Cuộc Đột Kích $24M Tiền điện tử: Cách một Hacker 15 tuổi thực hiện một trong những vụ lừa đảo SIM Swap lớn nhất

Khi mới 15 tuổi, Ellis Pinsky đã tổ chức vụ trộm SIM lớn nhất trong lịch sử crypto - đánh cắp $24 triệu trong khi vẫn đang học trung học.

Cuộc hoạt động tinh vi bắt đầu khi nhà đầu tư tiền điện tử Michael Turpin rời một hội nghị. Trên khắp đất nước, Pinsky và nhóm của anh ta đã hối lộ cho các công nhân viễn thông để chiếm đoạt số điện thoại của Turpin thông qua một kỹ thuật được gọi là chuyển SIM.

Dẫn dắt hoạt động, Pinsky đã khởi chạy các tập lệnh qua Skype để hệ thống thu thập toàn bộ dấu vết số của Turpin—email, lưu trữ đám mây và các tệp cá nhân—trong khi săn tìm khóa ví tiền điện tử.

Nhóm ban đầu phát hiện một ví chứa khoảng $900 triệu Ethereum, nhưng không thể phá vỡ được bảo mật của nó. Không nản lòng, họ tiếp tục tìm kiếm các tài sản dễ bị tổn thương.

Vài giờ sau, khi Turpin kiểm tra tài khoản của mình, anh đã phát hiện ra một điều tàn khốc. Trong khi ví lớn nhất của anh vẫn an toàn, $24 triệu đã biến mất từ các tài sản khác của anh. Vụ trộm sẽ được ghi nhận sau này là cuộc tấn công SIM swap lớn nhất trong lịch sử tiền điện tử.

Từ Hacker Phòng Ngủ đến Triệu Phú Crypto

Con đường trở thành một kẻ trộm kỹ thuật số của Pinsky bắt đầu từ sớm:

• Lớn lên trong một căn hộ khiêm tốn ở NYC
• Nhận chiếc Xbox đầu tiên của mình ở tuổi 13
• Tham gia các diễn đàn hacker ngầm
• Làm chủ các kỹ thuật tấn công SQL injection
• Xây dựng một doanh nghiệp phụ bán các tài khoản Instagram hiếm

Nhưng sức hấp dẫn của việc kiếm tiền dễ dàng sớm vượt qua những theo đuổi kỹ thuật của anh. Hoán đổi SIM cung cấp một phương thức hoàn hảo để truy cập vào tài sản lớn với rủi ro vật chất tối thiểu.

Kỹ thuật này tuân theo một mô hình đơn giản nhưng tàn phá:

1. Thuyết phục đại diện viễn thông chuyển số điện thoại của mục tiêu sang thẻ SIM mới
2. Kiểm soát tin nhắn văn bản, mã xác thực hai yếu tố và các tùy chọn phục hồi tài khoản
3. Đặt lại mật khẩu cho các tài khoản quan trọng
4. Truy cập email và lưu trữ đám mây
5. Tìm kiếm và đánh cắp tài sản tiền điện tử

Sự sụp đổ

Mặc dù vụ cướp thành công, nhưng hoạt động của Pinsky nhanh chóng sụp đổ. Cựu đối tác của anh, Truglia, không thể cưỡng lại việc khoe khoang sự giàu có mới có, đăng tải những tuyên bố tự buộc tội lên mạng như: "Đã đánh cắp 24 triệu đô. Vẫn không giữ được bạn bè."

Pinsky đã mắc phải những sai lầm cơ bản về an ninh hoạt động, bao gồm việc sử dụng tên thật của mình trên các tài khoản sàn giao dịch tiền điện tử. FBI đã nhanh chóng xác định được hắn thông qua những dấu vết kỹ thuật số này.

Khi Truglia bị kết án tù, Pinsky—người lúc đó chưa đủ tuổi—không phải đối mặt với cáo buộc hình sự nào sau khi trả lại hầu hết số tiền bị đánh cắp. Turpin sau đó đã kiện dân sự chống lại anh ta, yêu cầu $22 triệu tiền bồi thường.

Hậu quả trở nên nguy hiểm hơn khi những kẻ bịt mặt xông vào nhà Pinsky, cho thấy tội phạm kỹ thuật số có thể nhanh chóng leo thang thành các mối đe dọa vật lý.

Cuộc Sống Sau Vụ Cướp

Hôm nay, Pinsky học triết học và khoa học máy tính tại NYU, được cho là tập trung vào việc xây dựng các startup hợp pháp và trả nợ.

Tại đỉnh cao hoạt động tội phạm, cậu bé 15 tuổi đã tích lũy:

• 562 Bitcoin
• Kết nối với những người trong ngành viễn thông
• Một vụ kiện trị giá hàng triệu đô la
• Mối đe dọa đối với tính mạng của anh ấy

Trường hợp này là một lời nhắc nhở rõ ràng về những lỗ hổng an ninh vẫn tồn tại trong các hệ thống lưu trữ tiền điện tử. Đối với các nhà đầu tư, việc thực hiện các biện pháp bảo mật mạnh mẽ—bao gồm ví phần cứng, xác thực hai yếu tố không qua SMS, và nhận thức về các chiến thuật kỹ thuật xã hội—vẫn là thiết yếu để bảo vệ tài sản kỹ thuật số trước những cuộc tấn công ngày càng tinh vi.