HASH CARD (Paweł Goch, Łukasz Kozłowski) - scam rodem z Polski od ludzi stojących za atakiem na giełdę Etherdelta

[another_scam]

Krótko mówiąc:
kilka osób (z czego dwie z Polski) wyłudziło ponad 4,7 miliona dolarów od ludzi z całego świata.
Skradziono również około 3000 tożsamości (skanów dokumentów ludzi z całego świata, w ramach fałszywej procedury KYC mającej zapewnić projektowi wiarygodność, uczestnicy oszustwa byli wzywani do przesyłania skanów).
Teraz najprawdopodobniej usiłują opuścić kraj lub już to zrobili, jednak istnieją podejrzenia, iż mogą ponownie przekraczać granice UE.
Te same osoby stały za atakiem hakerskim na giełdę kryptowalutową w grudniu ubiegłego roku (niepodważalne dowody na samym końcu tej wiadomości, mają charakter nieco bardziej techniczny, więc nie chcę umieszczać ich tutaj, żeby nie zaciemniać obrazu).

Dane tych osób (potwierdzone np. poprzez listę uczestników konferencji kryptowalutowej, w której oszuści brali udzial oraz poprze procedury KYC, które przechodzili):

Paweł Goch
https://www.linkedin.com/authwall?trk=r ... 31b8161%2F

Łukasz Kozłowski
https://www.linkedin.com/authwall?trk=r ... a89a15b%2F

Wygląd tych osób:

https://www.google.pl/imgres?imgurl=htt ... mrc&uact=8

https://pbs.twimg.com/media/DbFH8-FUMAAawsb.jpg:large

https://www.google.pl/imgres?imgurl=htt ... mrc&uact=8

https://www.google.pl/imgres?imgurl=htt ... mrc&uact=8

https://www.google.pl/imgres?imgurl=htt ... mrc&uact=8

Opis sytuacji:

Kilka osób - w tym dwie z Polski - założyło stronę internetową Hashcard (kropka) IO. Wypromowało ją przy użyciu reklam Googla oraz innych kanałów komunikacji. Obiecali system pre-paidowych kart płatniczych zasilanych tak zwanymi kryptowalutami. W tym celu stworzyli aplikacje (dodane do Google Store oraz Apple Play) automatycznie konwertujące kryptowaluty na klasyczne pieniądze (przy pomocy API). Zrekrutowali do swojego projektu szereg osób (wymienionych na ich stronie jako advisors) oraz wynajęli zewnętrzną firmę do obsługi komunikacji w mediach społecznościowych. Podpisali również umowę z bankiem Maybank w Singapurze i nabyli z tego banku 3000 kart płatniczych typu prepaid. Na potrzeby projektu zarejestrowali firmę w Hong Kongu (Hash Network Limited. Company Number: 2669896, D-U-N-S Number: 686120186, 17 Bonham Trade ctr 50 Bonham Strand, HONG KONG). Po uruchomieniu systemu rozpoczęli zbiórkę pieniędzy na rozwój projektu. W trakcie Paweł Goch oraz Łukasz Kozłowski oraz Vasiliy Gulyar (kolejna osoba zamieszana w projekt) przestali odzywać się do pozostałych osób będących częścią projektu i przez nich zatrudnionych. Milczenie trwało kilka dni. W miedzyczasie wspomniane osoby umieściły na swojej stronie internetowej nielegalnie loga kilku firm z branży kryptowalutowej (w celu wygenerowania większego zainteresowania ich projektem), a gdy wspomniane firmy zażądały usunięcia logotypów i zakomunikowały, że jest to oszustwo, wspomniane osoby wciąż nie reagowały (przykładowy komunikat dotyczący loga firmy Binance Gdy okazało się, że Paweł Goch i Łukasz Kozłowski uciekli z pieniędzmi, pozostałe osoby przez nich zatrudnione (zagraniczni konsultanci) odeszły z projektu, a podmioty z którymi były zawarte wstępne umowy wypowiedziały współpracę (np. Bancor).

Skradzione środki znajdowały się pod postacią rozmaitych kryptowalut. Największa część ze skradzionych 4,7 milionów dolarów była pod postacią tak zwanego etheru. Oto konto, na którym znajdowały się skradzione środki (przepływ kryptowalut można śledzić, gdyż cały system jest transparentny).
https://etherscan.io/address/0x008065b7 ... cb44525219
Jak widać, znaczna część funduszy została przelana na dodatkowe konta (oznaczone na tej stronie jako "OUT"). Część innych kryptowalut została przelana na tak zwane giełdy i prawdopodobnie sprzedana (w to już nie można mieć wglądu, gdyż giełdy nie udostępniają takich informacji).

