ZachXBT 최신 조사: 《포트나이트》 프로 게이머가 어떻게 밈 사기를 이용해 300만 달러를 훔쳤나?

저자: zachxbt, 블록체인 탐정
원문 번역: zhouzhou, BlockBeats

편집자 주: 본문은 해커 Serpent가 X와 Instagram에서 맥도날드, 카보수 등 9개의 계정을 통제하고 Meme 코인 사기를 벌여 약 350만 달러를 탈취하고 카지노 도박에 사용한 내용을 분석합니다. Serpent는 한때 '포트나이트' 프로 게이머였으나, 부정행위로 계약 해지되었습니다. 2022년, 그가 공동 설립한 NFT 프로젝트 DAPE에서 Rug Pull이 발생하였고, 2024년에 출시된 ERROR 프로젝트도 Rug Pull을 당해 결국 X에서 차단되었습니다.

다음은 원문 내용입니다(읽기 이해를 돕기 위해 원 내용을 일부 정리하였습니다):

지난 몇 달간, 저는 맥도날드, Usher, 카보수의 소유자, Andy Ayrey, Wiz Khalifa, SPX 6900 등과 관련된 일련의 유출 사건을 추적해왔습니다. 이 사건들은 Pump Funmeme 코인을 발행하여 약 350만 달러의 도난을 초래했습니다.

2024년 8월 21일, 맥도날드의 Instagram 계정이 해킹당하고, meme 코인 GRIMACE를 홍보하는 게시물이 올라왔습니다. 이후 해커는 장난을 치기 시작했습니다. 이번 가격 상승에서 69만 달러 이상이 두 개의 지갑으로 송금되었습니다.

4RiNhTwBxYWgb4MSCtt9vXgVk2yuPhoQR3DR9pMVPU1W

2vjnmxwTYNJvTmFhtqxZkPiuCHkaKZK5rcxTLuoC2dPB

2024년 9월 3일, 맥도날드 공격자는 101.5 SOL을 두 개의 주소로 전송했습니다. 배우 Dean Norris의 X 계정이 해킹된 후, 이 두 주소가 SCHRADER를 배치하고 공격했습니다.

4s9Uz9pTBXcEaEtcjs8eg98r2TVte3rq3JUm3rVTFMudfewGbNKmqNyYs9bSAMDUaTbTcuA1v39sWr7GRqkDJ6EM

1gxo1pjTqjbee7rHW4cGvuNffX1qP4F8fP17g6SSC5EYbQrnktDrKSFB1uh4ju7PxQjprWFin37WUsAe225b9c6

2024년 9월 6일, 맥도날드 APT(계정 탈취)에서 얻은 자금이 카지노 입금 주소로 전송되었습니다.

CuNzegC9DE4CxCMn31ZcYLvtDaYsLD9RX8eRvmtZQrnB

시간 분석을 통해 입금 후 곧바로 이루어진 후속 인출을 찾을 수 있습니다.

B2fwZt5nTbdrnJ2CPsgrYMPuB4UnhN82EAM34dXDARLh

2024년 9월 12일, B2fw는 110 SOL을 두 개의 주소로 전송했으며, 이 주소들은 Usher 유출 사건에서 홍보된 meme 코인 구매에 참여했습니다.

4FUrwoHz1fuUf4eR6YEAYSG9d9rN5fzbowMXtbjwJAhTDtHXjpnTb1sz6aeF6T79JaiMFyT2xX2EuTxqT5UhFfKD

427zpHF1WWgYgKxcSiUzwXLg2UqsF6xq7K13PU3mh6Wr99mipiVA6GcDTwi7EY93RJeRuEUDZAK9BnoMeki7sU6C

그 후, B2fw는 4868 SOL을 카지노 입금 주소 ECb5v로 전송했으며, ECb5v와 직접 관련된 다른 APT(계정 탈취) 사건도 포함되어 있습니다. 여기에는 Andy Ayrey와 Enoshima 수족관의 유출 사건이 포함됩니다.

Ecb5vsomUG3MEnLCgiFvkdnnqpggTEXtN17z62iDPuU3

2024년 10월 15일, Enoshima 수족관의 X 계정이 해킹당하고 meme 코인을 홍보했습니다. 그날, 이 사기로 얻은 84 SOL이 ECb5v로 전송되었습니다.

5PDjh74JTLMPW4dXr6fKm3Yue2j3vhbxLSK5dPbQ3oEGK4axE7fua1ngBMas4xpRY6dBr92Ccps7b1WwcLdnxXWL

2024년 10월 29일, Andy Ayrey(Truth Terminal의 창립자)의 X 계정이 해킹당해 며칠 동안 지속되었고, 6개의 meme 코인 사기를 홍보했습니다. 3GVUs는 토큰 구매에 참여한 주소 중 하나입니다.

3GVUs2gNr161ohqnVXjUeoNQmf3cELxKSiPrxyQu6pjd

2024년 10월 30일, 3GVUs는 169 SOL을 Ecb5vs로 전송했습니다.

67nwsLLE3aGua4VeH8p6qHc3SL3rpxi9omMxRnfpeyZVsBpZawnUHo4Pt4tdT5Vxny2uRNRDH3vSZ1fzvKkNCML4

Andy Ayrey ATO에서 얻은 217.8만 달러 중 75만 달러가 카지노 입금 주소 Apc3e에 입금되었습니다.

Apc3eA9ScQksuZvfURQswZwVkusEYRaqeKEv4eXXbRZm

카보수 ATO의 0.1 SOL은 Andy Ayrey ATO에 참여한 주소에 자금을 제공했습니다.

