Amsterdam'ın lüks Rosewood Otel'inde binlerce kilometre uzakta, elinde yaklaşık 10.000 Euro'luk banknotlarla dolu bir zarfla oturan Kent Halliburton, neyin içine düştüğünü sorgulamaya başladı. Halliburton, müşteriler adına Bitcoin madenciliği donanımı işleten "hizmet olarak madencilik" modeline dayalı Sazmining şirketinin kurucu ortağı ve CEO'su. Peru merkezli olsa da, Sazmining madencilik donanımlarını Norveç, Paraguay, Etiyopya ve Amerika Birleşik Devletleri'ndeki üçüncü taraf veri merkezlerinden yönetiyor.
Halliburton'ın anlattığına göre, bir gün önce Amsterdam'a gelerek Monaco merkezli varlıklı bir aileden iki temsilciyle, Even ve Maxim ile buluşmuştu. Aile ofisi, Sazmining'den yaklaşık 4 milyon dolar değerinde yüzlerce Bitcoin madenciliği cihazı satın almayı teklif etmişti. Bu cihazlar, Etiyopya'da inşaatı devam eden bir tesiste kurulacaktı. Anlaşmayı nihai hale getirmeden önce, aile ofisi Halliburton ile şahsen tanışmak istemişti.
Rosewood Otel'e vardığında Even ve Maxim'i bir köşede oturmuş halde buldu. Özellikle tanınmış bir saat markası takan ve kusursuz bir görünüme sahip Maxim, Halliburton'ı adeta süzen bir tavır sergiliyordu. Üç çeşitlik öğle yemeği sırasında, anlaşmanın detayları ve kişisel geçmişleri hakkında konuştular. Even sohbetçi ve neşeliyken, Maxim daha mesafeliydi ve Halliburton'ın gözlerinin içine uzun süre bakarak onu tartıyormuş gibiydi.
İlişki kurma egzersizi olarak Even, Halliburton'dan aile ofisi için yaklaşık 3.000 dolar değerinde Bitcoin satmasını istedi. Halliburton başlangıçta tereddüt etse de bunu tuhaf bir tanışma ritüeli olarak yorumladı. Birisi Halliburton'a zarfı uzattı ve miktarı özel olarak sayabilmesi için tuvalete gitmesini söyledi. Halliburton, bu anı "Bir James Bond filminden fırlamış gibiydi. Hepsi benim için çok egzotikti." sözleriyle tanımladı.
Halliburton, bu karşılaşmadan biraz şaşkın ama aile ofisi ile anlaşmayı kapatma umuduyla taksiye binerek ayrıldı. Yaklaşık 15 çalışanı olan küçük bir şirket için bu anlaşma dönüştürücü olabilirdi.
Ancak, iki haftadan kısa bir süre sonra Halliburton, Even ve Maxim'e yaklaşık 200.000 dolar değerinde Bitcoin kaptırmıştı. Sazmining'in bu darbeyi atlatıp atlatamayacağından ya da dolandırıcıların kendisini nasıl tuzağa düşürdüğünden emin değildi.
Even ve Maxim ile öğle yemeğinden hemen sonra Halliburton, bir Bitcoin konferansı için Letonya'ya uçtu. Oradan da veri merkezi tesisindeki inşaat çalışmalarını kontrol etmek için Etiyopya'ya geçti.
Halliburton Etiyopya'dayken, Even'dan bir WhatsApp mesajı aldı. Mesajda, Rosewood Otel'deki küçük ön ödeme işleminin ardından, anlaşmanın bir parçası olarak Sazmining'in aile ofisine daha büyük miktarda Bitcoin satması şartıyla anlaşmaya devam etmek istediği belirtiliyordu. Anlaşılan miktar, toplam değerin onda biri olan 400.000 dolardı.
Even, Halliburton'dan anlaşmayı sonlandırmak için gerekli sözleşmeleri imzalamak üzere Amsterdam'a dönmesini istedi. Haftalardır ailesinden uzakta olan Halliburton itiraz etti. Ancak Even, "Uzaktan olmaz, şu anda iş yapış şeklim bu değil." şeklinde bir mesajla kararlılığını dile getirdi.
