Secondo una nuova ricostruzione on-chain, i fondi illeciti in criptovalute mostrati in un video di sfida online sarebbero collegati a un portafoglio da oltre 90 milioni di dollari.
Summary
Un wallet esposto da una disputa “band for band”
Un portafoglio crypto presumibilmente controllato da un soggetto noto come John è stato collegato a oltre 90 milioni di dollari in fondi sospetti. L’analisi è stata pubblicata dall’investigatore on-chain ZachXBT, che ha ricostruito movimenti connessi anche al sequestro statunitense legato all’hack di Bitfinex.
L’attività del wallet è emersa dopo una disputa online in cui l’individuo, durante una sessione registrata, ha condiviso lo schermo mostrando più indirizzi e spostando milioni di dollari in tempo reale. In un thread su X, ZachXBT ha spiegato che John, noto anche con l’alias “Lick”, è stato ripreso mentre ostentava il controllo di circa 23 milioni di dollari in crypto durante uno scontro con un altro presunto threat actor.
Secondo la ricostruzione, le somme mostrate nel video sono state poi ricondotte a portafogli associati ad indirizzi di sequestro controllati dal governo statunitense e ad altri soggetti ritenuti vittime di attacchi. L’episodio evidenzia come la vanità sui social possa esporre infrastrutture finanziarie legate ad attività criminali.
Come funziona la disputa “band for band” nel cybercrimine
La vicenda nasce da uno scontro tra John e un altro threat actor in una chat di gruppo online. I due hanno accettato di partecipare a un cosiddetto “band for band”, un confronto diffuso nei circuiti cybercriminali in cui ciascuno dimostra di controllare determinati fondi in criptovalute.
In questa pratica, il possesso viene provato muovendo gli asset in tempo reale o mostrando l’accesso diretto ai wallet. In questo caso, l’intera sequenza è stata registrata, fornendo agli analisti una fonte dettagliata per il tracciamento successivo.
Detto ciò, proprio la natura pubblica delle blockchain ha consentito a ZachXBT di seguire a ritroso i flussi di capitale esibiti nella sfida, fino a identificarne alcune origini e possibili collegamenti con sequestri ufficiali e vittime precedenti.
Dettagli sui movimenti on-chain tra Tron ed Ethereum
In una parte della registrazione, John condivide lo schermo di un wallet Exodus che mostra un indirizzo Tron con circa 2,3 milioni di dollari. In un altro segmento, vengono trasferiti in diretta ulteriori 6,7 milioni di dollari in ether verso un indirizzo Ethereum poi identificato come 0xd8bc.
Entro la fine dello scambio, circa 23 milioni di dollari risultavano consolidati in quel portafoglio. Secondo ZachXBT, le immagini dimostrano il controllo effettivo di John su più indirizzi contemporaneamente, tra diverse reti blockchain.
Inoltre, l’analisi on-chain ha permesso di collegare tali passaggi alla più ampia attività di un cluster di indirizzi, delineando uno schema di spostamenti che include sia Tron sia Ethereum e numerosi flussi in ingresso da fonti sospette.
Collegamenti con il sequestro fondi Bitfinex negli USA
Tracciando le transazioni a ritroso, ZachXBT ha collegato l’indirizzo 0xd8bc a un altro wallet, 0x8924, che John avrebbe confermato di possedere. Questo indirizzo ha ricevuto 1.066 WETH nel novembre 2025 da 0xc7a2.
Secondo l’investigatore, il wallet 0xc7a2 aveva precedentemente incassato 24,9 milioni di dollari nel marzo 2024 da un indirizzo governativo statunitense legato al sequestro dei fondi dell’hack di Bitfinex. In quel portafoglio resterebbero ancora circa 18,5 milioni di dollari.
Questo collegamento suggerisce che una parte dei fondi mostrati nel video potrebbe in origine provenire da asset sequestrati e poi spostati, intenzionalmente o meno, verso indirizzi ora riconducibili a John. Tuttavia, restano aperti gli interrogativi su eventuali intermediari e sulla catena completa dei passaggi.
Analisi di un wallet e fondi illeciti in criptovalute
ZachXBT ha inoltre evidenziato che l’indirizzo 0xd8bc ha ricevuto oltre 63 milioni di dollari in ulteriori afflussi nella parte finale del 2025, da indirizzi collegati a sospette vittime. Si tratterebbe quindi di un hub centrale per diversi episodi di sottrazione di asset digitali.
Giovedì, lo stesso wallet ha ricevuto altri 4.170 ETH, per un controvalore di circa 12,4 milioni di dollari, provenienti da un exchange centralizzato. Questo nuovo ingresso rafforza la tesi di un’attività ancora in corso, con possibili continui riciclaggi e consolidamenti di capitali.
Inoltre, il caso dimostra come sia possibile tracciare fondi illeciti in criptovalute combinando evidenze video, dati pubblici on-chain e l’analisi incrociata degli indirizzi, pur senza accesso diretto alle infrastrutture degli exchange.
Paralleli con precedenti casi di furto crypto via social engineering
L’inchiesta presenta analogie con un attacco da 243 milioni di dollari avvenuto nel 2024, quando due soggetti avevano utilizzato tecniche di social engineering fingendosi assistenza di Google. Anche in quel caso, i responsabili avevano poi ostentato i proventi illeciti sui social.
In quel precedente episodio, la polizia di Miami aveva infine arrestato entrambi i sospettati, mostrando come l’esposizione pubblica possa diventare un punto di vulnerabilità per i criminali digitali. La combinazione tra indagini tradizionali e analisi blockchain si conferma determinante.
Nel complesso, il caso di John evidenzia ancora una volta la tracciabilità strutturale delle blockchain: anche quando i criminali cercano di esibire la propria ricchezza, gli stessi contenuti promozionali possono trasformarsi in prove chiave per future azioni investigative.
