原文作者：zachxbt，鏈上偵探

原文編譯：zhouzhou，BlockBeats

編按：本文分析駭客Serpent 在X 和Instagram 上控制了麥當勞、Kabosu 等9 個帳號，發起Meme 幣騙局，盜取約350 萬美元，並用於賭場賭博。 Serpent 曾是《要塞英雄》職業玩家，因作弊被解約。 2022 年，他共同創立的NFT 計畫DAPE 發生Rug Pull， 2024 年推出的ERROR 計畫也遭遇Rug Pull，最後被X 封鎖。

以下為原文內容（為便於閱讀理解，原文內容有所整編）：

過去幾個月，我一直在追蹤一系列相關的洩漏事件，涉及麥當勞、Usher、Kabosu 的擁有者、Andy Ayrey、Wiz Khalifa、SPX 6900 等，這些事件透過發布Pump Funmeme 幣導致了約350 萬美元的盜竊。

2024 年8 月21 日，麥當勞的Instagram 帳戶遭到入侵，並發布了一條推廣捆綁meme 幣GRIMACE 的帖子，隨後黑客開始進行惡搞。從這次拉高出貨中，超過69 萬美元被匯入兩個錢包。

4RiNhTwBxYWgb4MSCtt9vXgVk2yuPhoQR3DR9pMVPU1W

2vjnmxwTYNJvTmFhtqxZkPiuCHkaKZK5rcxTLuoC2dPB

2024 年9 月3 日，麥當勞攻擊者將101.5 SOL 轉移到兩個地址，在演員Dean Norris 的X 帳戶被駭客入侵後，這兩個地址部署並狙擊了SCHRADER。

4s9Uz9pTBXcEaEtcjs8eg98r2TVte3rq3JUm3rVTFMudfewGbNKmqNyYs9bSAMDUaTbTcuA1v39sWr7GRqkDJ6EM

1gxo1pjTqjbee7rHW4cGvuNffX1qP4F8fP17g6SSC5EYbQrnktDrKSFB1uh4ju7PxQjprWFin37WUsAe225b9c6

2024 年9 月6 日，麥當勞APT（帳戶劫持）所得款項被轉移到一個賭場存款地址。

CuNzegC9DE4CxCMn31ZcYLvtDaYsLD9RX8eRvmtZQrnB

透過進行時間分析，可以找到存款後不久進行的後續提款。

B2fwZt5nTbdrnJ2CPsgrYMPuB4UnhN82EAM34dXDARLh

2024 年9 月12 日，B2fw 將110 SOL 轉移到兩個地址，這些地址參與了在Usher 洩漏事件中推廣的meme 幣搶購。

4FUrwoHz1fuUf4eR6YEAYSG9d9rN5fzbowMXtbjwJAhTDtHXjpnTb1sz6aeF6T79JaiMFyT2xX2EuTxqT5UhFfKD

427zpHF1WWgYgKxcSiUzwXLg2UqsF6xq7K13PU3mh6Wr99mipiVA6GcDTwi7EY93RJeRuEUDZAK9BnoMeki7sU6C

隨後，B2fw 將4868 SOL 轉移到賭場存款地址ECb5v，與Ecb5v 直接相關的還有其他APT（帳戶劫持）事件，包括Andy Ayrey 和Enoshima 水族館的洩漏事件。

Ecb5vsomUG3MEnLCgiFvkdnnqpggTEXtN17z62iDPuU3

2024 年10 月15 日，Enoshima 水族館的X 帳號遭到入侵，並推廣了一款捆綁meme 幣。當天，從該詐騙中獲得的84 SOL 被轉移到了ECb5v。

5PDjh74JTLMPW4dXr6fKm3Yue2j3vhbxLSK5dPbQ3oEGK4axE7fua1ngBMas4xpRY6dBr92Ccps7b1WwcLdnxXWL

2024 年10 月29 日，Andy Ayrey（Truth Terminal 的創始人）的X 帳號遭到入侵，持續了多天，並推廣了6 個meme 幣詐騙。 3GVUs 是參與搶購代幣的地址之一。

3GVUs2gNr161ohqnVXjUeoNQmf3cELxKSiPrxyQu6pjd

2024 年10 月30 日，3GVUs 將169 SOL 轉移到Ecb5vs。

67nwsLLE3aGua4VeH8p6qHc3SL3rpxi9omMxRnfpeyZVsBpZawnUHo4Pt4tdT5Vxny2uRNRDH3vSZ1fzvKkNCML4