2024년 10월 17일, 카보수의 소유자 Instagram 계정이 해킹당하고 meme 코인 사기를 홍보했습니다.

당일, 이 사기로부터 얻은 191 SOL이 카지노 입금 주소로 전송되었습니다:

6kwZ7tz8Xs7jaVqVJXZSRrZ2FtS2PPChEVuLXKrmMgCm

카보수와 Andy Ayrey의 APT(계정 탈취) 사건은 Wiz Khalifa의 APT 사건과 직접 관련이 있습니다.

2023년 11월 3일, 공격자는 Wiz Khalifa의 계정에 지갑 주소를 게시했습니다. 29 SOL이 6kwZ7로 전송되었으며, 이는 카보수 ATO에서 발생한 상황과 유사합니다.

NFCs23ddXQc9Zff2VJotEn2zaSAh4tvw6U6kb7fdXovZ8YPQgJMGQkXmtWiTutqnoBf6wR2khaKvFpyEKNhHfjJ

WIZ의 배포자 자금은 Andy Ayrey ATO에서 나왔습니다. 구매에 참여한 다른 주소는 즉시 교환을 통해 얻은 모든 수익을 카지노 입금 주소 0x83ee로 전송했습니다.

0x83ee6b53a0ae76b71bed0c32721a451776dbdb3a

2024년 10월 16일, 0x83ee는 이 사기의 배포자로부터 0.54 ETH를 받았으며, SPX 6900은 2024년 10월 11일에 해킹당했습니다.

솔라나에서, 해킹된 SPX 6900 계정이 홍보한 사기는 Ken Carson 공격자의 자금을 받았습니다.

카보수 소유자, SPX 6900, Ken Carson 및 Enoshima ATO 간의 관계를 추가로 증명하기 위해, 각 meme 코인의 배포자는 즉시 교환 자금을 통해 이전 배포자 주소에 자금을 제공하여 자금 출처를 숨기려 했습니다.

위협 행위자 Serpent가 어떻게 프로 포트나이트 선수에서 X와 IG의 9개 계정 유출로 시작된 meme 코인 사기를 통해 350만 달러를 탈취하고, 그 수익을 온라인 카지노 도박에 사용하게 되었는지 조사합니다.

Serpent(SerpentAU)는 호주 출신의 전 프로 포트나이트 선수로, 2020년 6월 부정행위 혐의로 전자 스포츠 조직 'Overtime'에서 해고되었습니다. 이후 그는 2022년 3월 NFT 프로젝트 DAPE를 공동 설립했으나, 나중에 rug pulling을 당했습니다.

2024년 3월, Serpent는 ERROR라는 또 다른 프로젝트를 출시했으나, 이 프로젝트도 rug pull을 당해 X 플랫폼에서 차단되었습니다.

배포자 주소:

0x8233873ee35547097ccb9098adbab955d7120ee8

2024년 10월 23일, ERROR 배포자는 총 29 ETH를 두 개의 즉시 거래소로 전송했습니다.

시간 분석을 통해 이 자금이 솔라나로 수신되었고, 동일한 카지노 입금 주소로 전송된 것을 확인할 수 있습니다.

Ecb5vsomUG3MEnLCgiFvkdnnqpggTEXtN17z62iDPuU3

입금 주소 Ecb5vs와 직접 연결된 여러 ATO(공격적 거래 활동)에는: 맥도날드, Usher, Andy Ayrey, Dean Norris 및 Enoshima 수족관이 포함됩니다. (자세한 추적 내용은 앞부분을 참조하십시오)

Serpent는 Roobet, Stake, BC Game 및 Shuffle에서 매달 수백만 달러를 도박하며, 자주 Discord에서 친구들과 화면을 공유합니다.

저는 그가 도박할 때의 녹음을 입수했으며, 그 안에서 여러 입금 및 인출 주소가 우연히 유출되었습니다.

Discord ID: 1269557350486904945

2024년 11월 1일의 화면 공유에서, Serpent는 $100K의 입금과 $200K의 인출을 공유하며, 다음 주소로 전송했습니다.

거래 도표를 그리는 과정에서, 해당 주소가 맥도날드, Andy Ayrey 및 Usher ATO와 관련된 주소와 높은 노출도를 가지고 있음을 발견했습니다.

0xb8c9c8a5756a7992df65f949b7c1423eeb435aa5

Andy Ayrey의 보안 취약점 사건에서, 또 다른 위협 행위자가 이 사기 프로젝트를 탈취하는 데 참여했으며, 그는 'Dex'라는 가명을 사용했습니다(미국 매사추세츠주 출신).

그는 지난주에 제가 Telegram 채널에서 언급한 후 당황하기 시작했으며, 자신이 $700K를 잃었다고 주장하며 협박당했다는 이야기를 지어냈습니다.

현재 이 보안 취약점과 관련된 자금은 다음 주소에 보관되고 있습니다:

0xeb60a5242c1c97eb54195ec83de43bb26813c0d1

0x2355ac2929bb7051814de3c48670fccbb515d8be

4jjWZ8RaXZBqntnhu2JFidXEQWXgfKRbJQZdTHrdaqbv

제 조사 첫 번째 부분이 게시된 오늘, Serpent는 새 X 계정의 모든 게시물을 삭제하기 시작했습니다. 저는 아직 직접적으로 체인에서 추적할 수 없는 몇 가지 관련 ATO(공격적 거래 활동)가 있다고 의심하고 있습니다. 그 중 하나의 계정이 해킹된 사건에 대해, 저는 협력 중인 피해자에게 상세한 조사 보고서를 공유했습니다.