تصویرسازی توسط ویکتور هاچمانگ
تصویرسازی توسط ویکتور هاچمانگ

سرقت یک چهارم میلیارد دلاری کریپتو و دستگیری سارقان در عرض یک ماه

چگونه خودروهای لوکس، قبض‌های 500,000 دلاری بار و تلاش مرموز برای آدم‌ربایی به محققان کمک کرد تا از سرقت بزرگ پرده بردارند.

نویسنده: میچ ماکسلی تاریخ انتشار: 2025-04-24 05:01:10 GMT منتشر شده در: nytimes.com

در یک بعدازظهر معتدل در اواخر مرداد ماه سال ۱۴۰۳، سوشیل و رادیکا چتال در حال خانه‌گردی در دانبری، کانکتیکات، در یک محله اعیان‌نشین با حیاط‌های مرتب و استخرهای گرم بودند. سوشیل، معاون رئیس مورگان استنلی در نیویورک، پشت فرمان یک لامبورگینی اوروس خاکستری مات جدید نشسته بود، یک خودروی شاسی بلند با برچسب قیمتی حدود ۲۴۰,۰۰۰ دلار. هنگامی که آنها پیچیدند، لامبورگینی ناگهان از پشت توسط یک هوندا سیویک سفید رنگ مورد اصابت قرار گرفت. در همان زمان، یک ون کار سفید رنگ رم پرو مستر از جلو وارد شد و چتال‌ها را به دام انداخت. بر اساس یک شکایت جنایی که پس از این حادثه تشکیل شد، گروهی متشکل از شش مرد که لباس سیاه پوشیده و ماسک زده بودند، از وسایل نقلیه خود بیرون آمدند و چتال‌ها را از ماشین خود بیرون کشیدند و به سمت در کناری باز ون کشاندند.

هنگامی که سوشیل مقاومت کرد، مهاجمان با چوب بیسبال به او ضربه زدند و او را به مرگ تهدید کردند. مردان دست و پای این زوج را با چسب بستند. آنها رادیکا را مجبور کردند که رو به پایین دراز بکشد و به او گفتند که به آنها نگاه نکند، حتی زمانی که او برای نفس کشیدن تلاش می‌کرد و التماس می‌کرد که آسم دارد. آنها صورت سوشیل را با چسب پوشاندند و چند بار دیگر با چوب به او ضربه زدند در حالی که ون دور شد.

چند شاهد این حمله را دیدند و با شماره ۱۱۰ تماس گرفتند. برخی از آنها، از جمله یک مأمور اف‌بی‌آی که در نزدیکی آنجا زندگی می‌کرد و اتفاقاً در صحنه حضور داشت، ون و هوندا را تعقیب کردند و حرکات وسایل نقلیه را به پلیس گزارش دادند. مأمور اف‌بی‌آی موفق شد شماره پلاک‌های جزئی را به دست آورد.

افسران پلیس دانبری به زودی ون را پیدا کردند. یک خودروی گشتی چراغ‌های اضطراری خود را روشن کرد و سعی کرد آن را متوقف کند، اما راننده ون سرعت خود را افزایش داد و با بی‌احتیاطی در ترافیک حرکت کرد.

در حدود یک مایلی از جایی که تعقیب و گریز آغاز شد، راننده از جاده خارج شد و به یک جدول برخورد کرد. چهار مظنون پیاده فرار کردند. پلیس یکی را در زیر یک پل پنهان کرد و پس از یک تعقیب و گریز کوتاه او را دستگیر کرد. در عرض چند ساعت، سه نفر دیگر در یک منطقه جنگلی در نزدیکی پیدا شدند. در همین حال، پلیس چتال‌های شوک‌زده را در پشت ون بسته‌شده پیدا کرد.

استیو کاسترووینچی، کارآگاه گروهبان اداره پلیس دانبری، زمانی که فرمانده شیفت با او در خانه تماس گرفت، در مرخصی بود. او به یاد می‌آورد که فرمانده شیفت به او گفت: «ما یک آدم‌ربایی داریم، یک آدم‌ربایی واقعی.» کاسترووینچی با چند نفر از کارآگاهان خود تماس گرفت تا سرعت بگیرند و سپس قبل از رانندگی به ایستگاه برای صحبت با مظنونان، در صحنه جرم توقف کرد. بر اساس اطلاعاتی که توسط یکی از مظنونان بازداشت شده ارائه شد، دو مهاجم دیگر صبح روز بعد در یک اجاره‌خانه ایربی‌ان‌بی در راکسبوری، در ۳۰ دقیقه‌ای دانبری، جایی که سیویک سفید نیز پارک شده بود، پیدا و دستگیر شدند.

برای کاسترووینچی، این یک پرونده عجیب و دراماتیک بود. دانبری مکانی آرام و مرفه است و در حالی که پلیس در آنجا پرونده‌های آدم‌ربایی عجیبی دریافت می‌کرد، تقریباً همیشه مربوط به حضانت فرزند بود. یک آدم‌ربایی خشونت‌آمیز در اواسط روز بی‌سابقه بود. هیچ ارتباط ظاهری بین مظنونان و چتال‌ها وجود نداشت و عجیب‌تر این که، مجریان قانون دریافتند که مظنونان - مردان بین ۱۸ تا ۲۶ سال - تماماً از میامی به کانکتیکات سفر کرده بودند. آنها ون را در برنامه تورو اجاره کرده بودند. کاسترووینچی که ۲۰ سال در اجرای قانون بوده است، از جمله پنج سال در اداره پلیس نیویورک، به من گفت: «این پرونده‌ای است - ممکن است فقط یک یا دو مورد از این موارد را در یک حرفه داشته باشید. نه در این منطقه. ما با چیزهایی شبیه به این سروکار نداریم.»

