Le $24M Crypto Heist : Comment un Hacker de 15 ans a exécuté l'un des plus grands scams de SIM Swap

À seulement 15 ans, Ellis Pinsky a orchestré ce qui deviendrait le plus grand vol individuel de SIM swap de l'histoire de la crypto-monnaie—dérobant $24 millions tout en étant encore au lycée.

L'opération sophistiquée a commencé lorsque l'investisseur crypto Michael Turpin a quitté une conférence. À l'autre bout du pays, Pinsky et son équipe avaient soudoyé des travailleurs des télécommunications pour détourner le numéro de téléphone de Turpin par une technique connue sous le nom de SIM swapping.

En dirigeant l'opération, Pinsky a lancé des scripts via Skype qui ont méthodiquement extrait l'ensemble de l'empreinte numérique de Turpin—emails, stockage dans le cloud et fichiers personnels—tout en recherchant des clés de portefeuille de cryptomonnaie.

L'équipe a initialement découvert un portefeuille contenant environ $900 millions d'Ethereum, mais n'a pas pu percer sa sécurité. Non découragés, ils ont poursuivi leur recherche d'actifs vulnérables.

Des heures plus tard, lorsque Turpin vérifia ses comptes, il fit une découverte dévastatrice. Alors que son plus grand portefeuille demeurait sécurisé, $24 millions avaient disparu de ses autres avoirs. Le vol serait plus tard enregistré comme la plus grande attaque de SIM swap individuelle de l'histoire de la cryptomonnaie.

De Hacker de Chambre à Millionnaire Crypto

Le chemin de Pinsky pour devenir un voleur numérique a commencé tôt :

• Grandir dans un modeste appartement à New York
• Recevoir son premier Xbox à 13 ans
• Rejoindre des forums de hackers underground
• Maîtriser les techniques d'injection SQL
• Créer une activité secondaire en vendant des comptes Instagram rares

Mais l'attrait de l'argent facile a rapidement éclipsé ses recherches techniques. Le SIM swapping offrait le vecteur parfait pour accéder à une richesse substantielle avec un risque physique minimal.

La technique suit un modèle simple mais dévastateur :

1. Convaincre les représentants des télécommunications de transférer le numéro de téléphone d'une cible vers une nouvelle carte SIM
2. Prenez le contrôle des messages texte, des codes d'authentification à deux facteurs et des options de récupération de compte
3. Réinitialiser les mots de passe des comptes critiques
4. Accéder à l'email et au stockage cloud
5. Localiser et voler des actifs en cryptomonnaie

La Chute

Malgré le succès du vol, l'opération de Pinsky s'est rapidement effondrée. Son ancien partenaire Truglia n'a pas pu s'empêcher d'afficher leur richesse nouvellement acquise, publiant des déclarations compromettantes en ligne comme : "J'ai volé 24 millions de dollars. Je ne peux toujours pas garder un ami."

Pinsky a commis des erreurs fondamentales en matière de sécurité opérationnelle, notamment en utilisant son vrai nom sur les comptes d'échange de cryptomonnaies. Le FBI l'a rapidement identifié grâce à ces traces numériques.

Alors que Truglia a été condamné à la prison, Pinsky—qui était mineur à l'époque—n'a fait l'objet d'aucune charge criminelle après avoir restitué la majeure partie des fonds volés. Turpin a ensuite déposé une plainte civile contre lui demandant $22 millions en dommages-intérêts.

Les conséquences sont devenues encore plus dangereuses lorsque des hommes armés masqués ont fait irruption chez Pinsky, montrant à quelle vitesse le crime numérique peut escalader en menaces physiques.

La vie après le braquage

Aujourd'hui, Pinsky étudie la philosophie et l'informatique à NYU, se concentrant apparemment sur la création de startups légitimes et le remboursement de ses dettes.

Au sommet de son activité criminelle, le jeune de 15 ans avait accumulé :

• 562 Bitcoin
• Connexions avec des initiés des télécommunications
• Un procès de plusieurs millions de dollars
• Menaces contre sa vie

L'affaire sert de rappel frappant des vulnérabilités de sécurité qui persistent dans les systèmes de stockage de cryptomonnaies. Pour les investisseurs, la mise en œuvre de pratiques de sécurité solides—y compris les portefeuilles matériels, l'authentification à deux facteurs non-SMS et la sensibilisation aux tactiques d'ingénierie sociale—reste essentielle pour protéger les actifs numériques contre des attaques de plus en plus sophistiquées.