Trochę szkoda, że ten niechlubny incydent miał miejsce w Polsce, ale trzeba przyznać, że był bardzo dobrze zorganizowany. Jeśli potrzebowaliby Państwo jakichś dodatkowych informacji, proszę śmiało się odzywać. Jeśli będę jakoś w stanie pomóc, chętnie pomogę, choć szczerze mówiąc wolałbym oszczędzić sobie papierologii i chodzenia po sądach, ale jeśli mogę przyczynić się do dorwania postaci, które prawdopodobnie oszukały kilka tysięcy osób z całego świata i ukradły 4,7 miliona dolarów, to chętnie to zrobię. Właśnie przez takich ludzi branża blockchainowa - która z założenia ma charakter neutralny - kojarzy się w powszechnej świadomości z oszustwami, piramidami finansowymi i praniem brudnych pieniędzy, więc dobrze byłoby z tym stereotypem walczyć poprzez działania przeciw ludziom takim jak Paweł Kozłowski oraz Łukasz Goch, którzy póki co w naszym kraju czują się bezkarni.

PS. Na koniec obiecane dowody na to, że wczorajszy incydent został przygotowany przez te same osoby, które w ubiegłym roku ukradły pieniądze z jednej z giełd kryptowalutowych. Wyjaśnienie ma charakter nieco techniczny, nie jestem pewien, na ile Państwo orientują się w subtelnościach technologii blockchainowej, więc na wszelki wypadek pozwolę sobie zacząć od wprowadzenia. Niektóre typy adresów kryptowalutowych (kontrakty) mogą być tworzone wyłącznie przez inne. Śledząc łańcuch powiązań (przepływ środków oraz zależności pomiędzy adresami, który został utworzony przez który) można powiązać ze sobą dwa różne adresy (a więc i dwa różne incydenty połączyć z tą samą osobą). Po kolei.
1. Oto adres odpowiedzialny za funkcjonowanie projektu Hash Card, który uciekł z 4,7 milionami dolarów:
https://etherscan.io/token/0x14eae1322a ... 86373e20c4
W prawym górnym rogu w polu "contract" można kliknąć ten adres aby zobaczyć, kto go utworzył.
2. Po kliknięciu ukazuje się nam strona, na której w polu 'Contract Creator" widać inny adres, którego użyto do stworzenia adresu Hash Carda. Jest to następujący adres:
https://etherscan.io/address/0x512f7563 ... e4cad9f8b2
3. Widać, że adres ten został zasilony funduszami pochodzącymi z następującego adresu:
https://etherscan.io/address/0x563b377a ... 9ad6123911
W komentarzach do tego adresu (zakładka comments) widać, że został on określony jako adres, z którego dokonano innego przestępstwa (tym razem już formalnie potwierdzonego), czyli ataku hakerskiego na giełdę Etherdelta. Można przeczytać o nim w licznych mediach, przykładowo w tym miejscu (artykuł sprzed jakiegoś czasu), widać, że sprawcy działali z tego samego adresu:
https://hackernoon.com/following-the-ch ... 0b2a5f4e50
Krótko mówiąc, Paweł Goch i Łukasz Kozłowski nawet jeśli nie stali za tamtym atakiem, to bez wątpienia są z nim powiązani, na co istnieje tak zwany dowód kryptograficzny na blockchainie (nie jest możliwe sfałszowanie tego elementu).

[Bit-els]

Dzięki za tak dokładny opis. Na twitterze jeszcze za bardzo nie wiedzą, dałem link.
Chyba z naszych na forum nikt nie dał się nabrać. Ale akcja ostra, fakt

[redlumek]

wg linków to jest Karol Kozłowski a nie Łukasz Kozłowski

[dymonek]

Dla świętego spokoju polecałbym zastrzeżenie dowodu osobistego, można to zrobić przez internet( złożyć wniosek o wyrobienie również),a guj go wie co ci panowie zrobią ze skanów klientów w przyszłości - oczywiście osobom które brały udział w tym ico

[sud]

O kurcze, a myślałem czy nie warto wysłać parę złotych na to Hashcard, żeby dostać kartę, ale coś mi nie pasowało w tym ICO... Na bitcointalku też już krzyczą, że to scam - https://bitcointalk.org/index.php?topic=3336703.120

Jak ktoś użył takiego samego hasła do ich dashboarda, co na innych stronach, to polecam też zmienić.

[leonidasx7]

na etherscan pojawiają się transkacje na kwotę 0 eth, żeby trudniej było dotrzeć do prawdziwych adresów...