پلیس برای هفته‌ها بسیار کم گفت. کاسترووینچی و تیمش تلاش کردند تا انگیزه‌ای را کنار هم قرار دهند. باور اینکه چتال‌ها به دلیل موقعیت ارشد سوشیل در یک بانک سرمایه‌گذاری مورد هدف قرار گرفته‌اند، دشوار بود. به عنوان معاون رئیس در مورگان استنلی، او حقوق رشک‌برانگیزی داشت، اما هیچ چیز غیرعادی برای دانبری نبود. و اگر انگیزه آدم‌ربایان پول بود، عجیب بود که آنها لامبورگینی چتال‌ها را که در جنگل رها شده بود، پشت سر گذاشتند. هیچ کدام درست به نظر نمی‌رسید.

کاسترووینچی می‌گوید که چند روز پس از آدم‌ربایی نافرجام، تیمش از اف‌بی‌آی خبری دریافت کرد که پرونده را در یک نور جدید و عجیب قرار داد: یک ارتباط احتمالی با یک سرقت عظیم ارز دیجیتال، که فقط یک هفته قبل از حمله رخ داده بود. گروهی از مردان جوان، که برخی از آنها در یک سرور ماینکرافت به هم متصل شده بودند، مظنون به برداشتن یک چهارم میلیارد دلار از یک قربانی ناآگاه بودند، که زنجیره‌ای باورنکردنی از رویدادها را رقم زد که شامل یک شبکه آنلاین از جنایتکاران سایبری، برخی از آنها نوجوان بودند. گروهی از کارآگاهان دیجیتال مستقل که تلاش‌های آنها را ردیابی می‌کنند. و چندین سازمان مجری قانون. اکنون به نظر می‌رسید که کل ماجرا با آدم‌ربایی چتال‌ها به اوج خود رسیده است - یک سرایت دنیای واقعی از بی‌قانونی گستاخانه این دنیای زیرزمینی دیجیتال در حال گسترش و فرهنگ پیرامون آن.

زنجیره رویدادها چند هفته قبل آغاز شد، زمانی که یک ساکن واشنگتن دی سی شروع به دریافت اعلان‌های مشکوک ورود به سیستم در حساب گوگل خود کرد. به نظر می‌رسید که ورود به سیستم از خارج از کشور انجام می‌شود. سپس در ۲۸ مرداد، او تماسی تلفنی از شخصی دریافت کرد که ادعا می‌کرد در تیم امنیتی گوگل است. تماس‌گیرنده گفت که حساب ایمیل کاربر به خطر افتاده است. به نظر می‌رسید که تماس مشروع است - تماس‌گیرنده اطلاعات شخصی ساکن دی سی را می‌دانست. تماس‌گیرنده گفت که دارنده حساب باید حساب خود را ببندد، مگر اینکه بتواند اطلاعات شخصی خاصی را از طریق تلفن تأیید کند، که این کار را انجام داد.

مدتی پس از تماس با مأمور فرضی گوگل، همان ساکن دی سی، که هویتش در اسناد دادگاه فدرال پنهان مانده است، تماس دومی را از شخصی دریافت کرد که گفت نماینده تیم امنیتی از جمینی است، یک صرافی برجسته ارز دیجیتال. مانند کارمند فرضی گوگل، او اطلاعات شخصی مرد را داشت. او توضیح داد که حساب جمینی او، که حدود ۴.۵ میلیون دلار سکه در آن نگهداری می‌شد، هک شده است و مرد باید احراز هویت دو مرحله‌ای خود را بازنشانی کند و بیت‌کوین موجود در حساب خود را به کیف پول دیگری منتقل کند تا آن را ایمن نگه دارد.

سپس فرد پشت تلفن پیشنهاد کرد که صاحب حساب برنامه‌ای را دانلود کند که امنیت بیشتری را ارائه دهد. مرد موافقت کرد، بدون اینکه بداند که در حال دانلود یک برنامه دسکتاپ از راه دور است، که به تماس‌گیرنده امکان دسترسی به رایانه خود و دسترسی به حساب رمزنگاری دوم را می‌دهد و او را در معرض یک سرقت حتی تکان‌دهنده‌تر قرار می‌دهد. معلوم شد که ساکن دی سی، یک سرمایه‌گذار اولیه در ارزهای دیجیتال، در مجموع بیش از ۴۱۰۰ بیت‌کوین دارد. ده سال پیش، این مقدار بیت‌کوین حدود ۱ میلیون دلار ارزش داشت. آن روز، بیش از ۲۴۳ میلیون دلار ارزش داشت.

در عرض چند دقیقه، همه چیز از بین رفت.

