Крипто-крадіжка Майкла Турпіна: як 15-річний та шахрайство з SIM-карткою принесли $24 мільйонів

Коли криптоінвестор Майкл Турпін покинув технологічну конференцію у 2020 році, він і гадки не мав, що його цифрове життя буде методично зруйноване групою підлітків з іншого кінця країни. Те, що розгорнулося протягом наступних годин, стало одним із найзухваліших крадіжок у історії криптовалют — грабіжем на 24 мільйони доларів, організованим здебільшого 15-річним Еллісом Пінскі. Інцидент розкрив критичні вразливості у телекомунікаційній безпеці та показав, як можна цілити й висмоктувати багатство з блокчейну за допомогою досить простих соціальних інженерних тактик.

Ідеальний шторм: як Елліс Пінскі націлився на криптоінвестора

Атака почалася з телефону Майкла Турпіна. Елліс Пінскі та його спільники зробили домашню роботу. Вони підкупили працівників великої телекомунікаційної компанії, щоб перенести номер Турпіна на SIM-карту під їхнім контролем — техніка, відома як SIM-заміна. Цей простий крок дав їм доступ до чогось ціннішого за телефонний зв’язок: ключів до цифрової ідентичності Турпіна.

Як тільки вони отримали контроль над номером, Елліс запустив серію скриптів із Skype-зв’язку, які систематично зчитували його онлайн-акаунти. Електронні листи, файли у хмарі, опції відновлення паролів — все стало доступним для зловмисників. Вони шукали дані криптовалютних гаманців, приватні ключі, що відкривали цифрові багатства. Обсяг знайденого був приголомшливим: 900 мільйонів доларів у Ethereum, розкиданих по кількох гаманцях. Але виникла проблема: більша частина була заблокована засобами безпеки, які вони не могли обійти.

Тоді вони копнули глибше. Шукали володіння Bitcoin, додаткові Ethereum-рахунки, будь-які доступні криптоактиви. Годинами підлітки систематично компрометували акаунт за акаунтом, рухаючись по цифровій інфраструктурі Майкла Турпіна, наче досвідчені пентестери. І нарешті знайшли: гаманець на 24 мільйони доларів, який не був захищений. Він був доступний, і за кілька миттєвостей його вже не було.

Внутрішній механізм схеми SIM-заміни: технічне використання

Атака SIM-заміни, що постраждав Майкл Турпін, є однією з найефективніших — але цілком запобіжних — методів компрометації високоприбуткових криптоінвесторів. Ось як вона працює:

Крок 1: Соціальна інженерія — зловмисники переконують працівників телеком-компанії перенести номер цілі на нову SIM-карту. Зазвичай це робиться через фальшиві предтексти (брехню про свою особу) або, у випадку Елліса, пропонуючи фінансові стимули співробітникам.

Крок 2: Взяття під контроль аутентифікації — отримавши контроль над номером, вони отримують усі коди двофакторної аутентифікації (2FA) через SMS. Більшість криптовалютних бірж і поштових сервісів надсилають коди відновлення саме цим способом.

Крок 3: Захоплення акаунтів — з 2FA-кодами зловмисники скидають паролі, отримують доступ до поштових акаунтів і, зрештою, до криптовалютних бірж, де зберігаються кошти.

Крок 4: Виведення коштів — останній крок — виведення гаманців до того, як системи безпеки виявлять вторгнення.

У випадку з Турпіном Елліс діяв точно. Підліток навчився хакінгу через форуми, вивчив техніки SQL-ін’єкцій та інші експлойти. Він уже проводив дрібні операції — продавав рідкісні акаунти в Instagram за скромний прибуток. Але це було щось інше. Це була крипта, і ставки були набагато вищими. У той час Bitcoin торгувався приблизно за $68,328, а Ethereum — близько $1,982. Вартість крадіжки цифрових активів перевищила все, що Елліс намагався раніше.

