Vụ trộm Bitcoin của Bonkers: khách sạn 5 sao, phong bì chứa đầy tiền mặt, quỹ biến mất

Khi Kent Halliburton đứng trong phòng tắm tại khách sạn Rosewood ở trung tâm Amsterdam, cách nhà hàng ngàn dặm, lướt ngón tay qua một phong bì chứa đầy 10.000 euro tiền giấy sắc nét, anh bắt đầu tự hỏi mình đã dấn thân vào điều gì.

Halliburton là người đồng sáng lập và CEO của Sazmining, một công ty hoạt động phần cứng khai thác Bitcoin thay mặt cho mô hình client—a được gọi là “mining-as-a-service.” Halliburton có trụ sở tại Peru, nhưng Sazmining chạy phần cứng khai thác từ các trung tâm dữ liệu của bên thứ ba trên khắp Na Uy, Paraguay, Ethiopia và Hoa Kỳ.

Như Halliburton kể lại, anh đã bay đến Amsterdam vào ngày hôm trước, ngày 5 tháng 8, để gặp Even và Maxim, hai đại diện của một gia đình giàu có ở Monaco. Văn phòng gia đình đã đề nghị mua hàng trăm giàn khai thác bitcoin từ Sazmining— trị giá khoảng 4 triệu USD mà công ty sẽ lắp đặt tại một cơ sở hiện đang được xây dựng ở Ethiopia. Trước khi hoàn tất thương vụ, văn phòng gia đình đã yêu cầu được gặp trực tiếp Halliburton.

Khi Halliburton đến khách sạn Rosewood, anh thấy Even và Maxim đang ngồi trong một gian hàng. Họ đánh anh ta là một tay chơi, loại cao cấp, đặc biệt là Maxim, người mặc bộ vest ba mảnh màu nâu vàng và có vẻ ngoài được cắt tỉa cẩn thận, mái tóc đen dài của anh ta rẽ ngôi giữa. Một chiếc Rolex nhô ra từ cổ tay áo của anh ấy.

Trong bữa trưa ba món—ceviche với trang trí trứng cá, cá vược Chile và bánh anh đào, họ đã thảo luận về đường nét của thỏa thuận và trao đổi thông tin chi tiết về lý lịch tương ứng của họ. Thậm chí còn nói nhiều và hài hước, kể những câu chuyện về những bữa tiệc hoành tráng ở Marrakech. Maxim xa cách; anh ta chủ yếu nhìn chằm chằm vào Halliburton, nhìn chằm chằm trong thời gian dài như thể đang định cỡ anh ta.

Như một bài tập xây dựng mối quan hệ, Even đề xuất Halliburton bán văn phòng gia đình khoảng 3.000 đô la bitcoin. Halliburton ban đầu do dự nhưng coi đó là một nghi lễ hẹn hò đặc biệt. Một trong những kẻ đã trượt Halliburton phong bì chứa đầy tiền mặt và bảo anh ta đi vệ sinh, nơi anh ta có thể đếm số tiền một cách riêng tư. “Nó giống như một bộ phim James Bond,” Halliburton nói. “Tất cả đều rất kỳ lạ đối với tôi.”

Halliburton rời đi trên một chiếc taxi, có phần bối rối trước cuộc chạm trán, nhưng mặt khác lại hy vọng chốt được thỏa thuận với văn phòng gia đình. Đối với Sazmining, một công ty nhỏ với khoảng 15 nhân viên, nó hứa hẹn sẽ mang tính thay đổi.

Chưa đầy hai tuần sau, Halliburton đã mất số bitcoin trị giá hơn 200.000 USD vào tay Even và Maxim. Anh ta không biết liệu Sazmining có thể sống sót sau cú đánh hay không, cũng như những kẻ lừa đảo đã gài bẫy anh ta như thế nào.

Ngay sau bữa trưa với Even và Maxim, Halliburton đã bay tới Latvia để tham dự hội nghị Bitcoin. Từ đó, ông tới Ethiopia để kiểm tra công việc xây dựng tại cơ sở trung tâm dữ liệu.