یکی از پارادوکس‌های اصلی کریپتو این است که، اگرچه صاحبان سکه عموماً قابل شناسایی نیستند، اما تراکنش‌ها در یک دفتر کل عمومی به نام بلاک‌چین ثبت می‌شوند. این بدان معناست که وقتی ارز حرکت می‌کند، هر کسی می‌تواند آن را ببیند. این پارادوکس طبقه جدیدی از کارآگاهان را قادر ساخته است که می‌توانند تراکنش‌های مشکوک را در بلاک‌چین شناسایی کنند. یکی از بهترین این کارآگاهان دیجیتال با نام ZachXBT، یک محقق مستقل جرایم مرتبط با کریپتو، فعالیت می‌کند.

ZachXBT یک شخصیت شناخته‌شده و گریزان در دنیای کریپتو است. او به طور مرتب رشته‌هایی را منتشر می‌کند که جزئیات تحقیقات خود را در X شرح می‌دهد، جایی که حدود ۸۵۰۰۰۰ دنبال‌کننده دارد و افراد خطاکار فرضی را، گاهی با نام، افشا می‌کند. اغلب، او یافته‌های خود را با مجریان قانون به اشتراک می‌گذارد. Wired او را «پربارترین کارآگاه مستقل متمرکز بر کریپتو در جهان» توصیف کرد. او هویت واقعی خود را آنلاین به اشتراک نمی‌گذارد.

دقایقی پس از اینکه وجوه ساکن دی سی نقد شد، ZachXBT در حال عبور از فرودگاه بود تا پرواز خود را بگیرد که هشداری در تلفن خود در مورد یک تراکنش غیرعادی دریافت کرد. محققان کریپتو از ابزارهایی برای نظارت بر جریان جهانی سکه‌های مختلف و تنظیم هشدار برای، به عنوان مثال، هر تراکنش بالای ۱۰۰,۰۰۰ دلار که از طریق صرافی‌های خاصی انجام می‌شود که برای داشتن محافظ‌های امنیتی کم، حق بیمه دریافت می‌کنند، استفاده می‌کنند. هشدار اولیه در آن روز برای یک تراکنش شش رقمی میانی بود، و به دنبال آن مقادیر بالاتر، تا ۲ میلیون دلار. پس از اینکه ZachXBT از بازرسی امنیتی فرودگاه عبور کرد، نشست، لپ‌تاپ خود را باز کرد و شروع به ردیابی تراکنش‌ها به یک کیف پول بیت‌کوین کرد که تقریباً ۲۴۰ میلیون دلار کریپتو در آن وجود داشت. برخی از بیت‌کوین‌های موجود در کیف پول به سال ۲۰۱۲ برمی‌گردد. او به من گفت: «در آن زمان منطقی نبود. چرا شخصی که این مدت بیت‌کوین خود را نگه داشته است از یک سرویس مبهم استفاده می‌کند که معمولاً شاهد جریان وجوه غیرقانونی زیادی از طریق آن است؟»

او کیف پول‌های مرتبط با تراکنش‌ها را به ردیابی خود اضافه کرد و سوار هواپیما شد. پس از اتصال به اینترنت در پرواز، هشدارهای بیشتری رسید. در طول روز، بیت‌کوین ردیابی شده به کیف پول از طریق بیش از ۱۵ سرویس مختلف ارز دیجیتال با هزینه بالا نقد می‌شد.

پس از فرود، ZachXBT به چند محقق دیگر که در سرقت ارزهای دیجیتال تخصص دارند، پیام داد. در میان آنها جاش کوپر-داکت، مدیر تحقیقات Cryptoforensic Investigators، یکی از تعداد فزاینده‌ای از شرکت‌های مستقل است که سرقت و کلاهبرداری کریپتو را ردیابی می‌کنند و به مجریان قانون کمک می‌کنند تا ارز را برای قربانیان بازیابی کنند. کوپر-داکت ۲۶ ساله اهل لندن، علاقه اولیه به کریپتو پیدا کرد و پس از سه سال و نیم کار در بخش امنیت در Deloitte، شروع به تحقیق در مورد سرقت کریپتو کرد و بر روی مواردی تمرکز کرد که ضرر مالی حداقل ۱۰۰,۰۰۰ دلار است که این روزها زیاد است.

ZachXBT به کوپر-داکت و سایر محققان گفت که چه چیزی کشف کرده است و همه آنها موافق بودند که دیدن نقد شدن کیف پول یک چهارم میلیارد دلاری به این روش مشکوک است. «شخصی مانند آن، که این همه پول دارد، یک روز آخر هفته از خواب بیدار نمی‌شود و تصمیم نمی‌گیرد، خوب، من فقط می‌خواهم شروع به ارسال به یک دسته صرافی کنم و سعی کنم برای مونرو و اتریوم تبدیل کنم - آنها این کار را نمی‌کنند.»

محققان کریپتو با صرافی‌ها و خدمات تماس گرفتند تا آنها را از سرقت مطلع کنند تا بتوانند ارز را مسدود کرده و با مقامات هماهنگ کنند. برخی این کار را کردند؛ برخی دیگر نکردند. کوپر-داکت می‌گوید: «در این مورد، این یک بازی موش و گربه بود. آنها در حال امتحان کردن یک دسته صرافی مختلف، یک دسته خدمات مختلف هستند تا ببینند چه چیزی کار می‌کند. منظورم این است که آنها ۲۴۰ میلیون دلار برای پولشویی دارند. این پول زیادی است.»

