ZachXBT 最新調(diào)查：《堡壘之夜》職業(yè)玩家如何利用 meme 騙局盜取 300 萬美元？

作者：zachxbt，鏈上偵探
原文編譯：zhouzhou，BlockBeats

?

編者按：本文分析黑客 Serpent 在 X 和 Instagram 上控制了麥當勞、Kabosu 等 9 個賬號，發(fā)起 Meme 幣騙局，盜取約 350 萬美元，并用于賭場賭博。Serpent 曾是《堡壘之夜》職業(yè)玩家，因作弊被解約。2022 年，他共同創(chuàng)立的 NFT 項目 DAPE 發(fā)生 Rug Pull，2024 年推出的 ERROR 項目也遭遇 Rug Pull，最終被 X 封禁。

以下為原文內(nèi)容（為便于閱讀理解，原內(nèi)容有所整編）：

過去幾個月，我一直在跟蹤一系列相關(guān)的泄露事件，涉及麥當勞、Usher、Kabosu 的擁有者、Andy Ayrey、Wiz Khalifa、SPX 6900 等，這些事件通過發(fā)布 Pump Funmeme 幣導致了約 350 萬美元的盜竊。

2024 年 8 月 21 日，麥當勞的 Instagram 賬戶遭到入侵，并發(fā)布了一條推廣捆綁 meme 幣 GRIMACE 的帖子，隨后黑客開始進行惡搞。從這次拉高出貨中，超過 69 萬美元被匯入兩個錢包。

4RiNhTwBxYWgb4MSCtt9vXgVk2yuPhoQR3DR9pMVPU1W

2vjnmxwTYNJvTmFhtqxZkPiuCHkaKZK5rcxTLuoC2dPB

2024 年 9 月 3 日，麥當勞攻擊者將 101.5 SOL 轉(zhuǎn)移到兩個地址，在演員 Dean Norris 的 X 帳戶被黑客入侵后，這兩個地址部署并狙擊了 SCHRADER。

4s9Uz9pTBXcEaEtcjs8eg98r2TVte3rq3JUm3rVTFMudfewGbNKmqNyYs9bSAMDUaTbTcuA1v39sWr7GRqkDJ6EM

1gxo1pjTqjbee7rHW4cGvuNffX1qP4F8fP17g6SSC5EYbQrnktDrKSFB1uh4ju7PxQjprWFin37WUsAe225b9c6

2024 年 9 月 6 日，麥當勞 APT（賬戶劫持）所得款項被轉(zhuǎn)移到一個賭場存款地址。

CuNzegC9DE4CxCMn31ZcYLvtDaYsLD9RX8eRvmtZQrnB

通過進行時間分析，可以找到存款后不久進行的后續(xù)取款。

B2fwZt5nTbdrnJ2CPsgrYMPuB4UnhN82EAM34dXDARLh

2024 年 9 月 12 日，B2fw 將 110 SOL 轉(zhuǎn)移到兩個地址，這些地址參與了在 Usher 泄露事件中推廣的 meme 幣搶購。

4FUrwoHz1fuUf4eR6YEAYSG9d9rN5fzbowMXtbjwJAhTDtHXjpnTb1sz6aeF6T79JaiMFyT2xX2EuTxqT5UhFfKD

427zpHF1WWgYgKxcSiUzwXLg2UqsF6xq7K13PU3mh6Wr99mipiVA6GcDTwi7EY93RJeRuEUDZAK9BnoMeki7sU6C

隨后，B2fw 將 4868 SOL 轉(zhuǎn)移到賭場存款地址 ECb5v，與 Ecb5v 直接相關(guān)的還有其他 APT（賬戶劫持）事件，包括 Andy Ayrey 和 Enoshima 水族館的泄露事件。

Ecb5vsomUG3MEnLCgiFvkdnnqpggTEXtN17z62iDPuU3

2024 年 10 月 15 日，Enoshima 水族館的 X 賬號遭到入侵，并推廣了一款捆綁 meme 幣。當天，從該詐騙中獲得的 84 SOL 被轉(zhuǎn)移到了 ECb5v。

5PDjh74JTLMPW4dXr6fKm3Yue2j3vhbxLSK5dPbQ3oEGK4axE7fua1ngBMas4xpRY6dBr92Ccps7b1WwcLdnxXWL

2024 年 10 月 29 日，Andy Ayrey（Truth Terminal 的創(chuàng)始人）的 X 賬號遭到入侵，持續(xù)了多天，并推廣了 6 個 meme 幣詐騙。3GVUs 是參與搶購代幣的地址之一。

3GVUs2gNr161ohqnVXjUeoNQmf3cELxKSiPrxyQu6pjd

2024 年 10 月 30 日，3GVUs 將 169 SOL 轉(zhuǎn)移到 Ecb5vs。

67nwsLLE3aGua4VeH8p6qHc3SL3rpxi9omMxRnfpeyZVsBpZawnUHo4Pt4tdT5Vxny2uRNRDH3vSZ1fzvKkNCML4

