CertiK rivela come funziona la truffa ‘Monkey Drainer’- Classico esempio di Ice Phishing

Sead Fadilpašić
| 4 min read
Fonte: AdobeStock / kaliantye

La compagnia di sicurezza informatica CertiK ha divulgato l’ultimo report che svela la presenza di due individui dietro una truffa da vari milioni di dollari ma la relazione tra i due è un vero colpo di scena!

Dal report emerge che negli ultimi mesi “alcuni” truffatori ha usato una sorta di kit per il phishing noto come “Monkey Drainer”. Questo tipo di truffa si serve della tecnica detta “ice phishing“, che induce gli utenti a dare ai truffatori pieno accesso ai propri fondi.

Ora, secondo CertiK, un incidente avvenuto lo scorso novembre ha permesso di scoprire i due portafogli utilizzati dai truffatori coinvolti in questo tipo di scam. Sono stati rivelati anche due nomi: Zentoh e Kai.

Secondo la piattaforma:

“La nostra indagine ha determinato con un alto grado di attendibilità che Zentoh e Kai erano dietro un falso sito chiamato Porsche NFT. Questo sito, che si serviva della tecnica Monkey Drainer, è stato attivo per circa due settimane da metà a fine novembre 2022.”

Il sito si può ancora vedere tramite web.archive. Qui appariva l’annuncio secondo cui “per la prima volta nella storia, Porsche offre una collezione originale di schizzi a mano libera in formato NFT gratis a partire dall’11/11/22”.

Non fidarti del tuo collega criminale

Durante il periodo in cui il sito è stato promosso online, in particolare su Twitter da utenti e bot, c’è stato chi ha lanciato l’allarme di una possibile truffa. In particolare, dal report emerge la dichiarazione di un utente secondo cui il sito aveva richiesto il permesso di spendere i propri wrapped-bitcoin (WBTC). Anche se la richiesta è stata negata, è possibile che gli utenti ne siano stati vittime.

Secondo CertiK:

“Una vittima di questa particolare truffa ha perso 4,3 milioni di dollari in una singola transazione. Si tratta di una delle perdite più grosse legate a un exploit di ice phishing”.

I fondi sono stati rapidamente trasferiti a un altro portafoglio, scambiati con la stablecoin DAI e poi trasferiti di nuovo.

La vittima ha provato a contattare il truffatore e a chiedere la restituzione del denaro, ma ha ricevuto solo una risposta evasiva in russo. C’è però un altro messaggio registrato on-chain, questa volta in inglese, che è stato inviato al truffatore: a Kai da parte di Zentoh. 

Pare che ci siano stati grossi guai tra i due. Kai avrebbe tradito Zentoh, spostando i fondi dal “loro portafoglio” a un altro su cui Zentoh non accesso.

Scambio di mail tra Zentoh e Kai - Fonte: CertiK
Scambio di mail tra Zentoh e Kai – Fonte: CertiK

Le cose si mettono male tra Zentoh e Kai

Un altro scambio di messaggi on-chain fa pensare che le prime conversazioni tra i due per coordinarsi rispetto alla truffa siano avvenute su Telegram.

Scambio di mail tra Zentoh e Kai - Fonte: CertiK
Scambio di mail tra Zentoh e Kai – Fonte: CertiK

Allora gli analisti di CertiK hanno cercato ‘Zentoh’ su Telegram, e hanno trovato una corrispondenza. Un account che “è stato identificato come coordinatore di un gruppo su Telegram che vende kit di phishing per i truffatori”. La persona si definisce “CEO” di un canale di drainer NFT e crypto. Sul canale è persino possibile trovare un tutorial che spiega come funzionano i wallet drainer.

Da notare:

“Quando abbiamo analizzato il wallet che si vede nel video tutorial, abbiamo scoperto il collegamento tra questo e il wallet usato da Zentoh per comunicare con Kai.”

Wallet di Zentoh - Fonte: CertiK
Wallet di Zentoh – Fonte: CertiK

Non è tutto. Secondo CertiK:

“I due truffatori sono collegati in qualche modo con i maggiori wallet di truffe Monkey Drainer.”

Zentoh, sei tu?

Alla lista si aggiunge poi un altro nome: TecOnSellix. Si tratta di un altro utente Telegram che il ricercatore PhantomXSec ha identificato su Twitter come un venditore di kit pronti per adescare vittime con il MonkeyDrainer. TecOnSellix compare anche nella lista dei contatti del gruppo Telegram NFT/Crypto Drainers.

Per CertiK:

“TecOnSellix e Zentoh potrebbero essere la stessa persona, e 0x32Moon si potrebbe forse aggiungere a questa lista. TecOnSellix figura come proprietario del canale Telegram Crypto Drainers, di cui Zentoh si dice essere il CEO nel suo profilo.”

Secondo il report tra gli account su GitHub che si chiamano ‘TecOnSellix’, quello di Berrich36 emerge in particolare:

“Abbiamo identificato diversi account legati all’utente di GitHub col nome “Berrich36”. Se i collegamenti tra questi account sono reali e non depistaggi, riteniamo di poter risalire alla vera identità di Berrich36, che pare essere un individuo di nazionalità francese residente in Russia.”

CertiK arriva alla conclusione che Kai fosse un novellino all’epoca della truffa che ha permesso il furto di 4,3 milioni di dollari e che Zentoh giochi un ruolo chiave nella distribuzione dei tool per il wallet drainer che ha reso così facile ai malintenzionati appropriarsi di fondi all’interno della community crypto.

Cryptonews.com ha cercato di contattare Berrich36 per conoscere la sua versione. Se questa persona intende difendersi dalle accuse saremo lieti di ospitarlo sulla nostra pagina. 

____

Leggi anche:

Segui Cryptonews Italia sui canali social