ZachXBT در X، پیروان خود را در مورد سرقت در حال انجام مطلع کرد. او نوشت: «هفت ساعت پیش یک انتقال مشکوک از یک قربانی بالقوه برای ۴۰۶۴ BTC (۲۳۸ میلیون دلار) انجام شد.» وجوه به THORChain، eXch، KuCoin، ChangeNOW، RAILGUN و Avalanche Bridge، همه خدمات کریپتو منتقل شد.

ZachXBT متوجه شد که قربانی پرداخت‌های ورشکستگی از Genesis، یک پلتفرم وام‌دهی، که در سال ۲۰۲۳ به دلیل فروپاشی FTX سام بنکمن-فرید برای ورشکستگی تشکیل پرونده داد، دریافت کرده است. او با استفاده از شبکه خود، در نهایت توانست از طریق ایمیل با قربانی ارتباط برقرار کند. ساکن شوک‌زده دی سی، ZachXBT، Cryptoforensic و یک شرکت تحقیقاتی دیگر کریپتو را برای کمک به ردیابی وجوه سرقت‌شده خود استخدام کرد. در همان روز، او گزارشی را به مرکز شکایت جرایم اینترنتی اف‌بی‌آی ثبت کرد و ZachXBT به مخاطبین خود در مجریان قانون پیام داد. (اف‌بی‌آی و وزارت دادگستری از اظهار نظر برای این مقاله خودداری کردند.)

سرقت ارزهای دیجیتال با چنان سرعتی در حال افزایش است که محققان فدرال برای همگام شدن تلاش می‌کنند. بر اساس آخرین گزارش خود، مرکز شکایت جرایم اینترنتی در سال ۲۰۲۳ بیش از ۶۹,۰۰۰ ادعا در مورد کلاهبرداری مالی مربوط به کریپتو دریافت کرد که منجر به بیش از ۵.۶ میلیارد دلار ضرر گزارش شده شد که ۴۵ درصد نسبت به سال ۲۰۲۲ افزایش یافته است. اگرچه تنها ۱۰ درصد از کل شکایات کلاهبرداری مالی مربوط به کریپتو بود، اما خسارات مربوط به این شکایات تقریباً ۵۰ درصد از کل را تشکیل می‌داد. گزارش می‌گوید که ماهیت غیرمتمرکز ارزهای دیجیتال، غیرقابل برگشت بودن تراکنش‌ها و توانایی جابجایی سکه‌های دیجیتال در سراسر جهان، آن را برای مجرمان جذاب و برای اف‌بی‌آی برای بازیابی وجوه دشوار می‌کند. در سال ۲۰۲۲، اف‌بی‌آی یک واحد ویژه برای مبارزه با سرقت کریپتو به نام واحد دارایی‌های مجازی (V.A.U.) ایجاد کرد.

کارشناسان می‌گویند که به دلیل مقیاس جرایم و دشواری مبارزه با آنها، سازمان‌های دولتی - از جمله اف‌بی‌آی، وزارت امنیت داخلی، سرویس مخفی، حتی I.R.S. - به شرکت‌های خصوصی و افرادی که دانش عمیقی از دنیای زیرزمینی جنایی دیجیتال دارند، متکی هستند. نیک باکس، بنیانگذار شرکت تجزیه و تحلیل ارزهای دیجیتال Five I's، می‌گوید: «جاش و زک در ردیابی بسیار خوب و بسیار سریع هستند. باکس در چندین پرونده با ZachXBT همکاری کرده است، اما هرگز صورت او را ندیده است. در جلسات اولیه خود، ZachXBT از یک نرم‌افزار تغییر صدا استفاده می‌کرد که صدایش را شبیه میکی ماوس می‌کرد. باکس می‌گوید: «مثلاً من خیلی خوبم، اما آنها - من هرگز به خوبی آنها نخواهم بود. و من فکر می‌کنم مغز آنها، مانند، به طور مشروع تغییر کرده است، زیرا آنها در سنین جوانی این کار را شروع کردند.»

محققان کریپتو از حساب‌های جعلی برای غوطه‌ور شدن در انجمن‌هایی استفاده می‌کنند که جنایتکاران سایبری در آنجا جمع می‌شوند - تلگرام، Discord و سایر پلتفرم‌ها - برای طراحی و لاف زدن در مورد سوء استفاده‌های خود. دزدها عموماً جوان و بی‌پروا هستند و گاهی اوقات ردی از سرنخ‌ها را در پی خود به جا می‌گذارند.

پس از پست ZachXBT در X در مورد سرقت، یک منبع از طریق یک حساب دورریختنی با سرنخ‌های بالقوه در مورد هویت دزدها با او تماس گرفت. منبع چندین ضبط به اشتراک‌گذاری صفحه را برای ZachXBT ارسال کرد، که به گفته او زمانی گرفته شده است که یکی از کلاهبرداران سرقت را برای گروهی از دوستانش به صورت زنده پخش کرد. این ویدیوها، که در مجموع یک ساعت و نیم بود، شامل تماس با قربانی می‌شد. یک کلیپ واکنش زنده کلاهبرداران را نشان می‌داد که متوجه شدند با موفقیت ۲۴۳ میلیون دلار بیت‌کوین ساکن دی سی را دزدیده‌اند. صدایی شنیده می‌شود که فریاد می‌زند: «اوه، خدای من! اوه، خدای من! ۲۴۳ میلیون دلار! بله! اوه، خدای من! اوه، خدای من! برادر!»

