Cybercriminel exhibe $23M lié au vol du gouvernement américain

_ L’acteur de menace John Lick, qui se vantait de posséder 23 millions de dollars dans des portefeuilles enregistrés, a été démasqué. Les adresses découvertes sont associées à plus de $90 millions de fonds suspects volés appartenant à des comptes gouvernementaux américains et à d’autres victimes, comme le montre une confrontation en direct._

L’ego d’un acteur de menace en cryptomonnaie pourrait avoir scellé son destin. John « Lick » a publiquement affiché $23 millions d’actifs numériques. Les fonds sont directement liés à des vols présumés du gouvernement dépassant $90 millions.

Selon l’enquêteur blockchain ZachXBT sur X, l’exposition a eu lieu lors d’une confrontation en ligne. John a eu une dispute houleuse avec un autre acteur de menace, Dritan Kapplani Jr. La discussion portait sur qui possédait le plus de richesse en cryptomonnaie.

1/ Voici l’acteur de menace John (Lick), qui a été pris en train de se vanter de $23M dans une adresse de portefeuille directement liée à plus de 90 millions de dollars en vols suspects du gouvernement américain en 2024 et à plusieurs autres victimes non identifiées de novembre 2025 à décembre 2025. pic.twitter.com/SBAFU5hTnE

— ZachXBT (@zachxbt) 23 janvier 2026

Source : zachxbt

Le défi Band for Band qui a mal tourné

ZachXBT a détaillé l’incident dans une thread sur X. La confrontation a eu lieu dans un chat de groupe. Les deux parties ont accepté de prouver leur richesse par des captures d’écran de portefeuille.

L’échange a été entièrement enregistré. John a partagé une capture d’écran de son portefeuille Exodus lors du différend. Le portefeuille affichait initialement une adresse Tron contenant 2,3 millions de dollars.

À mesure que les tensions montaient, John a transféré des fonds supplémentaires. Il a transféré pour 6,7 millions de dollars en ETH vers un autre portefeuille. Le total a finalement atteint environ $23 millions sur des adresses connectées.

ZachXBT a confirmé que John contrôlait plusieurs adresses de portefeuille. Les enregistrements ont montré une preuve claire de propriété. John a spécifiquement confirmé contrôler l’adresse 0x8924 lors de l’échange.

Traçage des fonds volés du gouvernement

Le flux d’argent a été retracé par l’enquêteur blockchain. En novembre 2025, l’adresse 0xc7a2 a déposé 1 066 WETH dans un seul portefeuille. La même adresse avait été précédemment financée par une adresse du gouvernement américain en mars 2024 à 24,9 millions.

Sur X, ZachXBT a écrit que le financement était lié au piratage de Bitfinex. Il avait initialement évoqué ce vol en octobre 2024. Même aujourd’hui, 18,5 millions de dollars restent sur l’adresse liée.

Le portefeuille principal est associé à plus de $63million en flux suspects. Ces transferts ont été effectués au quatrième trimestre 2025, et ils sont basés sur les adresses de victimes présumées. Plusieurs grosses transactions ont été transférées via le réseau connecté.

Deux adresses ont envoyé respectivement 13,5 millions et 15,4 millions en décembre 2025. En novembre, d’autres transferts allant jusqu’à 4 millions de dollars ont été effectués via différentes sources.

Empreintes et traces digitales

ZachXBT a souligné que John a un historique avec Telegram. L’individu malveillant faisait souvent la promotion de sa richesse sur Internet. Son ID Telegram est 8269661864.

Sur X, ZachXBT a publié que John a obtenu 4,17K, soit 12,4 millions de dollars en Eth sur la plateforme MEXC. L’argent a été immédiatement ajouté à l’adresse de portefeuille ouverte.

Des canaux Telegram ont répandu des rumeurs sur l’identité de John. Selon des sources, il pourrait être John Daghitia. En septembre 2025, les autorités ont arrêté une personne portant ce nom.

ZachXBT a admis qu’il fallait confirmer cela par des recherches supplémentaires. Le chercheur a insisté sur le fait que la preuve numérique est distincte.

Conséquences immédiates et tentatives de dissimulation

John a réagi rapidement après la publication de la thread de ZachXBT. Il a supprimé tous les noms d’utilisateur NFT de son compte Telegram. Son pseudonyme a été changé immédiatement après l’exposition.

Comme l’a indiqué ZachXBT sur X, John a envoyé des transactions de poussière à son adresse publique. La transaction provenait de l’une des adresses de vol. Cela semblait être une tentative de représailles ou de distraction.

ZachXBT a conclu que les acteurs de menace continuent de faire des erreurs critiques. Ils affichent publiquement des fonds volés malgré les risques évidents. John a été « ragebaité » pour prouver la propriété de portefeuilles compromis.

Les enregistrements constituent une preuve claire pour les forces de l’ordre. La preuve de propriété facilite grandement la poursuite future. L’affaire montre comment l’ego peut compromettre la sécurité opérationnelle dans la cybercriminalité.