Khi Halliburton ở Ethiopia, anh ấy đã nhận được tin nhắn WhatsApp từ Even, người muốn tiếp tục thỏa thuận với một điều kiện: Sazmining bán cho văn phòng gia đình một lượng bitcoin lớn hơn như một phần của giao dịch, sau lần mua nhỏ ban đầu tại Khách sạn Rosewood. Họ đã đạt được giá trị 400.000 đô la, bằng một phần mười giá trị tổng thể của thỏa thuận.

Thậm chí còn yêu cầu Halliburton quay trở lại Amsterdam để ký các hợp đồng cần thiết nhằm hoàn tất thương vụ. Xa gia đình nhiều tuần, Halliburton phản đối. Nhưng Even đã vẽ một đường trên cát: “Remote doesn't work for me that's not how I does business at the moment,” anh ấy đã viết trong một tin nhắn văn bản được xem xét bởi WIRED.

Halliburton trở lại Amsterdam vào đầu giờ chiều ngày 16 tháng 8. Tối hôm đó, anh dự định gặp Maxim tại một nhà hàng teppanyaki ở khách sạn năm sao Okura. Nội thất được trang trí công phu theo phong cách truyền thống Nhật Bản; nó có các tấm gỗ, tường giấy, khu vườn thiền và một đàn hạc origami treo trên dây xuống cầu thang xoắn ốc ở sảnh.

Halliburton tìm thấy Maxim đang ngồi trên một chiếc ghế dài ở khu vực chờ bên ngoài nhà hàng, trong bộ vest màu bạc lòe loẹt. Khi họ chờ đợi một bàn, Maxim hỏi Halliburton liệu anh ta có thể chứng minh rằng Sazmining giữ đủ bitcoin để thực hiện giao dịch phụ mà Even đã đề xuất hay không. Anh ấy muốn Halliburton chuyển khoảng một nửa số tiền đã thỏa thuận—worth $220.000— vào một ứng dụng ví bitcoin được văn phòng gia đình tin cậy. Các quỹ sẽ vẫn nằm dưới sự kiểm soát của Halliburton, nhưng văn phòng gia đình sẽ có thể xác minh sự tồn tại của chúng bằng cách sử dụng dữ liệu giao dịch công khai.

Halliburton mở ngón tay cái iPhone của mình ra. Ng dụng, Atomic Wallet, đã có hàng ngàn đánh giá tích cực và đã được liệt kê trên Apple App Store trong vài năm. Với Maxim ở bên cạnh, Halliburton đã tải xuống ứng dụng và tạo ra một chiếc ví mới. “Tôi đang cố gắng giành được sự tin tưởng của anh chàng này, ” Halliburton nói. “Một lần nữa, một hợp đồng trị giá 4 triệu đô la. Tôi vẫn đang nhìn vào củ cà rốt đó.”

Bữa tối trôi qua phần lớn mà không xảy ra sự cố nào. Lần này Maxim ít cảnh giác hơn; anh ấy nói về sở thích đồng hồ và các hợp đồng tìm nguồn cung ứng công việc cho văn phòng gia đình. Cảm thấy dưới thời tiết từ tất cả các chuyến du lịch, Halliburton nghiêng để kết thúc mọi th.

Họ rời đi với sự hiểu biết rằng Maxim sẽ đưa các hợp đồng đã ký đến văn phòng gia đình để thực hiện, trong khi Halliburton sẽ gửi 220.000 đô la bitcoin đến địa chỉ ví mới của mình theo thỏa thuận.

Trở lại phòng khách sạn của mình, Halliburton đã kích hoạt một giao dịch thử nghiệm nhỏ bằng địa chỉ Ví nguyên tử mới của mình. Sau đó, anh ta xóa và khôi phục ví bằng thông tin xác thực riêng tư—, cụm từ hạt giống— được tạo khi anh ta tải xuống ứng dụng lần đầu tiên, để đảm bảo rằng nó hoạt động như mong đợi. “Phải thực hiện một số biện pháp an ninh nhưng gần như đã sẵn sàng. Cảm ơn sự kiên nhẫn của bạn,” đã viết Halliburton trong tin nhắn WhatsApp tới Even. “Không phải lo lắng,” Thậm chí còn trả lời.

