BTC Phantom: Крипто-мошенничество на 4.7+ млн долларов через фейковые токены

В данном отчете анализируется мошенническая схема, при которой злоумышленник регулярно создает поддельные токены и реализует их через децентрализованные биржи. Ущерб от этих действий превышает 4,7 миллиона долларов, а число пострадавших оценивается более чем в 9 тысяч человек.

Для отмывания “грязных” активов используются многочисленные централизованные биржи, включая OKX, Bybit, Binance, BingX, Kucoin, TradeOgre, Bitget, FixedFloat и WhiteBit.

9 ноября 2021 года неизвестное лицо создало Telegram-канал под названием BTC Phantom. Тематика канала посвящена так называемым «сигналам» — рекомендациям по инвестициям в различные криптовалюты на этапе пре-маркета.

Большую часть времени существования канал был не активен, но уже с 15 июня 2024 по 20 июня 2024 злоумышленник начинает активную рекламную кампанию своего ТГ-канала BTC Phantom. Для рекламы задействованы десятки различных сторонних ТГ-каналов.

Аудитория данных ТГ-каналов преимущественно из Российской Федерации.

В своем ТГ-канале злоумышленник убеждает купить фейковые токены, мимикрирующие под другие настоящие токены обладающие ценностью.

С 9 июня по 27 сентября 2024 злоумышленником создано 91 фейковых токенов. В качестве площадок для продажи фейковых токенов выбрана децентрализованные биржи Uniswap и Pancakeswap, которые не осуществляет модерацию добавляемых токенов.

На текущий момент проанализировано более 25.770 транзакций по фейковым токенам, предположительный ущерб пользователей составляет 4,7 млн. долларов, количество потерпевших составляет 9252 человек.

Обнаружены связи кластера адресов злоумышленника с централизованными сервисами, на которые правоохранительные органы могут направить запрос для установления личности злоумышленника или выявления значимых цифровых артефактов:

С 9 июня по 27 сентября 2024 года злоумышленник создал 91 фейковый токен. Часто он не утруждал себя созданием новых токенов — после обмана пользователей, их просто исключали из канала. Таким образом, одни и те же токены рекламировались многократно. Наибольший объем средств был похищен с использованием токена Layer Zero (ZRO).

8 декабря 2023 года компания LayerZero Labs в своём посте на платформе X (ранее Twitter) объявила о планах выпуска собственного токена под названием LayerZero (ZRO). Запуск токена был запланирован на первую половину 2024 года.

17 апреля 2024 года компания LayerZero Labs создает токен LayerZero (ZRO). Код смарт-контракта: 0x6985884C4392D348587B19cb9eAAf157F13271cd. Был анонсирован листинг на многих популярных криптовалютных биржах.

Начиная с 20 июня 2024 года прошел листинг токена ZRO на многих криптовалютных биржах Binance, OKX, KuCoin, Bybit, UpBit, Gate.io, MEXC и других площадках, включая децентрализованную биржу Uniswap.

19 июня 2024 11:11:59 AM UTC неустановленное лицо, владеющий блокчейн-адресом 0x475eE8535857c8e553D40ab62ffBa717c8D88aF5, создал одноименный токен ZRO (LayerZero). Код смарт-контракта: 0x10172524526a45130BDA0faa153C9ccAFb9c7d36. Данный токен мимикрирует под оригинальный токен ZRO (LayerZero), созданный LayerZero Labs.

Мошенник в группе BTC Phantom утверждал, что благодаря его медийности ему удалось связаться с владельцами проекта LayerZero и договориться о проведении пре-маркета до официального листинга на централизованных биржах.

В качестве площадки выбрана децентрализованная биржа Uniswap, которая не осуществляет модерацию добавляемых токенов.

Ключевой особенностью смарт-контракта фейкового токена является невозможность обмена его обратно после покупки, что делает его по сути мошенническим инструментом.

19 июня 2024 года 12: 47 для неопытных криптопользователей был подготовлен и размещен на Telegraph гайд по приобретению фейкового токена:

Мошенник, используя свой блокчейн-адрес 0xCae268830Bb574E1B0DB4188Aa3b5BE67D4Bdc2F [20] осуществил первоначальную инвестицию в 5 ETH, хэш транзакции: 0xd38524f929915ace4e104c8ff88b0e0a49eb1a6aa12636da9cb1a18682c63cd0.

Это, наряду с активными обсуждениями предстоящего листинга оригинального токена и аргументации мошенника, что возможно только сейчас приобретение токена по цене $0.02 на пресейле и продажи после листинга за $3, создавало ожиотаж криптопользователей, входящих в его группу. Посты набирали в закрытой группе доходили до 26.000 просмотров.

Однако, поскольку продать токены можно было только создателю, курс продолжал расти, создавая ложную иллюзию инвестиционной привлекательности фейкового токена ZRO.

Высокие обороты приводили к упоминанию в различных открытых ТГ-ботах с большим количеством подписчиков, что подстегивало интерес случайных криптопользователей

Мошенник решил развить дальше свою мошенническую схему и в 19 июня 2024 07:19:11 PM UTC создает второй одноименный токен ZRO (LayerZero). Код смарт-контракта: 0xE05F4Bf8cb2B9bdD5C92bE01A56CcEf3EB709979

Транзация создания токена LayerZero мошенником: https://etherscan.io/tx/0xc0e0d69d0b51d65c69f1cf5e92d2c9f4e6ee8f643114c28075b87dfed1e28818

Используемая легенда для потенциальных жертв – аналогичная – второй пресейл до официального листинга. Мошенник обозначает ограничение как по общей сумме, которая доступна для покупки на пресейле, так и по времени, тем самым формирует ажиотаж.

Тех кого удалось обмануть мошенник решает попробовать еще раз обмануть. Он создает новую группу «BTC Phantom | Фиксируем прибыль».

Для «фиксации прибыли» мошенник предлагает купить еще фейкового токена на 0.31122 ETH.

Скриншот из закрытой группы BTC Phantom | Фиксируем Позиции. Администратор группы @BTCPhantomm (ID 7446580978) несколько раз размещал сообщения о разных фейковых токенов ZRO c разными смарт-контрактами. Некоторые схемы подразумевали повторную покупку, чтобы разблокировать вывод средств.

Но скорее всего это уже не удается.