在 Telegram 頻道提及後開始慌亂,並編造了一個關於被敲詐的故事,聲稱自己損失了$700K。
目前與這些安全漏洞相關的資金存放在以下地址:
0xeb60a5242c1c97eb54195ec83de43bb26813c0d1
0x2355ac2929bb7051814de3c48670fccbb515d8be
4jjWZ8RaXZBqntnhu2JFidXEQWXgfKRbJQZdTHrdaqbv
在我的調查第一部分發布後的今天,Serpent 開始刪除他在新 X 帳戶上的所有帖子。我懷疑還有一些相關的 ATO(攻擊性交易活動)我尚未能夠直接在鏈上追蹤到。關於其中一起帳戶被攻破的事件,我已經將一份詳細的調查報告分享給了我正在與之合作的一個受害者。
免責聲明:文章中的所有內容僅代表作者的觀點,與本平台無關。用戶不應以本文作為投資決策的參考。
您也可能喜歡
華爾街研報:「川普交易」分三階段演變,選後首波行情已告段落
輝達有意在台灣設立海外總部!蔣萬安:全力爭取落腳北市
不只是迷因幣,看好 PENGU 未來發展的三個理由
俄羅斯宣布 10 地區禁止挖礦直到 2031 年,怕電網被榨乾