ZachXBT最新調查：《要塞英雄》職業玩家如何利用meme騙局盜取300萬美元？

原文作者：zachxbt，鏈上偵探
原文編譯：zhouzhou，BlockBeats

編按：本文分析駭客Serpent 在X 和Instagram 上控制了麥當勞、Kabosu 等9 個帳號，發起Meme 幣騙局，盜取約350 萬美元，並用於賭場賭博。 Serpent 曾是《要塞英雄》職業玩家，因作弊被解約。 2022 年，他共同創立的 NFT 計畫 DAPE 發生 Rug Pull，2024 年推出的 ERROR 計畫也遭遇 Rug Pull，最後被 X 封鎖。

以下為原文內容（為便於閱讀理解，原內容有所整編）：

過去幾個月，我一直在追蹤一系列相關的洩漏事件，涉及麥當勞、Usher、Kabosu 的擁有者、Andy Ayrey、Wiz Khalifa、SPX 6900 等，這些事件透過發布Pump Funmeme幣導致了約350 萬美元的竊盜。

2024 年8 月21日，麥當勞的Instagram 帳戶遭到入侵，並發布了一條推廣捆綁meme 幣GRIMACE 的帖子，隨後黑客開始進行惡搞。從這次拉高出貨中，超過 69 萬美元被匯入兩個錢包。

4RiNhTwBxYWgb4MSCtt9vXgVk2yuPhoQR3DR9pMVPU1W

2vjnmxwTYNJvTmFhtqxZkPiuCHkaKZK5rcxTLuoC2d="pignpignp center;">

2024 年9 月3 日，麥當勞攻擊者將101.5 SOL 轉移到兩個地址，在演員Dean Norris 的X 帳戶被黑客入侵後，這兩個位址部署並狙擊了SCHRADER。

4s9Uz9pTBXcEaEtcjs8eg98r2TVte3rq3JUm3rVTFMudfewGbNKmqNyYs9bSAMA

1gxo1pjTqjbee7rHW4cGvuNffX1qP4F8fP17g6SSC5EYbQrnktDrKSFB1uh4ju7PxQjprWFin37WUsAe225b9c6

2024 年 9 月 6 日，麥當勞 APT（帳戶劫持）所得款項轉移到一個賭場存款地址。

CuNzegC9DE4CxCMn31ZcYLvtDaYsLD9RX8eRvmtZQrnB

透過進行時間分析，可以找到存款後不久進行的後續提款。

B2fwZt5nTbdrnJ2CPsgrYMPuB4UnhN82EAM34dXDARLh

2024 年9 月12 日，B2fw 將110 SOL轉移到兩個地址，這些地址參與了在 Usher 洩露事件中推廣的 meme 幣搶購。

4FUrwoHz1fuUf4eR6YEAYSG9d9rN5fzbowMXtbjwJAhTDtHXjpnTb1sz6aeF6T79JaiMFyT2xX2EuTxqT5UhFfKD

427zpHF1WWgYgKxcSiUzwXLg2UqsF6xq7K13PU3mh6Wr99mipiVA6GcDTwi7EY93RJeRuEUDZAK9BnoMeki7sU6C

隨後，B2fw 將4868 SOL 轉移到賭場存款地址ECb5v，與Ecb5v 直接相關的還有其他APT（帳戶劫持）事件，包括Andy Ayrey 和Enoshima 水族館的洩漏事件。

Ecb5vsomUG3MEnLCgiFvkdnnqpggTEXtN17z62iDPuU3

2024 年10 月15 日，Enoshima 水族館的 X帳號遭到入侵，並推廣了一款捆綁 meme 幣。當天，從該詐騙中獲得的 84 SOL 被轉移到了 ECb5v。

5PDjh74JTLMPW4dXr6fKm3Yue2j3vhbxLSK5dPbQ3oEGK4axE7fua1ngBMas4xpRY6dBr92Ccps7b1WwcLdnxXWL

2024 年10 月29 日，Andy Ayrey（Truth Terminal 的創始人）的X 帳號遭到入侵，持續了多天，並推廣了6 個meme 幣詐騙。 3GVUs 是參與搶購代幣的地址之一。

3GVUs2gNr161ohqnVXjUeoNQmf3cELxKSiPrxyQu6pjd

2024 年 10 月 30 日，3GVUs 將 169 SOL 轉移到 Ecb55vsv。

67nwsLLE3aGua4VeH8p6qHc3SL3rpxi9omMxRnfpeyZVsBpZawnUHo4Pt4tdT5Vxny2uRNRDH3vSZ1fzvKkNCML4

