Le vol de crypto de Michael Turpin : à l'intérieur de la $24M arnaque au swap de SIM qui a tout changé

L’investisseur en cryptomonnaie Michael Turpin n’avait aucune idée qu’une simple pause lors d’une conférence déclencherait l’une des escroqueries numériques les plus sophistiquées jamais enregistrées. Ce qui avait commencé comme une journée ordinaire s’est terminée avec ses comptes vidés et un vol de cryptomonnaie d’une valeur de plusieurs millions de dollars qui allait choquer l’industrie de la sécurité. Le cerveau derrière tout cela ? Un adolescent de 15 ans nommé Ellis Pinsky, opérant depuis tout le pays avec un réseau de conspirateurs adolescents qui avaient infiltré eux-mêmes des entreprises de télécommunications.

Comment un adolescent de 15 ans, Ellis Pinsky, a orchestré la plus grande attaque de swap de SIM

Ellis Pinsky ne s’est pas réveillé un matin en décidant de voler des millions en crypto. Son parcours a commencé bien plus tôt — dans un petit appartement à New York, avec un cadeau de PlayStation 13 ans qui a déclenché une obsession pour la technologie. À l’âge de la mi-teenage, Ellis était passé de la vente de comptes Instagram volés à l’exploration de forums de hackers où il a appris l’injection SQL et d’autres techniques d’exploitation. Mais vendre des comptes numériques ne suffisait pas à sa soif d’adrénaline ; il voulait quelque chose de plus grand, quelque chose qui lui donnerait un vrai pouvoir et de l’argent réel.

L’opportunité est venue avec le swap de SIM — une technique que la plupart des gens n’avaient jamais entendue. La mécanique était étonnamment simple : convaincre un représentant d’une entreprise de télécommunications de transférer le numéro de téléphone de quelqu’un sur votre carte SIM. Une fois que vous contrôlez le numéro, vous contrôlez tout ce qui y est connecté. Messages texte ? À vous. Codes d’authentification à deux facteurs ? Interceptés. Options de récupération de mot de passe ? Compromises. À partir de là, accéder aux comptes email devenait trivial, et accéder aux portefeuilles de cryptomonnaie suivait naturellement.

La prise de contrôle de la cryptomonnaie : du piratage de téléphone à la vidange de portefeuille

Ellis a rassemblé une équipe de complices, dont beaucoup étaient à peine plus âgés que lui. Ensemble, ils ont identifié leur cible : Michael Turpin, un investisseur en cryptomonnaie connu avec des avoirs importants. L’équipe a soudoyé des employés de télécommunications — une vulnérabilité critique qui deviendrait plus tard le centre d’enquêtes fédérales — et a réussi à rediriger le numéro de Turpin vers leur contrôle.

Avec le téléphone de Michael Turpin piraté, Ellis a lancé des scripts automatisés depuis un appel Skype pour extraire systématiquement sa vie numérique. Les scripts ont fouillé dans ses emails, ses services de stockage cloud et ses fichiers de récupération — effectuant essentiellement une fouille numérique de la présence en ligne de Turpin. Leur objectif ? Trouver une seule chose : les clés privées de portefeuille et les phrases de récupération.

La cible initiale semblait être le jackpot : environ 900 millions de dollars en Ethereum (ETH) verrouillés dans son portefeuille le plus précieux. Mais la somme importante comportait des mesures de sécurité qu’Ellis n’avait pas anticipées. Frustré mais pas découragé, le groupe a creusé plus profondément dans les autres comptes de Turpin. C’est alors qu’ils l’ont trouvé — 24 millions de dollars en cryptomonnaie répartis dans plusieurs portefeuilles, moins protégés que le coffre-fort principal. En quelques heures, les fonds ont été transférés des comptes de Turpin vers des portefeuilles contrôlés par Ellis et ses complices.

Les 24 millions de dollars dépensés : achats de luxe et chute rapide

Soudainement riche au-delà de ce que la plupart des adolescents peuvent concevoir, Ellis a effectué des achats qui allaient devenir la preuve de sa chute. Une montre Rolex à 100 000 dollars a été cachée sous son lit. Vêtements de créateurs, voyages exotiques, notes dans des clubs nocturnes dans de grandes villes. La cryptomonnaie avait été convertie avec succès en un style de vie qui criait « adolescent récemment riche » — impossible à maintenir et impossible à cacher.

Mais l’unité du groupe s’est fissurée sous la pression. Un membre a disparu avec 1,5 million de dollars, s’évanouissant dans le vent. Un autre, perturbé ou vantard, a commencé à parler de recruter quelqu’un pour commettre des violences. La camaraderie qui avait orchestré un braquage de 24 millions de dollars s’est effondrée en quelques semaines sous le poids de leur propre succès.

Traqué par la piste : comment Ellis Pinsky a affronté la justice

Truglia, l’ancien partenaire d’Ellis dans le plan, est devenu le maillon clé de leur capture. Incapable de résister, Truglia a publié sur les réseaux sociaux des déclarations incriminantes comme « A volé 24 millions. Impossible de garder un ami. » Les tweets étaient négligemment publics, facilement traçables, et exactement ce dont les forces de l’ordre avaient besoin. Une autre erreur s’est avérée encore plus accablante : Ellis a utilisé son vrai nom sur Coinbase en tentant de liquider une partie de la cryptomonnaie volée.

Le FBI a agi rapidement. Truglia a été arrêté et emprisonné pour son rôle dans ce qui serait la plus grande escroquerie de swap de SIM jamais enregistrée. Michael Turpin a intenté une action civile, déposant une plainte de 22 millions de dollars contre Ellis. Plus inquiétant encore, la maison de Turpin est devenue une cible — des hommes armés masqués ont envahi les lieux, suggérant que d’autres parties avaient appris le vol et voulaient leur propre forme de représailles ou de récupération.

De hacker à étudiant en philosophie : Ellis aujourd’hui

Voici où l’histoire prend une tournure inattendue. Étant mineur au moment des crimes, Ellis a fait face à des conséquences juridiques remarquablement clémentes — aucune inculpation pénale, une décision que certains considèrent comme une chance et d’autres comme un échec systémique. Il a rendu la majorité de la cryptomonnaie volée et a tenté de tourner la page.

Aujourd’hui, Ellis étudie la philosophie et l’informatique à l’Université de New York (NYU). De toute évidence, il essaie de laisser derrière lui le chaos, de construire des startups légitimes, et d’une manière ou d’une autre, de rembourser sa dette envers la société et Michael Turpin. Reste à voir s’il réussira.

Au moment où Ellis a eu 15 ans, il avait accumulé : 562 Bitcoin, des connexions avec des insiders corrompus des télécoms, une action en justice en cours de sa victime, et des menaces crédibles contre sa vie. L’attaque de swap de SIM contre les avoirs cryptographiques de Michael Turpin est devenue un conte d’avertissement sur la façon dont les vulnérabilités de l’infrastructure télécom, combinées à la sophistication juvénile en hacking, ont créé une tempête parfaite. Elle a mis en lumière des lacunes critiques dans la façon dont les échanges de cryptomonnaie vérifient l’identité des utilisateurs et comment les entreprises de télécommunications authentifient les changements de compte — des faiblesses que l’industrie de la sécurité crypto continue de tenter de corriger des années plus tard.