Ніколас Трулія засуджений на 12 років за невнесення компенсації в епохальній справі про крипто-шахрайство

Федеральний суд значно посилив тюремний термін засудженого криптовалютного шахрая Ніколаса Трульїї, збільшивши його до 12 років після відмови повернути викрадені криптоактиви своїй жертві. Початковий термін у 18 місяців у 2022 році тепер перетворився на набагато суворіший покарання — яскравий приклад рішучості правоохоронних органів притягнути до відповідальності шахраїв у сфері цифрових активів. Постанова судді Алвіна Хеллерстайна від липня 2024 року виявила тривожну тенденцію: незважаючи на активи на суму понад 61 мільйон доларів, Ніколас Трульїя не зробив жодних виплат у рамках компенсації у розмірі 20 мільйонів доларів Майклу Терпіну, засновнику та генеральному директору Transform Group.

Атака з SIM-замінюванням, яка все змінила

Кошмар Майкла Терпіна почався у 2018 році, коли Ніколас Трульїя здійснив складну атаку з SIM-замінюванням, спрямовану на його мобільний телефон. Схема полягала у перенесенні номера Терпіна на іншу SIM-карту — на перший погляд проста, але надзвичайно ефективна методика, яка дозволила Трульїї перехоплювати коди автентифікації з криптовалютних бірж та фінансових установ. Втративши контроль над номером, Трульїя отримав доступ до криптовалютних активів Терпіна і викрав приблизно 24 мільйони доларів цифрових активів. Ця атака виявила критичну вразливість у протоколах безпеки мобільних операторів, яка й досі залишається проблемою для криптоіндустрії.

Перший вирок Ніколасу Трульїї базувався на одному пункті про шахрайство через електронні мережі, але наслідки виходили далеко за межі одного злочину. Він систематично цілеспрямовано атакував інвесторів у криптовалютах у районі Сан-Франциско, використовуючи ту ж саму техніку SIM-замінювання для компрометації кількох акаунтів. Висока складність атаки — і її ефективність проти досвідченого інвестора — показали, як системи автентифікації можна зловживати через мобільні мережі, а не лише через прямі зломи акаунтів.

Юридична боротьба і приховування активів

Що робить цю справу особливо важливою, так це очевидний розрив між заявленою неспроможністю Ніколаса Трульїї платити і його значними активами. Судові документи свідчать, що він володів активами на понад 61 мільйон доларів — більш ніж у три рази більше за початкову суму компенсації — але відмовлявся виконати рішення суду. Це перетворило історію з простого шахрайства на перешкоджання правосуддю. Посилений термін у 12 років слугує попередженням, що ухилення від виконання зобов’язань щодо відшкодування має серйозні наслідки.

Майкл Терпін звернувся до кількох юридичних шляхів, окрім кримінальної справи. У 2019 році він виграв цивільний позов на 75 мільйонів доларів проти Ніколаса Трульїї та одночасно подав окремий позов на 224 мільйони доларів за недбалість проти AT&T, його мобільного оператора, за неспроможність запобігти SIM-замінюванню. AT&T у підсумку погодився на цивільну угоду, визнавши системні слабкості у процесах перевірки запитів на заміну SIM-карт. Цей випадок підкреслив неприємну істину: мобільні оператори, а не криптовалютні платформи, часто є найслабшим ланцюгом у системі безпеки.

Тривога для індустрії щодо цифрової безпеки

Справа Ніколаса Трульїї підсумовує вразливість інвесторів у криптовалютах, які покладаються на традиційні методи автентифікації. SIM-замінювання перетворилося з малої експлойтної атаки на поширену загрозу, що націлена як на окремих трейдерів, так і на інституційних гравців. Ця справа демонструє, чому сектор криптовалют має домагатися від мобільних операторів впровадження додаткових рівнів перевірки — таких як біометрична автентифікація або обов’язкова особиста перевірка при переказах SIM — перед обробкою запитів.

Більш широкі наслідки виходять за межі мобільної безпеки. Це переслідування сигналізує, що федеральні суди активно домагатимуться відшкодування у справах про криптозлочини і що приховування активів розглядатиметься як другий кримінальний проступок. Для спільноти криптовалют головний висновок очевидний: технологічні покращення безпеки самі по собі недостатні без посилення процедур ідентифікації та протоколів перевірки операторів.