Je viens de tomber dans ce terrier de lapin à propos d’un des braquages crypto les plus fous jamais enregistrés, et honnêtement ça vaut votre temps.

Imaginez ceci : un investisseur en crypto nommé Michael Turpin, simplement en train de vaquer à ses occupations après avoir quitté une conférence. Pendant ce temps, à travers le pays, un groupe d’adolescents bribe littéralement des employés de télécom pour détourner son numéro de téléphone. Le cerveau ? Un adolescent de 15 ans nommé Ellis Pinsky.

Une fois qu’ils ont pris le contrôle de son numéro, Ellis lance des scripts pour fouiller toute la vie numérique de Turpin — emails, sauvegardes dans le cloud, tout. Ils cherchaient des clés de portefeuille privées. Et puis ils l’ont trouvé : $900M en ETH. Sauf qu’il y avait un problème. Il était verrouillé.

Mais ils ont continué à creuser. Des heures passent. Michael Turpin vérifie ses comptes et réalise que son plus gros portefeuille est toujours là, mais $24M a disparu. Juste disparu. Cela est devenu le plus grand vol individuel par échange de SIM jamais enregistré.

Soudain, Ellis est plein d’argent. Il achète une Rolex, la cache sous son lit comme dans un film. Sauf que la réalité rattrape vite. Un coéquipier vole 1,5 million de dollars et disparaît. Un autre commence à parler d’engager un tueur à gages. Toute l’affaire devient chaotique.

Voici le truc avec Ellis cependant — son parcours n’a pas commencé avec ce braquage. Le gamin a grandi dans un petit appartement à NYC, a eu sa première Xbox à 13 ans, a commencé à traîner sur des forums de hackers, a appris l’injection SQL, vendait des comptes Instagram rares pour du prestige. Mais le prestige ne gratifiait plus. Il voulait de l’argent réel.

Le swap de SIM est une idée géniale dans le pire des cas : tu convaincs un représentant de télécom de transférer le numéro de quelqu’un sur ta carte SIM. Maintenant tu contrôles ses SMS, sa 2FA, ses codes de récupération. Ensuite, ce ne sont que des resets de mot de passe, accès aux emails, vol de portefeuille. Toute la chaîne de sécurité crypto se brise.

Mais voilà où ça se décompose. L’ex-partenaire d’Ellis, Truglia, n’a pas pu garder sa bouche fermée. Il a littéralement tweeté « A volé 24 millions de dollars. Toujours incapable de garder un ami. » Il a été immédiatement attrapé parce que — tenez-vous bien — il a utilisé son vrai nom sur Coinbase. Le FBI n’a pas mis longtemps. Truglia est allé en prison. Ellis, étant mineur, n’a pas été inculpé. Mais Michael Turpin l’a poursuivi pour 22 millions de dollars.

Puis des hommes masqués armés ont cambriolé la maison de Turpin.

Aujourd’hui, Ellis étudie la philosophie et l’informatique à NYU. Il dit vouloir créer des startups, rembourser ses dettes, laisser tout ce chaos derrière lui. À 15 ans, il possédait 562 BTC, des connexions avec des insiders des télécoms, une poursuite active, et apparemment une menace contre sa vie. Fou ne suffit même pas à décrire.

C’est une de ces histoires qui montrent à quel point la sécurité crypto est fragile — et à quelle vitesse un adolescent peut passer des forums de hackers à l’attention fédérale. L’affaire crypto de Michael Turpin est devenue en gros l’étude de cas sur les vulnérabilités du swap de SIM dans l’industrie.