Halliburton, 16 Ağustos öğleden sonra Amsterdam'a geri döndü. Akşam, beş yıldızlı Okura Otel'deki bir teppanyaki restoranında Maxim ile buluşacaktı. Otelin içi geleneksel Japon tarzında dekore edilmişti; ahşap kaplamalar, kağıt duvarlar, bir zen bahçesi ve lobideki spiral merdivenden sarkan origamiden yapılmış vinçler bulunuyordu.
Halliburton, restoranın bekleme alanında parlak gümüş bir takım elbiseyle oturan Maxim'i buldu. Masa beklerken, Maxim Halliburton'a, Sazmining'in Even'ın önerdiği yan işlem için yeterli Bitcoin'e sahip olduğunu gösterebilir mi diye sordu. Halliburton'dan anlaşılan miktarın yaklaşık yarısını, yani 220.000 dolar değerinde Bitcoin'i, aile ofisinin güvendiği bir Bitcoin cüzdanı uygulamasına aktarmasını istedi. Fonlar Halliburton'ın kontrolünde kalacaktı ancak aile ofisi halka açık işlem verilerini kullanarak bunların varlığını doğrulayabilecekti.
Halliburton iPhone'unu açtı. Uygulama, binlerce olumlu yoruma sahipti ve Apple App Store'da birkaç yıldır listeleniyordu. Maxim yanında olduğu halde, Halliburton uygulamayı indirdi ve yeni bir cüzdan oluşturdu. Halliburton, "Bu adamın güvenini kazanmaya çalışıyordum. Hala o 4 milyon dolarlık sözleşmeyi görüyordum." dedi.
Akşam yemeği büyük ölçüde sorunsuz geçti. Maxim bu sefer daha az temkinliydi; saatlere olan düşkünlüğünden ve aile ofisi için anlaşmalar bulma işinden bahsetti. Yolculuktan dolayı kendini iyi hissetmeyen Halliburton, yemeği çabuk bitirmeye çalıştı.
Ayrılırken, Maxim'in imzalanan sözleşmeleri aile ofisine götürüp işleme koyacağı, Halliburton'ın ise anlaşılan 220.000 dolarlık Bitcoin'i yeni cüzdan adresine göndereceği konusunda anlaştılar.
Otel odasına döndüğünde Halliburton, yeni Atomic Wallet adresini kullanarak küçük bir test işlemi başlattı. Ardından, uygulamayı ilk indirdiğinde oluşturulan özel bilgilerle (tohum ifadesi) cüzdanı silip yeniden yükleyerek beklediği gibi çalıştığından emin oldu. Even'a WhatsApp üzerinden, "Bazı güvenlik önlemleri almam gerekti ama neredeyse hazırım. Sabrınız için teşekkürler." diye yazdı. Even ise "Sorun değil, vaktinizi ayırın." diye yanıtladı.
Saat 22:45'te, testlerinden memnun kalan Halliburton, bir iş arkadaşına 220.000 dolar değerindeki Bitcoin'i Atomic Wallet adresine göndermesi için sinyal verdi. Bitcoin ulaştığında, güncellenen bakiyenin bir ekran görüntüsünü Even'a gönderdi. Bir dakika sonra Even, "Teşekkür ederim." şeklinde bir yanıt yazdı.
Halliburton, sözleşmeler hakkında bilgi almak için Even'a başka bir mesaj gönderdi. Daha önce hızla yanıt veren Even bu kez cevap vermedi. Halliburton, bir şeylerin yanlış gittiğini hissederek Atomic Wallet uygulamasını kontrol etti. Bitcoin kaybolmuştu.
Halliburton'ın midesi kasıldı. Yatağa oturmuş, kusmamak için kendini tutmaya çalışıyordu. "Sanki mideme yumruk yemiş gibiydim. Tam bir şok ve inançsızlıktı." dedi.
Halliburton, nasıl dolandırıldığını anlamaya çalıştı. Saat 23:30'da Even'a başka bir mesaj gönderdi: "Bu, yaşadığım en sofistike dolandırıcılıktı. Muhtemelen umursamıyorsunuz ama işim bunun yüzünden batabilir. Hayatımın dört yılını bunu inşa etmek için harcadım."
