Известный исследователь блокчейна ZachXBT опубликовал расследование, в котором связал угрозового актора по имени Джон (также известного как Lick) с криптовалютными кошельками, содержащими более $90 млн предположительно украденных средств. Значительная часть этих средств связана с адресом, на который в марте 2024 года поступило $24,9 млн из кошелька правительства США — средств, конфискованных в деле о взломе Bitfinex.
Расследование получило неожиданный импульс после того, как в Telegram-чате был записан спор Джона с другим мошенником, Дританом Капплани-младшим. В ходе так называемого «баттла» (band for band) Джон, желая доказать своё превосходство, в реальном времени демонстрировал экран с доступом к своим кошелькам. В частности, он показал Tron-кошелёк TMrWCLMS3ibDbKLcnNYhLggohRuLUSoHJg с балансом в $2,3 млн, а также Ethereum-адрес 0xd8bc7ea538c2e9f178a18cc148892ae914a55d08, на который в ходе разговора поступило $6,7 млн в ETH. К концу беседы общая сумма на демонстрируемых адресах достигла $23 млн.
ZachXBT провёл ретроспективный анализ транзакций. Адрес 0xd8bc получал средства от другого кошелька — 0x8924, владельцем которого Джон также признался в записи. Далее цепочка привела к адресу 0xc7a2, который 20 ноября 2025 года отправил 1066 WETH (примерно $3,2 млн) на 0x8924. Именно этот адрес 0xc7a2 в марте 2024 года получил $24,9 млн с правительственного кошелька США, связанного с конфискацией средств от взлома Bitfinex. ZachXBT уже отмечал этот адрес в своём посте за октябрь 2024 года. На момент публикации нового расследования на адресе 0xc7A253fD3C61CF69d043e6184c107dF4E29475B5 всё ещё оставалось $18,5 млн.
Кроме того, кошелёк 0xd8bc связан с поступлениями на $63 млн с подозрительных адресов в четвертом квартале 2025 года. Среди источников — переводы на $13,5 млн, $15,4 млн, $3 млн и $1 млн с различных криптовалютных адресов. В день публикации расследования на этот же кошелёк поступило 4170 ETH (около $12,4 млн) через биржу MEXC.
После разоблачения Джон оперативно удалил свои NFT-имена пользователей и сменил никнейм в Telegram, однако его первоначальный идентификатор (TG ID 8269661864) уже был зафиксирован. По данным ZachXBT, в Telegram-каналах, посвящённых киберпреступности, циркулируют слухи, что Джон может быть Джоном Дагитией, который был арестован в сентябре 2025 года, однако для полного подтверждения этой информации требуются дополнительные исследования.
В качестве ответа на публикацию расследования кто-то отправил микросумму (dust transaction) с одного из кошельков, связанных с кражами, на адрес zachxbt.eth.