Vào lúc 10:45 tối, hài lòng với các thử nghiệm của mình, Halliburton ra hiệu cho một đồng nghiệp phát hành bitcoin trị giá 220.000 đô la vào địa chỉ Ví nguyên tử. Khi nó đến, anh ấy đã gửi ảnh chụp màn hình số dư cập nhật cho Even. Một phút sau, Even viết lại, “Cảm ơn yiu [sic].”

Halliburton gửi một tin nhắn khác cho Even, hỏi về các hợp đồng. Mặc dù trước đó đã nhanh chóng trả lời nhưng Even đã không trả lời. Halliburton đã kiểm tra ứng dụng Atomic Wallet, cảm thấy có điều gì đó không ổn. Bitcoin đã biến mất.

Bụng Halliburton tụt xuống. Khi ngồi trên giường, anh cố gắng ngăn mình khỏi nôn mửa. “Nó giống như bị đấm vào ruột vậy,” Halliburton nói. “Đó chỉ là cú sốc và sự hoài nghi.”

Halliburton vắt óc cố gắng tìm hiểu xem mình đã bị lừa như thế nào. Vào lúc 11:30 tối, anh ta gửi một tin nhắn khác cho Even: “Đó là trò lừa đảo tinh vi nhất mà tôi từng trải qua. Tôi biết bạn có thể không cho một shit nhưng doanh nghiệp của tôi có thể không tồn tại điều này. Tôi đã làm việc bốn năm trong cuộc đời mình để xây dựng nó.”

Thậm chí còn đáp lại, phủ nhận rằng mình đã làm gì sai, nhưng đó là lần cuối cùng Halliburton nghe được từ anh ta. Halliburton đã cung cấp cho WIRED tài khoản Telegram Even đã sử dụng; nó hoạt động lần cuối vào ngày tiền cạn kiệt. Thậm chí đã không trả lời yêu cầu bình luận.

Trong vòng vài giờ, số tiền rút ra từ ví của Halliburton bắt đầu được chia ra, xáo trộn thông qua một mạng lưới các địa chỉ khác nhau và gửi vào các nền tảng của bên thứ ba để chuyển đổi crypto thành tiền tệ thông thường, phân tích của các công ty phân tích blockchain Chainalysis và CertiK cho thấy.

Một phần bitcoin được phân chia giữa các cơ sở hối đoái tức thời khác nhau, cho phép mọi người hoán đổi loại tiền điện tử này sang loại tiền điện tử khác gần như ngay lập tức. Phần lớn được chuyển vào một địa chỉ duy nhất, nơi nó được trộn lẫn với các quỹ được Chainalysis gắn thẻ là số tiền thu được từ các giao dịch lừa đảo, một trò lừa đảo trong đó ai đó mạo danh một nhà đầu tư để đánh cắp tiền điện tử từ một công ty khởi nghiệp.

“Không có gì bất hợp pháp về các dịch vụ mà kẻ lừa đảo tận dụng, ” Margaux Eckle, điều tra viên cấp cao tại Chainalysis nói. “Tuy nhiên, việc họ tận dụng các địa chỉ hợp nhất có vẻ được kết nối rất chặt chẽ với hoạt động lừa đảo được dán nhãn có khả năng là dấu hiệu của hoạt động lừa đảo.”

Một số bitcoin đi qua địa chỉ hợp nhất đã được gửi bằng một sàn giao dịch tiền điện tử, nơi nó có thể được đổi lấy tiền tệ thông thường. Phần còn lại được chuyển đổi thành stablecoin và di chuyển qua cái gọi là cầu nối đến blockchain Tron, nơi lưu trữ một số dịch vụ giao dịch không cần kê đơn có thể dễ dàng được sử dụng để rút ra số lượng lớn tiền điện tử, các nhà nghiên cứu tuyên b.

Tác dụng của nhiều bước nhảy, xáo trộn, chuyển đổi và phân chia là gây khó khăn hơn cho việc truy tìm nguồn gốc của tiền để chúng có thể được rút tiền mặt mà không gây nghi ngờ. “Kẻ lừa đảo khá tinh vi, ” Eckle nói. “Mặc dù chúng tôi có thể theo dõi qua một cây cầu, nhưng đó là một cách để làm chậm quá trình truy tìm nguồn tiền từ các nhà điều tra có thể đang theo dõi bạn.”