آنها در چت‌های خصوصی از نام‌های صفحه مانند Swag، $$$ و Meech استفاده می‌کردند، اما یک اشتباه اساسی مرتکب شدند. یکی از آنها صفحه اصلی ویندوز خود را نشان داد، که نام واقعی او را در منوی شروع در پایین صفحه نشان داد: ویر چتال، یک جوان ۱۸ ساله از دانبری - پسر زوجی که ربوده شده بودند.

ویر چتال، یک دانش‌آموز ممتاز آرام که به تازگی از دبیرستان Immaculate در دانبری فارغ‌التحصیل شده بود، قرار بود تحصیل خود را در دانشگاه راتگرز در نیوجرسی آغاز کند. در سال ۱۴۰۱، او یک برنامه «وکلای آینده» را به پایان رساند و داستانی در همان سال در وب‌سایت Immaculate عکسی از یک کودک خندان با عینک را نشان می‌داد که یک بادگیر تامی هیلفیگر روی یک پولو قرمز پوشیده بود.

همکلاسی‌ها چتال را خجالتی و طرفدار ماشین‌ها به یاد می‌آورند. مارکو دیاس، که در سال دوم دبیرستان با چتال دوست شد، می‌گوید: «او فقط به خودش پایبند بود.» به گفته همکلاسی دیگری به نام نیک پاریس، این در مورد چتال صادق بود تا اینکه یک روز در اواسط سال آخر دبیرستان، او با یک کوروت در مدرسه حاضر شد. پاریس می‌گوید: «او فقط در محوطه پارک کرد. ساعت ۷:۳۰ صبح بود و همه می‌گفتند، چی؟» به زودی چتال با یک بی‌ام‌و و سپس یک لامبورگینی اوروس ظاهر شد. او شروع به پوشیدن پیراهن‌های لویی ویتون و کفش‌های گوچی کرد و در روز غیبت سالمندان، در حالی که پاریس و بسیاری از همکلاسی‌هایش به یک مرکز خرید در همان نزدیکی رفتند، چتال چند دوست، از جمله دیاس، را به نیویورک برد تا در یک قایق تفریحی که اجاره کرده بود، مهمانی بگیرند، جایی که آنها عکس‌هایی با دسته‌های پول گرفتند.

چتال گفت که پول خود را با تجارت کریپتو به دست آورده است. دیاس می‌گوید چتال یک روز صبح در کلاس درس به عنوان مدرک معاملات خود را در تلفن خود به او نشان داد. یک بار، چتال یک خانه بزرگ در استمفورد، کانکتیکات، اجاره کرد و یک گردهمایی سه روزه با دوستان برگزار کرد. دیاس می‌گوید: «من در یک مقطع در زیرزمین بودم و فقط با دوستانم سرگرم بودم و او را دیدم، مثل اینکه، فقط روی مبل، مثل اینکه فقط روی تلفن خود است، تقریباً از همه در مهمانی دوری می‌کند. و من فکر کردم، اوه، این یک کم عجیب است.» پاریس به یاد می‌آورد که در طول یک رژه مدرسه، پلیس چتال را در لامبورگینی اوروس خود به دلیل نقض قوانین راهنمایی و رانندگی متوقف کرد. «او دقیقاً قبل از پاسخ دادن به سؤالات پلیس با وکیل خود در محل تماس گرفت، که همه می‌گفتند: وای، این پسر، مثل اینکه، چیزی برای خود دارد. مثل اینکه، این پسر پول جدی دارد.»

محققان مستقل می‌گویند چتال مخفیانه عضوی از کام (Com)، که با نام‌های Comm یا Community نیز شناخته می‌شود، یک شبکه آنلاین از گروه‌های چت است که ریشه‌های آن در هک زیرزمینی دهه ۱۹۸۰ است و به عنوان نوعی شبکه اجتماعی برای جنایتکاران سایبری یا افراد مشتاق به آن عمل می‌کند. در یک اظهارنامه از یک پرونده نامربوط، یک مأمور اف‌بی‌آی کام را «گروهی از افراد از نظر جغرافیایی متنوع، سازماندهی شده در زیر گروه‌های مختلف، که همگی از طریق برنامه‌های ارتباطی آنلاین مانند Discord و تلگرام برای انجام انواع فعالیت‌های مجرمانه هماهنگ می‌شوند» توصیف کرد. بر اساس اظهارنامه اف‌بی‌آی و کارشناسانی که کام را مطالعه می‌کنند، فعالیت‌های زیر گروه‌های مختلف شامل سواتینگ است، که مستلزم ارائه گزارش‌های نادرست به خدمات اضطراری یا مؤسساتی مانند مدارس برای تحریک واکنش پلیس است. تعویض سیم کارت، زمانی که هکرها شماره تلفن هدف را در اختیار می‌گیرند، گاهی با فریب دادن نمایندگان خدمات مشتری. حملات باج‌افزاری، با استفاده از بدافزاری که دسترسی کاربران یا برگزارکنندگان را به فایل‌های رایانه‌ای رد می‌کند. سرقت ارزهای دیجیتال؛ و نفوذهای شرکتی.