從Andy Ayrey ATO 中獲得的217.8 萬美元中，有75 萬美元被存入賭場存款地址Apc3e。

Apc3eA9ScQksuZvfURQswZwVkusEYRaqeKEv4eXXbRZm

Kabosu ATO 中的0.1 SOL 為參與Andy Ayrey ATO 的一個地址提供了資金。

2024 年10 月17 日，Kabosu 的擁有者Instagram 帳號遭到入侵，並推廣了一個meme 幣詐騙。

當天，來自該詐騙的191 SOL 被轉移到賭場存款地址：

6kwZ7tz8Xs7jaVqVJXZSRrZ2FtS2PPChEVuLXKrmMgCm

Kabosu 和Andy Ayrey 的APT（帳戶劫持）事件與Wiz Khalifa 的APT 事件直接相關。

2023 年11 月3 日，攻擊者在Wiz Khalifa 的帳號上發布了一個錢包位址。 29 SOL 被轉移到6kwZ7，就像Kabosu ATO 中發生的情況一樣。

NFCs23ddXQc9Zff2VJotEn2zaSAh4tvw6U6kb7fdXovZ8YPQgJMGQkXmtWiTutqnoBf6wR2khaKvFpyEKNhHfjJ

WIZ 的部署者資金來自Andy Ayrey ATO。參與搶購的其他地址將所有透過即時兌換獲得的收益轉移到了賭場存款地址0x83ee。

0x83ee6b53a0ae76b71bed0c32721a451776dbdb3a

2024 年10 月16 日，0x83ee 從該詐騙的部署者那裡收到了0.54 ETH，而SPX 6900 在2024 年10 月11 日遭到入侵。

在Solana 上，另一個由被入侵的SPX 6900 帳戶推廣的詐騙得到了Ken Carson 攻擊者的資助。

為了進一步證明Kabosu 擁有者、SPX 6900、Ken Carson 和Enoshima ATO 之間的關係，每個meme 幣的部署者透過即時兌換資金向前一個部署者地址提供資金，試圖掩蓋資金來源。

調查威脅行為者Serpent 如何從職業Fortnite 玩家轉變為透過從X 和IG 上的9+帳戶洩露發起的迷因幣騙局幫助竊取$3.5M，並將收益用於線上賭場賭博。

Serpent（SerpentAU）是來自澳洲的前職業Fortnite 選手，他在2020 年6 月被發現涉嫌作弊後被電競組織「Overtime」釋放。然後他於2022 年3 月共同創立了NFT 計畫DAPE，後來rug pulling。

2024 年3 月，Serpent 推出了另一個名為ERROR 的項目，但該項目進行了拉地（rug pull），導致他被X 平台封禁。

部署者位址：

0x8233873ee35547097ccb9098adbab955d7120ee8

2024 年10 月23 日，ERROR 部署者將總計29 ETH 轉移到兩個即時交易所。

透過進行時間分析，可以看到這些資金被接收到了Solana，並且轉入了相同的賭場存款地址。

Ecb5vsomUG3MEnLCgiFvkdnnqpggTEXtN17z62iDPuU3

直接與存款地址Ecb 5 vs 相連的多個ATO（攻擊性交易活動）包括：麥當勞、Usher、Andy Ayrey、Dean Norris 和Enoshima 水族館。 （詳細追蹤內容請參閱開頭部分）

Serpent 每月在Roobet、Stake、BC Game 和Shuffle 上賭博數百萬美元，並經常在Discord 上與朋友共享螢幕。

我獲得了他賭博時的錄音，其中不小心洩露了多個存款和提款地址。

Discord ID： 1269557350486904945

在2024 年11 月1 日的螢幕分享中，Serpent 分享了一個$100K 的存款和$200K 的提款，轉帳到以下地址。

在繪製交易圖時，發現該地址與麥當勞、Andy Ayrey 和Usher ATO 相關的地址有較高的曝光度。

0xb8c9c8a5756a7992df65f949b7c1423eeb435aa5

在Andy Ayrey 的安全漏洞事件中，另一位威脅行為者參與了搶奪這些詐騙項目，他使用的是「Dex」這個化名（來自美國馬薩諸塞州）。

他在上週被我在Telegram 頻道提及後開始慌亂，並編造了一個關於被敲詐的故事，聲稱自己損失了$700K。

目前與這些安全漏洞相關的資金存放在以下地址：

0xeb60a5242c1c97eb54195ec83de43bb26813c0d1

0x2355ac2929bb7051814de3c48670fccbb515d8be

4jjWZ8RaXZBqntnhu2JFidXEQWXgfKRbJQZdTHrdaqbv

在我的調查第一部分發布後的今天，Serpent 開始刪除他在新X 帳戶上的所有貼文。我懷疑還有一些相關的ATO（攻擊性交易活動）我尚未能夠直接在鏈上追蹤。關於其中一起帳戶被攻破的事件，我已經將一份詳細的調查報告分享給了我正在與之合作的一個受害者。

原文連結