從 Andy Ayrey ATO 中獲得的 217.8 萬美元中，有 75 萬美元被存入賭場存款地址 Apc3e。

Apc3eA9ScQksuZvfURQswZwVkusEYRaqeKEv4eXXbRZm

Kabosu ATO 中的0.1 SOL 為參與Andy Ayrey ATO 的一個地址提供了資金。

2024 年10 月17日，Kabosu 的擁有者Instagram 帳號遭到入侵，並推廣了一個meme 幣詐騙。

當天，來自該詐騙的191 SOL 被轉移到賭場存款地址：

6kwZ7tz8Xs7jaVqVJXZSRrZ2FtS2PPChEVuLXKrmMgCm

Kabosu 和 Andy Ayrey 的 APT（帳戶劫持）事件與 Wiz Khalifa 的 APT 事件直接相關。

2023 年 11 月 3 日，攻擊者在 Wiz Khalifa 的帳號上發布了一個錢包位址。 29 SOL 被轉移到 6kwZ7，就像 Kabosu ATO 中發生的情況一樣。

NFCs23ddXQc9Zff2VJotEn2zaSAh4tvw6U6kb7fdXovZ8YPQgJMGQkXmtWiTutqnoBf6wR2khaKvFpyEKNhHfjJ

>="p-pign style=" center;">

WIZ 的部署者資金來自 Andy Ayrey ATO。參與搶購的其他地址將所有透過即時兌換獲得的收益轉移到了賭場存款地址 0x83ee。

0x83ee6b53a0ae76b71bed0c32721a451776dbdb3a

2024 年10 月16 日，0x83ee從該詐騙的部署者那裡收到了 0.54 ETH，而 SPX 6900 在 2024 年 10 月 11 日遭到入侵。

在 Solana 上，另一個由被入侵的 SPX 6900 帳戶推廣的詐騙得到了 Ken Carson 攻擊者的資助。

為了進一步證明Kabosu 擁有者、SPX 6900、Ken Carson 和Enoshima ATO 之間的關係，每個meme 幣的部署者透過即時兌換資金向前一個部署者地址提供資金，試圖掩蓋資金來源。

調查威脅行為者Serpent如何從職業Fortnite 玩家轉變為透過從X 和IG 上的9+帳戶洩露發起的模因幣騙局幫助竊取$3.5M，並將收益用於線上賭場賭博。

Serpent（SerpentAU）是一位來自澳大利亞的前職業Fortnite 選手，他在2020 年6 月被發現涉嫌作弊後被電子競技組織“Overtime”釋放。然後他於 2022 年 3 月共同創立了 NFT 項目 DAPE，後來是 rug pulling。

2024 年3 月， Serpent 推出了另一個名為ERROR 的項目，但該項目進行了拉地（rug pull），導致他被X 平台封鎖。

部署者位址：

0x8233873ee35547097ccb9098adbab955d7120ee8

2024 年10 月 23 日，ERROR 部署者將總計 29 ETH 轉移到兩個即時交易所。

透過進行時間分析，可以看到這些資金被接收到了 Solana，並且轉入了相同的賭場存款地址。

Ecb5vsomUG3MEnLCgiFvkdnnqpggTEXtN17z62iDPuU3

直接與存款地址Ecb5vs 相連的多個ATO（攻擊性交易活動）包括：麥當勞、Usher、Andy Ayrey、Dean Norris 和 Enoshima 水族館。 （詳細追蹤內容請參閱開頭部分）

Serpent 每月在Roobet、Stake、BC Game 和Shuffle 上賭博數百萬美元，並經常在Discord 上與朋友共享螢幕。

我獲得了他賭博時的錄音，其中不小心洩露了多個存款和提款地址。

Discord ID：1269557350486904945

在2024 年11 月1 日的螢幕分享中，Serpent 分享了一個$100K的存款和$200K 的提款，轉帳到以下地址。

在繪製交易圖時，發現該地址與麥當勞、Andy Ayrey 和 Usher ATO 相關的地址有較高的曝光度。

0xb8c9c8a5756a7992df65f949b7c1423eeb435aa5

目前與這些安全漏洞相關的資金存放在以下地址：

0xeb60a5242c1c97eb54195ec83de43bb26813c0d1

0x2 355ac2929bb7051814de3c48670fccbb515d8be

4jjWZ8RaXZBqntnhu2JFidXEQWXgfKRbJQZdTHrdaqbv

在我的調查第一部分發布後的今天，Serpent開始刪除他在新 X 帳號上的所有貼文。我懷疑還有一些相關的 ATO（攻擊性交易活動）我尚未能夠直接在鏈上追蹤。關於其中一起帳戶被攻破的事件，我已經將一份詳細的調查報告分享給了我正在與之合作的一個受害者。

「原文連結」