آلیسون نیکسون، مدیر ارشد تحقیقات Unit 221B، مجموعه‌ای از متخصصان امنیت سایبری، از سال ۲۰۱۱ این گوشه رو به رشد اینترنت را دنبال می‌کند و به طور گسترده به عنوان یک متخصص برجسته در کام در نظر گرفته می‌شود. او می‌گوید بیشتر اعضای کام مردان جوان از کشورهای غربی هستند. او می‌گوید در چت‌های گروهی، بسیاری در مورد کالج و شرکت در کلاس‌های امنیت سایبری صحبت می‌کنند، که از آن به نفع خود استفاده می‌کنند. دروازه ورود برای بسیاری از طریق بازی‌های ویدئویی مانند RuneScape، Roblox و Grand Theft Auto است.

تا اواسط دهه ۱۴۰۰، دنیای شومی‌تر نیز در Minecraft - بازی ساخت و ساز خلاقانه - شکوفا شد، که با ظهور سرورهای آنلاین، متعلق به کاربران و اداره شده توسط آنها، تسهیل شد، که به گیمرها اجازه می‌داد در تیم‌ها یا «فکشن‌ها» یکدیگر را بکشند. در این سرورها، Minecraft به یک منطقه جنگی بسیار رقابتی تبدیل شد. با این کار فرصت‌هایی برای کسب درآمد و کلاهبرداری به وجود آمد. سرورها به زودی شروع به معرفی خریدهای درون بازی کردند که به بازیکنان ارتقاء می‌داد، مانند توانایی پرواز و مبارزه با سلاح‌ها و زره‌های قدرتمندتر. سایر خریدهای درون بازی لباس‌های شیک شخصیتی را برای کاربران خریداری می‌کرد، که برای نشان دادن وضعیت آنلاین استفاده می‌شدند.

همانطور که بازیکنان به سمت این سرورهای رقابتی متمایل شدند، یک بازار سیاه بزرگ برای آیتم‌های درون بازی و نام‌های کاربری ارزشمند شروع به شکوفایی در Discord کرد. با تسلط بازیکنان جوان بر Minecraft، بازار سیاه برای کلاهبرداری آماده شد. کاربران توافق کردند که آیتم‌های درون بازی را با پول واقعی از طریق PayPal مبادله کنند، اما پس از دریافت پول، کلاهبرداران حساب کاربر را مسدود می‌کنند. این موضوع آنقدر شایع شد که مردم شروع به تبلیغ خود به عنوان واسطه‌های تأیید شده کردند که هم پول و هم آیتم درون بازی را می‌گرفتند و سپس در ازای دریافت هزینه آن را به هر طرف تحویل می‌دادند.

یکی از دارایی‌های ارزشمند در این دنیا نام‌های کاربری با ارزش بالا است، که اغلب بیش از چهار حرف نیست - مانند Tree، OK، Mark، YOLO یا G، که هر کدام می‌توانند بیش از ۱۰۰۰۰ دلار قیمت داشته باشند.

همانطور که سرورهای مبتنی بر فکشن و بازار سیاه Minecraft رونق گرفتند، ارزهای دیجیتال نیز رونق گرفتند، که در نهایت PayPal را در این سرورها جایگزین کردند. این ترکیبی از یک زمین تمرین بدون عواقب برای رقابت، قمار و کلاهبرداری، با آشنایی فزاینده با کریپتو بود که سرورهای Minecraft را به یک منبع آلودگی برای جنایتکاران سایبری نوپا تبدیل کرد.

هنگامی که قیمت بیت‌کوین در سال ۱۳۹۶ به سرعت شروع به افزایش کرد، اعضای کام به راحتی از کلاهبرداری Minecraft به سرقت کریپتو روی آوردند. یکی از انجمن‌های محبوب کام «OGUsers» نام داشت. در ابتدا به بحث و خرید حساب‌های رسانه‌های اجتماعی و نام‌های کاربری اختصاص داشت، اما به بستری برای جرایم سایبری، از جمله تعویض سیم کارت و ربودن حساب‌های توییتر، تبدیل شد. نیکسون توضیح می‌دهد: «بسیار، بسیار سریع این جوامع ضداجتماعی به یک شبه میلیونر تبدیل شدند و این فرهنگ را گسترش دادند، زیرا مردم متوجه می‌شوند که وقتی افراد دیگر یک شبه به میلیونر تبدیل می‌شوند و می‌خواهند یاد بگیرند که چگونه این کار را انجام دادند.» «اندازه کام منفجر شد.»

