Тільки що читав одну з найжахливіших історій крадіжки криптовалюти і чесно кажучи, не можу перестати думати, як це взагалі сталося. Тож Майкл Турпін, інвестор у криптовалюту, був абсолютно знищений тим, що ймовірно, є найскладнішою атакою SIM-обміну, коли-небудь здійсненою. 15-річний хлопчик на ім’я Елліс Пінскі керував командою, яка фактично організувала все це.

Ось де стає божевільно. Вони підкупили працівників телекомунікацій, щоб перенаправити номер телефону Турпіна на свої SIM-картки. Звідти Елліс запустив скрипти, що просканували все — електронні листи, хмарне сховище, все. Вони шукали приватні ключі, наче шукачі скарбів. Потім вони його знайшли: $900M у ETH, що сиділо там. Але воно було заблоковане.

Вони продовжували копати і зрештою отримали доступ до гаманця з $24М. Це найбільша у історії крадіжка через SIM-обмін у приватному порядку. Просто так, підліток мав більше грошей, ніж більшість людей бачать за все життя.

Що Елліс зробив далі, майже так само безумно, як і сама крадіжка. Ролекс під матрацом, вечірки, ескорти, вся ця показуха. Але ось у чому справа з командами — хтось завжди говорить. Його колишній партнер Труглія почав писати про це у Твіттері. Використовував своє справжнє ім’я на Coinbase. Аматорський рівень. ФБР швидко з’єднало всі точки.

Труглія потрапив у в’язницю. Елліс? Оскільки він був неповнолітнім, формально йому не пред’явили звинувачень, але Турпін подав на нього позов на $22М. А потім стало справді темно — маскировані озброєні люди з’явилися у будинку Турпіна. Це вийшло далеко за межі звичайної крадіжки криптовалюти.

Історія з минулого теж цікава. Елліс виріс у тісній квартирі в Нью-Йорку, отримав перший Xbox у 13 років, почав лазити на форуми хакерів, навчився SQL-ін’єкціям, продавав рідкісні акаунти в Instagram. Він був у цьому хорошим. Але йому потрібні були гроші, а не просто популярність. Обмін SIM-картками став ідеальною зброєю, коли він це зрозумів — захопити чужий номер, контролювати їх 2FA, скинути паролі, отримати доступ до всього.

Сьогодні Елліс навчається у Нью-Йоркському університеті на філософії та комп’ютерних науках. Каже, що хоче створювати стартапи, погасити борги, залишити все це позаду. До 15 років у нього було 562 BTC, інсайдери телекомунікацій у кишені, масивний позов, що нависає над ним, і, очевидно, люди, які хочуть його вбити. Не зовсім ідеальний підлітковий досвід.

Ця вся історія — жорстке нагадування про те, наскільки вразливі номери телефонів у крипті. Ваш 2FA, ваші коди відновлення, все ваше цифрове життя може залежати від розмови з працівником телекомунікацій. Майкл Турпін це зрозумів на власному досвіді. Це змушує задуматися, що таке справжня безпека, коли найслабше місце — це підкуплений працівник у магазині мобільного зв’язку.