Even, yanlış bir şey yapmadığını reddederek yanıt verdi, ancak Halliburton'dan duyduğu son şey bu oldu. Halliburton, Even'ın kullandığı Telegram hesabını paylaştı; hesap, fonların çekildiği gün en son aktifti. Even, yorum talebine yanıt vermedi.
Halliburton'ın cüzdanından çekilen fonların birkaç saat içinde bölünmeye, farklı adresler arasında karıştırılmaya ve kriptoyu itibari para birimine dönüştüren üçüncü taraf platformlara yatırılmaya başlandığı, blok zinciri analiz şirketleri Chainalysis ve CertiK'in analizleriyle ortaya çıktı.
Bitcoin'in bir kısmı, insanların bir kripto para türünü diğeriyle neredeyse anında takas etmelerine olanak tanıyan anlık değiştiriciler arasında paylaştırıldı. Büyük çoğunluğu, dolandırıcılığın muhtemel gelirleriyle ilişkilendirilen fonlarla karıştırılan tek bir adrese aktarıldı. Bu dolandırıcılık türünde, birisi bir yatırımcı gibi davranarak bir startup'tan kripto çalar.
Chainalysis'ten kıdemli araştırmacı Margaux Eckle, "Dolandırıcının kullandığı hizmetlerde yasa dışı bir şey yok. Ancak, açıkça dolandırıcılık faaliyetleriyle bağlantılı görünen konsolidasyon adreslerini kullanmaları, bir dolandırıcılık operasyonuna işaret ediyor olabilir." dedi.
Konsolidasyon adresinden geçen Bitcoin'in bir kısmı, muhtemelen itibari para birimiyle takas edildiği bir kripto borsasına yatırıldı. Araştırmacılara göre, geri kalanı stabil coine dönüştürüldü ve büyük miktarlarda kriptoyu kolayca nakde çevirebilen yer hizmeti veren çok sayıda tezgah üstü alım satım hizmetine ev sahipliği yapan Tron blok zincirine taşındı.
Çok sayıda aktarma, karıştırma, dönüştürme ve bölme işleminin amacı, fonların kaynağını izlemeyi zorlaştırmak, böylece şüphe çekmeden nakde çevrilebilmelerini sağlamaktır. Eckle, "Dolandırıcı oldukça sofistike. Bir köprüden izlesek bile, bu araştırmacıların peşinizde olmasından fonların izlenmesini yavaşlatmanın bir yolu." diye ekledi.
Sonunda, halka açık işlem verilerinin takibi sona eriyor. Failleri tespit etmek için kolluk kuvvetlerinin, kullanıcılar hakkında bilgi toplaması yaygın olarak zorunlu olan, nakde çevirmek için kullanıldığı anlaşılan hizmetlerden celpname talep etmesi gerekecektir.
İşlem verilerinden, dolandırıcıların Halliburton'ın cüzdanına izinsiz olarak nasıl erişip fonları çekebildiğini tam olarak anlamak mümkün değil. Ancak dolandırıcılarla olan etkileşimlerinin bazı yönleri ipucu veriyor.
Başlangıçta Halliburton, olayın Kuzey Kore hükümetine bağlı tehdit aktörleri tarafından gerçekleştirilen ve Atomic Wallet kullanıcılarının hesaplarından 100 milyon dolar değerinde fonun çekilmesine neden olan 2023'teki bir hack ile bağlantılı olup olmadığını merak etti. (Atomic Wallet, yorum talebine yanıt vermedi.)
Ancak bunun yerine, WIRED ile konuşan güvenlik araştırmacıları, Halliburton'ın hedefli bir gözetleme tarzı saldırının kurbanı olduğuna inanıyor. CertiK'te güvenlik araştırmaları başkanı Guanxing Wen, "Büyük miktarda kripto bakiyesi tuttuğu kamuoyunca bilinen yöneticiler cazip hedefler haline geliyor." dedi.
Araştırmacılar, pahalı kıyafetler, bol miktarda nakit ve diğer zenginlik gösterilerinin Halliburton'ı rahatlatmak için kullanılan taktikler olduğunu öne sürüyor. Wen, "Bunlar, yüksek değerli güven dolandırıcılıklarında bilinen bir ilişki kurma taktiğidir. Mağdur, saldırganla rahat bir ortamda ne kadar uzun süre vakit geçirirse, sonraki teknik bir talebi sorgulamak o kadar zorlaşır." diye konuştu.