یک تاکتیک رایج که امروزه توسط کام برای سرقت ارزهای دیجیتال استفاده می‌شود، چیزی است که مهندسی اجتماعی نامیده می‌شود، که مستلزم دستکاری کاربران برای افشای اطلاعات حساس است. اعضای کام فهرست‌های طولانی از قربانیان بالقوه را جمع‌آوری می‌کنند که از طریق نقض داده‌ها به دست آمده‌اند و سپس مستقیماً آنها را هدف قرار می‌دهند، که این همان چیزی است که در مورد قربانی دی سی رخ داد. آنها گاهی اوقات برای استخدام افراد برای کمک به طرح‌های خود، آگهی‌های شغلی را به صورت آنلاین منتشر می‌کنند. یکی از فهرست‌هایی که نیک باکس، محقق کریپتو، با من به اشتراک گذاشت، در تلگرام منتشر شده بود و وعده «۵f در هفته» - یعنی پنج رقم - را می‌داد «اگر کند نباشید» تا با اهداف بالقوه تماس بگیرد. در آن آمده بود: «صدای خدمات مشتری حرفه‌ای آمریکایی مورد نیاز است.» گاهی اوقات، اعضای کام سپس به بازار سیاه Minecraft باز می‌گردند تا کریپتو سرقت‌شده خود را با خرید آیتم‌های ارزشمند بازی و فروش آیتم‌ها با دلار واقعی با استفاده از PayPal پولشویی کنند.

پس از اینکه ZachXBT نام ویر چتال را داشت، مدت زیادی طول نکشید تا او و سایر محققان هویت سایر افراد دخیل در سرقت کریپتو را کشف کنند. در ضبط‌هایی که ZachXBT به دست آورد، دزدها یکدیگر را با نام‌های مستعار کام خود خطاب می‌کردند، اما همچنین در برخی موارد با نام‌های اول واقعی خود. یکی از نام‌هایی که مکرراً بر زبان آورده می‌شد، مالون بود. این مالون لام بود، چهره‌ای شناخته شده در کام که با نام‌های مستعار Greavys و Anne Hathaway شناخته می‌شد.

لام یک جوان ۲۰ ساله اهل سنگاپور و یک بازیکن مشهور Minecraft با چتری بود که تقریباً در خط چشمش بریده شده بود. او از سرورهای Minecraft محروم شده بود، اما دوباره راه خود را به داخل باز کرد. در بهار ۱۴۰۲، زمانی که او با مدیران سرور Mine verse - این یکی از سرورهای معروف Minecraft بود، او متوجه شد که یک نقطه ضعف امنیتی وجود دارد. با در دست داشتن اسکریپت‌های خود نوشته‌ای که نام کاربری و آدرس آی‌پی هر کسی را که به شبکه متصل شده است، می‌دهد، او قادر بود نام کاربری مدیریت سرور را پیدا کند. سپس به سادگی رمز عبور را تغییر داد.

با دسترسی او به حساب مدیر، لام نام‌های کاربری پرطرفدار، مانند OK را برداشت و آنها را از طریق Discord فروخت و در آنجا نام‌های کاربری را با ارزهای دیجیتال و PayPal مبادله کرد. او همچنین آیتم‌های درون بازی قدرتمندی را برای پولی که به دست آورده است، تولید کرد. به زودی لام تبدیل به یک دلال قدرت در سرورهای Minecraft شد.

در آذر ماه، لام نام کاربری جدیدی به دست آورد که در فروش آن با مشکل مواجه شد. با به دست آوردن ایمیل مدیر Minecraft، به نظر می‌رسید که راهی وجود دارد که بتواند آدرس ایمیل را بر روی نام کاربری خاص تغییر دهد و سپس آن را در هر حساب Minecraft دیگری استفاده کند. و هنگامی که لام به صورت آنلاین در یک چت گروهی تلگرامی به ستاد Minecraft رفت، یکی از دوستانش به او گفت که نام او در لیست ممنوعه به عنوان یکی از کسانی است که به دنبال نام‌های کاربری حذف شده در Minecraft هستند. این برای لام تکان‌دهنده بود - اگر او به سادگی می‌توانست با حذف یک نام کاربری، با یک آدرس ایمیل جدید آن را به سرقت ببرد، می‌توانست نام‌های کاربری بسیاری را برباید و به سرعت به یک اسم بزرگ در Minecraft تبدیل شود.

لام با شخصی تماس گرفت که با او در Minecraft دوست شده بود. او فردی را می‌دانست که برای مایکروسافت کار می‌کرد، که مالک Minecraft است، و می‌توانست نام‌های کاربری را برایش تغییر دهد. این فرد در ازای هر نام کاربری ۵۰۰ دلار پول نقد درخواست کرد. لام از طریق یک دوست یک نماینده از Minecraft را پیدا کرد و حدود ده نام کاربری دیگر را در دسامبر و ژانویه دزدید و درآمدی بالغ بر ده‌ها هزار دلار برای خود کسب کرد. «سپس متوجه شدم که این خیلی به زحمتش نمی‌ارزد.» به لام در سنگاپور هیچ عواقبی وجود نداشت، جایی که او با مادرش زندگی می‌کرد. «من می‌دانم که این درست نیست، اما من هنوز به هر حال این کار را انجام می‌دهم. منظورم این است که چه کسی مرا متوقف خواهد کرد؟

بزرگترین مشکل برای مجریان قانون و مجرمان سایبری این است که بسیاری از افراد این تصور غلط را دارند که جرایم مرتبط با کریپتو بدون عواقب است. باکس، متخصص کریپتو، می‌گوید: «این توهم گمنامی است.» «من فکر می‌کنم بیشتر آنها معتقدند که از عواقب کار در امان هستند. آن‌ها در مورد آن با صدای بلند صحبت می‌کنند، به این معنی که می‌توانند به راحتی به دام بیفتند.»