從 Andy Ayrey ATO 中獲得的 217.8 萬美元中，有 75 萬美元被存入賭場存款地址 Apc3e。

Apc3eA9ScQksuZvfURQswZwVkusEYRaqeKEv4eXXbRZm

Kabosu ATO 中的 0.1 SOL 為參與 Andy Ayrey ATO 的一個地址提供了資金。

2024 年 10 月 17 日，Kabosu 的擁有者 Instagram 賬戶遭到入侵，并推廣了一個 meme 幣詐騙。

當天，來自該詐騙的 191 SOL 被轉(zhuǎn)移到賭場存款地址：

6kwZ7tz8Xs7jaVqVJXZSRrZ2FtS2PPChEVuLXKrmMgCm

Kabosu 和 Andy Ayrey 的 APT（賬戶劫持）事件與 Wiz Khalifa 的 APT 事件直接相關(guān)。

2023 年 11 月 3 日，攻擊者在 Wiz Khalifa 的賬號上發(fā)布了一個錢包地址。29 SOL 被轉(zhuǎn)移到 6kwZ7，就像 Kabosu ATO 中發(fā)生的情況一樣。

NFCs23ddXQc9Zff2VJotEn2zaSAh4tvw6U6kb7fdXovZ8YPQgJMGQkXmtWiTutqnoBf6wR2khaKvFpyEKNhHfjJ

WIZ 的部署者資金來自 Andy Ayrey ATO。參與搶購的其他地址將所有通過即時兌換獲得的收益轉(zhuǎn)移到了賭場存款地址 0x83ee。

0x83ee6b53a0ae76b71bed0c32721a451776dbdb3a

2024 年 10 月 16 日，0x83ee 從該詐騙的部署者那里收到了 0.54 ETH，而 SPX 6900 在 2024 年 10 月 11 日遭到入侵。

在 Solana 上，另一個由被入侵的 SPX 6900 賬戶推廣的詐騙得到了 Ken Carson 攻擊者的資助。

為了進一步證明 Kabosu 擁有者、SPX 6900、Ken Carson 和 Enoshima ATO 之間的關(guān)系，每個 meme 幣的部署者通過即時兌換資金向前一個部署者地址提供資金，試圖掩蓋資金來源。

調(diào)查威脅行為者 Serpent 如何從職業(yè) Fortnite 玩家轉(zhuǎn)變?yōu)橥ㄟ^從 X 和 IG 上的 9+賬戶泄露發(fā)起的模因幣騙局幫助竊取$3.5M，并將收益用于在線賭場賭博。

Serpent（SerpentAU）是一名來自澳大利亞的前職業(yè) Fortnite 選手，他在 2020 年 6 月被發(fā)現(xiàn)涉嫌作弊后被電子競技組織「Overtime」釋放。然后他于 2022 年 3 月共同創(chuàng)立了 NFT 項目 DAPE，后來 rug pulling。

2024 年 3 月，Serpent 推出了另一個名為 ERROR 的項目，但該項目進行了拉地（rug pull），導致他被 X 平臺封禁。

部署者地址：

0x8233873ee35547097ccb9098adbab955d7120ee8

2024 年 10 月 23 日，ERROR 部署者將總計 29 ETH 轉(zhuǎn)移到兩個即時交易所。

通過進行時間分析，可以看到這些資金被接收到了 Solana，并且轉(zhuǎn)入了相同的賭場存款地址。

Ecb5vsomUG3MEnLCgiFvkdnnqpggTEXtN17z62iDPuU3

直接與存款地址 Ecb5vs 相連的多個 ATO（攻擊性交易活動）包括：麥當勞、Usher、Andy Ayrey、Dean Norris 和 Enoshima 水族館。（詳細追蹤內(nèi)容請參見開頭部分）

Serpent 每月在 Roobet、Stake、BC Game 和 Shuffle 上賭博數(shù)百萬美元，且經(jīng)常在 Discord 上與朋友共享屏幕。

我獲得了他賭博時的錄音，其中不小心泄露了多個存款和提款地址。

Discord ID：1269557350486904945

在 2024 年 11 月 1 日的屏幕共享中，Serpent 分享了一個$100K 的存款和$200K 的提款，轉(zhuǎn)賬到以下地址。

在繪制交易圖時，發(fā)現(xiàn)該地址與麥當勞、Andy Ayrey 和 Usher ATO 相關(guān)的地址有較高的曝光度。

0xb8c9c8a5756a7992df65f949b7c1423eeb435aa5

在 Andy Ayrey 的安全漏洞事件中，另一位威脅行為者參與了搶奪這些詐騙項目，他使用的是「Dex」這個化名（來自美國麻薩諸塞州）。

他在上周被我在 Telegram 頻道提及后開始慌亂，并編造了一個關(guān)于被敲詐的故事，聲稱自己損失了$700K。

目前與這些安全漏洞相關(guān)的資金存放在以下地址：

0xeb60a5242c1c97eb54195ec83de43bb26813c0d1

0x2355ac2929bb7051814de3c48670fccbb515d8be

4jjWZ8RaXZBqntnhu2JFidXEQWXgfKRbJQZdTHrdaqbv

在我的調(diào)查第一部分發(fā)布后的今天，Serpent 開始刪除他在新 X 賬戶上的所有帖子。我懷疑還有一些相關(guān)的 ATO（攻擊性交易活動）我尚未能夠直接在鏈上追蹤到。關(guān)于其中一起賬戶被攻破的事件，我已經(jīng)將一份詳細的調(diào)查報告分享給了我正在與之合作的一個受害者。