Comment le $24 Million de piratage crypto d'Ellis Pinsky a révélé les vulnérabilités du swap de SIM

À seulement 15 ans, Ellis Pinsky a orchestré ce qui deviendrait le plus grand vol individuel par échange de SIM jamais enregistré dans l’histoire. Grâce à un stratagème coordonné impliquant des employés de télécommunications corrompus et des techniques de piratage sophistiquées, il a réussi à voler 24 millions de dollars en cryptomonnaie — révélant des failles de sécurité critiques qui continuent de menacer les investisseurs du monde entier.

Dans les coulisses de l’opération de vol de 24 millions de dollars par échange de SIM

Le stratagème visant l’investisseur en crypto Michael Turpin a commencé de manière trompeusement simple mais d’une efficacité dévastatrice. L’opération d’Ellis Pinsky a débuté par une vulnérabilité fondamentale : la négligence des employés de télécommunications. Son équipe a soudoyé des travailleurs du secteur pour rediriger le numéro de téléphone de Turpin, prenant ainsi le contrôle de la passerelle numérique vers ses comptes.

Une fois leurs communications interceptées, Ellis a déployé des scripts qui ont infiltré systématiquement son infrastructure numérique — emails, stockage cloud, et autres actifs numériques menant généralement aux clés de portefeuille privées. La cible initiale était ambitieuse : ils ont identifié environ 900 millions de dollars en Ethereum. Cependant, ces avoirs étaient protégés par des mesures de sécurité avancées, les rendant inaccessibles.

Mais les hackers ont persisté. En creusant plus profondément dans les comptes de Turpin, ils ont découvert une autre réserve : 24 millions de dollars en cryptomonnaie sans protections comparables. En quelques heures, les fonds ont disparu de son portefeuille. La victime n’a découvert la perte qu’en vérifiant ses comptes, trouvant ses avoirs principaux intacts mais 24 millions de dollars simplement absents — le début d’une affaire qui deviendrait une référence en matière d’échec de sécurité dans la crypto.

Des forums de hackers à l’enquête du FBI

Le parcours d’Ellis Pinsky dans la cybercriminalité a commencé plusieurs années plus tôt dans un petit appartement à New York. Comme beaucoup de jeunes hackers, il a progressé par étapes : recevant sa première Xbox à 13 ans, rejoignant des forums de hackers underground, apprenant les techniques d’injection SQL, et expérimentant le commerce numérique en achetant et revendant des identifiants Instagram rares.

Mais la notoriété adolescente ne suffisait pas. Ellis Pinsky voulait une richesse réelle. La méthode par échange de SIM offrait une voie directe : soudoyer un représentant télécom, détourner un numéro de téléphone, intercepter les SMS d’authentification, réinitialiser les mots de passe, et vider les portefeuilles numériques. La technique nécessitait étonnamment peu de compétences techniques mais une sécurité opérationnelle maximale — un équilibre que l’opération d’Ellis n’a pas su maintenir.

Tout le monde dans la conspiration ne s’est pas tu. Nicholas Truglia, l’un des partenaires clés d’Ellis Pinsky, est devenu imprudent. Il s’est vanté publiquement du vol en ligne, révélant sans le vouloir des détails précis : « J’ai volé 24 millions de dollars. Je ne peux toujours pas garder un ami. » Cette erreur momentané s’est avérée catastrophique. Truglia a utilisé son vrai nom sur Coinbase, laissant une trace numérique que le FBI a rapidement suivie. Il a été arrêté et emprisonné par la suite.

Ellis Pinsky a connu des conséquences différentes. Son âge — il était encore mineur lors de son arrestation — lui a offert une certaine protection légale, évitant des accusations criminelles graves. Cependant, il n’a pas été totalement à l’abri. Michael Turpin a intenté une action civile contre lui pour 22 millions de dollars, un fardeau financier qui assombrira son avenir. De plus, l’incident a eu des répercussions plus sombres : des hommes armés masqués ont pénétré dans sa résidence, probablement des victimes ou des éléments criminels liés cherchant à se venger.

Implications plus larges pour la sécurité en crypto

Aujourd’hui, Ellis Pinsky est inscrit à l’Université de New York en philosophie et informatique. Selon son récit, il poursuit des projets légitimes de startups, tente de rembourser ses dettes, et cherche à se distancer de son passé criminel. À 15 ans, il possédait déjà un portefeuille exceptionnel : 562 Bitcoin, des relations avec des insiders télécom corrompus, une poursuite de plusieurs millions de dollars, et une menace très réelle pour sa sécurité.

L’affaire Ellis Pinsky montre pourquoi les attaques par échange de SIM restent parmi les méthodes les plus efficaces pour cibler les détenteurs de cryptomonnaies. Contrairement aux violations de mots de passe que les utilisateurs peuvent détecter, les échanges de SIM opèrent au niveau de l’infrastructure télécom, où la visibilité et le contrôle des utilisateurs sont limités. L’affaire illustre également comment les échecs de sécurité opérationnelle — notamment la vantardise publique de Truglia et l’imprudence dans l’enregistrement des comptes — sont souvent plus dommageables que l’exploitation technique elle-même.

Pour la communauté crypto, le vol de 24 millions de dollars d’Ellis Pinsky sert de récit d’avertissement sur les vulnérabilités humaines qui sous-tendent les systèmes de sécurité numérique. Aucun chiffrement avancé ne peut empêcher quelqu’un de soudoyer un employé de télécom. Aucune sophistication technique ne protège contre le vecteur d’attaque le plus ancien : l’ingénierie sociale et la compromission institutionnelle.