با ردیابی فعالیت‌های ویر چتال و مالون لام، ZachXBT و کوپر-داکت توانستند هویت سایر افراد دخیل در سرقت ۲۴۳ میلیون دلاری کریپتو را فاش کنند و یافته‌های خود را در اختیار اف‌بی‌آی قرار دادند.

در حالی که محققان کریپتو سعی می‌کردند دارایی‌های سرقت‌شده را در سراسر جهان مسدود کنند، ردیابی مسیرهای چتال و لام به صورت آنلاین آسان‌تر بود. در ۲۹ مرداد، حدود یک هفته پس از سرقت کریپتو، لام یک قبض ۵۲۸,۰۰۰ دلاری در یک بار را در حساب دیسکورد خود پست کرد. سپس یک هفته بعد، او تصویر دیگری را از یک قرارداد اجاره باقیمانده برای یک مک لارن نارنجی جدید پست کرد.

از طریق ویدیوهایی که ZachXBT به دست آورده بود، مشخص شد که لام و چتال با هم دوست بودند. آن دو بارها در دیسکورد درباره کلاهبرداری‌های آنلاین با یکدیگر صحبت می‌کردند. لام در واقع یکی از اولین افرادی بود که متوجه شد چتال، به عنوان یک طرفدار مشتاق ماشین، لامبورگینی اوروس جدید خریده است. پس از سرقت کریپتو، لام برای چتال نوشت: «از این لامبورگینی جدید لذت ببر.» چتال پاسخ داد: «متشکرم، برادر. من عاشق این ماشین هستم.»

با این وجود، محققان سر در گم بودند: چرا پسر با والدین خود آدم‌ربایی کرد؟ کاسترووینچی، کارآگاه گروهبان، می‌گوید که سرقت کریپتو یک راز برای پلیس محلی بود. «پس از گذشت چند هفته، تقریباً آماده بودیم که آن را یک آدم‌ربایی باج‌خواهی اعلام کنیم، زیرا به نظر نمی‌رسید انگیزه دیگری وجود داشته باشد.»

بسیاری از اعضای کام از آدم‌ربایی برای مقاصد باج‌خواهی استفاده می‌کنند، اما آدم‌ربایی از والدین خود به ویژه به منظور باج‌خواهی تقریباً ناشناخته است. این به ویژه عجیب بود زیرا گزارش شده است که چتال از ثروت پولی که با سرقت کریپتو به دست آورده بود به خوبی استفاده کرده است و می‌دانست که والدینش هیچ کریپتویی برای پس دادن ندارند.

سرانجام، کارآگاهان گروه ضربت دانبری حدس زدند که این حمله احتمالاً تلاشی از سوی پسر برای نجات والدینش از یافتن حقیقت در مورد منبع ثروت ناگهانی خود بود.

در اوایل شهریور، کاسترووینچی با اف‌بی‌آی تماس گرفت تا از آنها در مورد سرقت کریپتو بپرسد. پس از صحبت با محققان کریپتو در اداره تحقیقات فدرال و مشاهده اطلاعاتی که جمع‌آوری شده بود، برای او کاملاً واضح بود که آدم‌ربایی یک سرپوش بود. «شما باید همه چیزهای بزرگ را پشت سر بگذارید تا به این واقعیت برسید که وای، این خیلی بیشتر از یک آدم‌ربایی است.»

در عرض یک ماه پس از آدم‌ربایی، دولت آمریکا به دلیل دخالت در این طرح، رسماً اتهاماتی را علیه چتال، لام و پنج نفر دیگر مطرح کرد. و در ۱۶ شهریور، دادستان‌های فدرال اعلام کردند که بیش از ۵۳ میلیون دلار از ۲۴۳ میلیون دلار بیت‌کوین سرقت‌شده در ازای املاک و مستغلات و کالاهایی از قبیل خودروها ضبط شده است. لام توسط پلیس سنگاپور دستگیر شد. دولت همچنین اعلام کرد که چتال، لام و سایر متهمان در حال بررسی اتهاماتی از قبیل توطئه برای ارتکاب کلاهبرداری سیمی و پولشویی هستند و با حداکثر ۲۵ سال زندان روبرو هستند.

در اواخر آذر، دو هفته قبل از اینکه چتال در دادگاه اعتراف به بی‌گناهی کند، من در پارک دانبری با کاسترووینچی ملاقات کردم، که در آن با یک گروه دیگر از شهروندان ارشد در حال قدم زدن بود. دانبری از بسیاری جهات شبیه به شهرهایی در سراسر کشور است: یک مرکز خرید با پارکینگ‌های بی‌روح، یک دانشگاه ایالتی کوچک، رستوران‌های زنجیره‌ای فراوان، که همگی در امتداد یک اتوبان قرار گرفته‌اند. و با این وجود، اتفاقاً به محل یک سرقت ارز دیجیتال یک چهارم میلیارد دلاری تبدیل شده بود که بخشی از ککومه‌ی جنایت سایبری جوان بود. با این حال، برای کاسترووینچی، این به سادگی وظیفه بود. در پاسخ به این سؤال که آیا آدم‌ربایی این نگاه را که هیچ‌وقت نمی‌تواند همه چیز را ببیند تغییر داده است، پاسخ داد: «من هر روز این را فرض می‌کنم.»

https://www.nytimes.com/2025/04/24/magazine/crybercrime-crypto-minecraft.html