Cuối cùng, dấu vết của dữ liệu giao dịch công khai dừng lại. Để xác định thủ phạm, cơ quan thực thi pháp luật sẽ phải triệu tập các dịch vụ dường như đã được sử dụng để rút tiền, vốn được yêu cầu rộng rãi để thu thập thông tin về người dùng.

Từ dữ liệu giao dịch, không thể nói chính xác làm thế nào những kẻ lừa đảo có thể truy cập và rút ví của Halliburton mà không có sự cho phép của anh ta. Nhưng các khía cạnh tương tác của anh ta với những kẻ lừa đảo cung cấp một số manh mối.

Ban đầu, Halliburton tự hỏi liệu vụ việc có liên quan đến a Vụ hack năm 2023 được thực hiện bởi các tác nhân đe dọa liên kết với chính phủ Bắc Triều Tiên, dẫn đến số tiền trị giá 100 triệu đô la bị rút khỏi tài khoản của người dùng Ví nguyên tử. (Atomic Wallet không trả lời yêu cầu bình luận.)

Nhưng thay vào đó, các nhà nghiên cứu bảo mật đã nói chuyện với WIRED tin rằng Halliburton đã trở thành nạn nhân của một cuộc tấn công theo kiểu giám sát có chủ đích. “Các giám đốc điều hành được biết đến rộng rãi là người nắm giữ số dư tiền điện tử lớn sẽ trở thành mục tiêu hấp dẫn, ” Guanxing Wen, người đứng đầu bộ phận nghiên cứu bảo mật tại CertiK, cho biết.

Các nhà nghiên cứu đưa ra giả thuyết rằng những bữa tối trực tiếp, quần áo đắt tiền, hàng đống tiền mặt và những màn phô trương sự giàu có khác là những ván bài nhằm giúp Halliburton cảm thấy thoải mái. “Đây là một chiến thuật xây dựng mối quan hệ nổi tiếng trong các kế hoạch có độ tin cậy có giá trị cao, ông Wen nói. “Nạn nhân ở bên kẻ tấn công càng lâu trong môi trường thoải mái thì càng khó thách thức yêu cầu kỹ thuật sau này.”

Để hoàn thành hành vi trộm cắp, những kẻ lừa đảo có khả năng đã phải đánh cắp cụm từ hạt giống cho địa chỉ Ví nguyên tử mới được tạo của Halliburton. Được trang bị cụm từ hạt giống của ví, bất kỳ ai cũng có thể có được quyền truy cập không bị ràng buộc vào bitcoin được giữ bên trong.

Một khả năng là những kẻ lừa đảo, người đã chỉ ra địa điểm cho cả hai cuộc họp ở Amsterdam, đã chiếm quyền điều khiển hoặc bắt chước mạng Wi-Fi của khách sạn, cho phép chúng thu thập thông tin từ điện thoại của Halliburton. “Thiết bị bạn có thể mua trực tuyến, không vấn đề gì. Adrian Cheek, trưởng nhóm nghiên cứu tại công ty an ninh mạng Coeus, cho biết tất cả sẽ nằm gọn trong một vài chiếc vali. Nhưng Halliburton khẳng định rằng điện thoại của ông không bao giờ rời khỏi quyền sở hữu của mình, và ông đã sử dụng dữ liệu di động để tải xuống ứng dụng Atomic Wallet, chứ không phải Wi-Fi công cộng.

Wen khẳng định lời giải thích hợp lý nhất là những kẻ lừa đảo—có lẽ với sự giúp đỡ của đồng phạm gần đó hoặc một camera được trang bị zoom— tầm xa đã có thể ghi lại cụm từ hạt giống khi nó xuất hiện trên điện thoại của Halliburton tại thời điểm anh ta tải xuống ứng dụng lần đầu tiên, trên chiếc ghế dài ở khách sạn Okura.

Rất lâu trước khi Halliburton giao 220.000 đô la bitcoin đến địa chỉ Ví nguyên tử của mình, những kẻ lừa đảo có thể đã thiết lập một “kịch bản sweeper,” tuyên bố Wen, một loại bot tự động được mã hóa để tiêu hao ví khi phát hiện ra sự thay đổi số dư lớn.