Підліток, що став мільйонером: як Елліс витратив 24 мільйони доларів

Елліс Пінскі раптово став надзвичайно багатим. Але йому ще 15, він жив у тісній квартирі в Нью-Йорку, думав як підліток. Гроші пішли у передбачувані напрямки: розкішні речі, нічне життя і спроби зберегти свій новий статус серед знайомих, які не були з ним під час грабежу.

Він купив Rolex за 100 000 доларів і сховав його під ліжко, наче таємницю. Витрачав шалено у дорогих клубах. Викидав гроші, ніби їх безліч. Але підтримувати групу співучасників було важко. Один із товаришів зник з 1,5 мільйонами викрадених криптоактивів. Інший мав особисті проблеми і жартома згадував найняти когось для насильства. Група почала розпадатися під тиском і підозрами.

Елліс здобув репутацію наполегливістю: Xbox у 13 років, участь у хакерських форумах, навчання кодуванню, успішний продаж нелегальних акаунтів онлайн. Але все це не готувало його до управління кримінальною організацією, навіть неформальною.

Розпад: як необережність Труглії привела до ФБР

Можливо, операція залишилася б непоміченою довше, якби не співучасник Елліса — Труглія. Тиск від крадіжки мільйонів, параною, міжособистісні конфлікти — все стало надто. Труглія почав публікувати у соцмережах про крадіжку, фактично хвалячись злочином у постах типу «Вкрали 24 мільйони. Ще не можу зберегти друга».

Ця необережність стала катастрофічною. Труглія зробив rookie-помилку: використав своє справжнє ім’я на Coinbase, намагаючись перевести або отримати частину викрадених криптоактивів. Діджитал-трек привів прямо до нього, а звідти — до решти операції. Розслідування ФБР рухалося швидко. Правоохоронці мали конкретну ціль, слід транзакцій і цифрові докази, що прямо пов’язували Труглію з злочином.

Труглію заарештували і він відбувся ув’язненням. Але Елліс створював юридичну проблему: він був неповнолітнім. Хоча Майкл Турпін втратив 24 мільйони доларів, те, що злочинця було неповнолітнім, ускладнювало кримінальне переслідування. Елліса офіційно не звинувачували. Його зобов’язали повернути більшу частину викрадених коштів — хоча й не всі.

Турпін подав цивільний позов, вимагаючи близько 22 мільйонів доларів збитків. Але перед тим, як цей позов повністю розгорівся, трапилося щось набагато більш зловісне: у будинок Майкла Турпіна увірвалися озброєні маскировані злочинці. Чи було це пов’язано з грабежем, чи ні — залишалося незрозумілим, але це показало небезпеку, яка приходить із високопрофільною крадіжкою.

Від кіберзлочинця до студента філософії: сучасне життя Елліса Пінскі

Сьогодні Елліс Пінскі навчається в NYU, здобуває ступінь з філософії та комп’ютерних наук. Він публічно заявляє про намір працювати у легальних стартапах і згодом повернути борг Турпіну та суспільству загалом. Чи щира його трансформація, чи це лише гра — покаже час.

Що лишається очевидним — це шкода: Майкл Турпін втратив 24 мільйони доларів через SIM-заміну, організовану неповнолітнім. Інцидент показав, наскільки вразливими можуть бути навіть досвідчені криптоінвестори до соціальних інженерних атак. До 15 років Елліс вже накопичив активи, яких більшість дорослих ніколи не досягає, порушив безпеку криптоінвестора і розпочав злочин, що визначить його раннє життя.

Цей випадок є застереженням для криптоспільноти: жодні складні протоколи безпеки не здатні подолати компрометацію номера телефону та доступ до SMS-кодів 2FA. Оскільки цифрові активи зростають у цінності, зростатиме й майстерність і відчай тих, хто прагне їх викрасти — іноді з напарниками, яких ще й водити не навчили.