Hırsızlığı tamamlamak için dolandırıcıların, yeni oluşturulan Atomic Wallet adresinin tohum ifadesini çalmış olmaları muhtemeldir. Bir cüzdanın tohum ifadesine sahip olan herkes, içinde tutulan Bitcoin'e sınırsız erişim sağlayabilir.
Bir olasılık, Amsterdam'daki her iki toplantının da yerlerini dikte eden dolandırıcıların, Halliburton'ın telefonundaki bilgileri toplamak için otel Wi-Fi ağlarını ele geçirmesi veya taklit etmesiydi. Siber güvenlik şirketi Coeus'un baş araştırmacısı Adrian Cheek, "O ekipmanları internetten kolayca satın alabilirsiniz. Hepsi birkaç bavula sığar." dedi. Ancak Halliburton, telefonunun hiçbir zaman elinden çıkmadığını ve Atomic Wallet uygulamasını indirmek için halka açık Wi-Fi yerine mobil veri kullandığını iddia ediyor.
Wen'e göre en olası açıklama, dolandırıcıların, belki de yakındaki bir suç ortağının yardımıyla veya uzun menzilli zoom özelliğine sahip bir kamera ile, tohum ifadesini Okura Otel'deki koltukta uygulamayı ilk indirdiği anda telefonunda gördükleri anda kaydetmiş olmalarıdır.
Halliburton, 220.000 dolarlık Bitcoin'i Atomic Wallet adresine aktarmadan çok önce, dolandırıcıların muhtemelen büyük bir bakiye değişikliği algıladığında bir cüzdanı boşaltan otomatik bir bot türü olan bir "temizleyici komut dosyası" kurmuş olduğu iddia ediliyor.
Bu tür vakalarda mağdurla şahsen görüşen kişiler - Even ve Maxim gibi - nadiren nihai yararlanıcıdır, daha çok dünyanın başka yerlerinde bulunabilecek bir dolandırıcı ağı tarafından kiralanan paralı askerlerdir.
Cheek, "Normalde yeraltı forumları ve güvenli sohbet grupları aracılığıyla işe alınıyorlar. Eğer nereye baktığını biliyorsan, bu sürekli işe alımları görebilirsin." dedi.
Birkaç gün boyunca, Sazmining'in mali darbeyi atlatıp atlatamayacağı belirsiz kaldı. Çalınan fonlar yaklaşık altı haftalık gelire denk geliyordu. Halliburton, "İşletmeyi ayakta tutmaya ve aniden nakit sıkışıklığı yaşadığımız bu durumdan kurtulmaya çalışıyorum." dedi. Bir satıcıya ödemeyi geciktirerek ve vadesi dolmuş bir kredinin süresini uzatarak, şirket nihayetinde ödeme gücünü koruyabildi.
O hafta, Sazmining yönetim kurulu üyelerinden biri Hollanda, İngiltere ve ABD'deki kolluk kuvvetlerine raporlar sundu. Yalnızca İngiltere merkezli Action Fraud'dan (derhal harekete geçmeyeceğini bildirdi) ve ABD Gizli Servisi'nin bir bölümü olan Siber Dolandırıcılık Görev Gücü'nden onay aldılar. (Görev Gücü yorum talebine yanıt vermedi.)
Kripto ile ilgili dolandırıcılık faaliyetlerinin inanılmaz hacmi, kolluk kuvvetlerinin her hırsızlığı tek tek soruşturmasını neredeyse imkansız hale getiriyor. Eckle, "Bu, tamamen benzeri görülmemiş bir ölçeğe ulaşan bir tehdit ve suç türü." dedi.
Eckle'a göre, bir dolandırıcılık mağdurunun parasını geri almasının en iyi şansı, kolluk kuvvetlerinin bütün bir dolandırıcılık çetesini çökertmesidir. Bu senaryoda, kurtarılan fonlar genellikle mağdur olarak bildiren kişilere dağıtılır.
O zamana kadar Halliburton, kayıpla barışmak zorunda. "Hala acı veriyor." diyor ama "ölümcül bir darbe değildi."
