Канадець викрав $37 мільйонів у криптовалюті через SIM-конвертацію: справедливість залишається незабезпеченою

ZachXBT викриває канадця, який вкрад бездумно $37 мільйонів у криптовалюті шляхом SIM-конвертації

Zach вимагає реальних наслідків після того, як відстежив підлітка, який вкрав $37 мільйонів у криптовалюті, не стикаючись з публічним викриттям впродовж багатьох років.

У своєму пості в X в неділю Zach зазначив, що закони в Канаді та ЄС занадто м`які, особливо коли йдеться про неповнолітніх хакерів, які залучені до злочинів, таких як SIM-конвертація та фішинг. Він безпосередньо вказав на Кемерона Редмана, канадця, який у 17 років здійснив SIM-конвертацію однієї жертви на мільйони, а потім був тихо звинувачений, і його ім`я та обличчя залишалися схованими, поки Zach не викрив його.

Згідно з інформацією Zach, “Кемерон Редман допоміг здійснити SIM-конвертацію на $37 мільйонів у 2020 році, коли йому було 17. Не було жодного згадки про його повне ім`я або фото в Інтернеті, поки я не опублікував це після того, як він залучився до фішінгу / X ATO. Немає жодної причини, чому його ім`я мало б бути захищеним або прихованим.” Редман утік із мільйонами, перш ніж поліція втрутилася.

Злом стався 22 лютого 2020 року, коли Редман здійснив SIM-конвертацію Джоша Джонса, раннього інвестора в криптовалюту, і отримав контроль над його номером. Це дозволило йому обійти захист, пов`язаний з гаманцями Джоша. Редман витратив 1547 Bitcoin і 60 000 Bitcoin Cash з двох BTC-гаманців і однієї адреси BCH.

Після крадіжки Редман почав відмивати BCH через сотні маленьких транзакцій, відправляючи їх на централізовані біржі, щоб спробувати приховати свої сліди. Zach опублікував діаграму нижче, що показує, як викрадені токени рухалися через блокчейн, в основному закінчуючи на лише двох біржах.

Діаграма, що показує, як SIM-конвертери переміщували викрадені токени через блокчейн | Джерело: TRM

Коли поліція втрутилася, більшість коштів вже була розкидана.

Тільки 17 листопада 2021 року Редмана офіційно звинуватили поліція Гамільтона в Онтаріо, з підтримкою ФБР та Секретної служби США. Правоохоронці змогли вилучити $5,4 мільйона у криптовалюті, але решта — $31,5 мільйона — ніколи не була повернута. На момент арешту Редман все ще був неповнолітнім, що означало, що його ім`я залишалося засекреченим, а фото не було оприлюднено.

Zach зазначив, що секретність є частиною проблеми. Він вважає, що особа Редмана мала б стати публічною, як тільки він нібито перейшов до фішингу та заволодіння акаунтами в X. Ці захоплення за повідомленнями викликали мільйони збитків серед підписників, які довіряли зламаним профілям, пов`язаним з NFT, та були обдурені, щоб передати дані своїх гаманців.

SIM-конвертація стрімко зростає, і в ній задіяна організована злочинність

Розчарування Zach не стосується лише одного хакера. SIM-конвертації швидко зростають, особливо у 2024 та 2025 роках. У Великій Британії спостерігалося зростання на 1,055% випадків порівняно з попереднім роком, збільшившись з 289 до 2,985 випадків. У США ФБР зафіксувало втрати від SIM-конвертацій у розмірі $68 мільйонів у 2021 році, а потім $48,8 мільйона у 2023 році від понад 1,000 жертв, а також $82 мільйони у 2024 році.

Збитки настільки серйозні, що організовані злочинні групи, зокрема пов`язані з італійською мафією, наразі використовують SIM-конвертацію для здійснення мільйонових крадіжок.

Метод є малотехнологічним, але дієвим. Хакери крадуть достатньо особистої інформації — через фішинг, витоки або соціальні мережі — щоб обманути мобільних операторів на видачу номера когось. Як тільки вони отримають контроль, вони перехоплюють коди 2FA, надіслані SMS, блокують користувачів з їхніх акаунтів і починають висмоктувати криптовалютні гаманці та банківські рахунки.

Наслідки можуть бути жорстокими. Жертви втратили десятки тисяч, стали жертвами крадіжки особистості та натрапили на шахрайські борги. Одна людина у Великій Британії втратила £50,000 на різних рахунках. Інша зіткнулася з £2,200 фальшивих витрат.

Навіть Джек Дорсі, засновник та колишній CEO Twitter, став жертвою цього методу у 2019 році. У 2018 році один інвестор у криптовалюту втратив $23.8 мільйона за один раз через схожу SIM-атаку.

Хоча технологія eSIM зменшує фізичні ризики, це не вирішує проблему, оскільки справжня слабкість все ще полягає в людській помилці та соціальній інженерії. Технічні експерти стверджують, що використання аутентифікаторів, таких як Google Authenticator, є безпечнішим, ніж сподіватися на SMS-базовану двофакторну аутентифікацію.

Вони також рекомендують встановлювати індивідуальні PIN-коди з операторами, менше ділитися інформацією в Інтернеті та швидко реагувати, якщо підозрюється конвертація. Це означає замороження рахунків, звернення до оператора та спостереження за журналами транзакцій. Але навіть з усіма цими заходами злочинці продовжують адаптуватися, а наявні системи не є достатньо сильними, щоб повністю їх зупинити.