Pharoah — как нажить себе врагов в дарке

В ноябре 2020 на даркнет-форуме Dread появилась ветка нового маркетплейса (МП), своим названием подчеркивающего фокус на анонимности — Incognito Market.

Авторы сосредоточились на торговле наркотиками, избегая таким образом лишнего внимания со стороны властей, а к оплате принимали только биткоин или Monero, 5% которых забирали в качестве комиссии.

В течение следующих полутора лет МП рос, разработчики принимали запросы аудитории на фичи, а администрация умело разруливала конфликты. После падения трёхглавой в апреле 2022 Incognito почти утроил сумму своих сделок в месяц — с $700 тыс до $2 млн. В этот момент Incognito стал одной из следующих целей для западных силовиков.

Через месяц, в мае 2022 админ МП под ником pharoah пишет в своей ветке на Dread, что обменник заморозил его крипту по AML при попытке обмена BTC→XMR и запросил источник происхождения денег. В посте, среди прочего, он написал название обменника и что час назад он отправил приблизительно 1 BTC на их адрес.

Посты с его аккаунта, разумеется, читали и федералы, собиравшие адреса кошелька Incognito. Они собрали список из 4 доменов, купленных у namecheap с того кошелька. Их покупку частично оплатили с кошелька Incognito, и частично с аккаунта биржи с верификацией личности.

3 домена рекламировали МП, а 4-й был личной страницей некого Лина Руай Женга, 23-летнего тайваньца, энтузиаста блокчейна и Monero, по его собственному описанию. На имя того же человека был зарегистрирован и аккаунт namecheap, купивший домены. Лин теперь стал объектом наблюдения ФБР.

Спустя 2 месяца, в июле 2022 Лин видит, что МП лежит и бежит гуглить ошибки, только делает он это буквально (гуглит в гугле), еще и залогиненным в свой аккаунт Google. Ошибки сервер выдавал неслучайно — федералы нашли европейского хостера, сдававшего мощности в аренду субарендатору из России, у которого Лин хостил Incognito.

После копирования данных с сервера, ФБР намеренно сломали его в ожидании реакции Лина, аккаунты которого они мониторили. Будто было недостаточно его поисковых запросов с конкретной ошибкой, в письмах на Gmail Лина нашлось фото рукописной диаграммы со схемой работы Incognito, которую он сам себе послал в 2020 и, видимо, забыл удалить.

Сервер Лин починил, время шло, а его соцсети обрастали хвастовством сделками на Binance, коллекцией NFT и т.п. Таким поведением “энтузиаст” Monero привлёк внимание еще 1 врага — хакеров. В октябре 2023 его соскамили, фишингом заставив поставить троян под видом приложения типа Zoom, где у него было назначено собеседование.

Собеса не случилось, а все деньги и NFT с его кошельков — исчезли. Вероятно, вместе с деньгами и Incognito, т.к. продавцы начали жаловаться в ветке на Dread о невозможности вывести деньги и фейковых ID транзакций, генерируемых МП. Пошли слухи об экзит-скаме (уход администрации в закат со всеми деньгами продавцов и покупателей).

После потери всех денег Лин не отчаялся, и решил, что снова заработает… вымогательством. pharoah написал на Dread, что если продавцы (более 1000 человек) не хотят публикации их сделок и транзакций, они должно заплатить до $20 тыс в зависимости от их уровня на Incognito. Слухи об экзит-скаме подтвердились.

Пока продавцы угрожали pharoah расправой, админ Дреда HugBunter сдеанонил его и предложил перейти в Jabber для доказательства. После их общения pharoah врубил заднюю и сказал, что это все был пранк. Деанон HugBunter провел благодаря другой ошибке pharoah — пару лет назад тот написал на Дреде о своих узлах Monero, адреса которых были поддоменами… личного сайта Лина.

В мае 2024 соскамленный всего полгода назад Лин по иронии идет давать тренинг по ИБ властям Сент-Люсии. Обратный билет в Тайвань у него был с пересадкой в США, где его ФБР и взяли. Ему грозит пожизненное, приговор вынесут 27 марта 2025.

ИМХО:  Опсек у админа оказался не сильно лучше, чем у основателя AlphaBay.

Onion Persona | Onion Links

Свежее