邁克爾·圖爾賓的加密貨幣搶劫案：一名15歲少年與SIM卡交換詐騙如何賺取$24 百萬

當加密貨幣投資者邁克爾·圖爾平（Michael Turpin）在2020年離開一場科技會議時，他完全沒料到他的數位生活即將被一群來自另一個城市的青少年系統性拆解。接下來數小時內發生的事情，將成為歷史上最大膽的加密盜竊案之一——一宗價值2,400萬美元的搶劫案，主要由一名15歲的艾利斯·平斯基（Ellis Pinsky）策劃。這起事件揭露了電信安全的關鍵漏洞，也展示了如何透過令人驚訝的社交工程策略，針對並抽取區塊鏈財富。

完美風暴：艾利斯·平斯基如何鎖定一名加密貨幣投資者

攻擊始於邁克爾·圖爾平的手機。艾利斯·平斯基和他的同夥已經做足功課。他們賄賂了一家大型電信公司的員工，將圖爾平的手機號碼轉移到他們控制的SIM卡上——這種技術稱為SIM交換。這個簡單的行動，讓他們獲得了比一條電話線更有價值的東西：掌握了圖爾平的數位身份鑰匙。

一旦控制了號碼，艾利斯便從Skype通話中運行一系列腳本，系統性地抓取圖爾平的線上帳戶資料。電子郵件、雲端存儲檔案、密碼重設選項——一切都變得觸手可及。他們在搜尋加密貨幣錢包的憑證，尋找能解鎖數位財富的私鑰。所找到的資產規模令人震驚：散布在多個錢包中的Ethereum總值達9億美元。但也遇到了一個問題。大部分資金都被安全措施鎖住，無法輕易突破。

於是他們深入挖掘。他們搜尋比特幣持有量、額外的Ethereum帳戶、任何可存取的加密資產。數小時過去，這群青少年像經驗豐富的滲透測試員一樣，系統性地攻破一個又一個帳戶，穿梭於邁克爾·圖爾平的數位基礎設施中。直到他們找到一個未被鎖定的2,400萬美元錢包。它可以存取，瞬間便被轉走。

SIM交換方案的內幕：技術性利用

這次針對邁克爾·圖爾平的SIM交換攻擊，是最有效——但也可以預防的——高資產加密貨幣持有者的破壞手段之一。其運作方式如下：

第一步：社交工程——攻擊者說服電信公司員工將目標的手機號碼轉移到新SIM卡上。這通常涉及偽裝（謊稱身份）或在艾利斯的案例中，向內部人員提供經濟誘因。

第二步：認證劫持——控制號碼後，他們透過SMS接收所有雙重認證（2FA）碼。大多數加密貨幣交易所和電子郵件服務提供商都會用此方式傳送恢復碼。

第三步：帳戶接管——利用2FA碼，攻擊者可以重設密碼、存取電子郵件帳戶，最終進入存放資金的加密貨幣交易所。

第四步：提款——最後一步是在安全系統察覺入侵前，抽取所有資金。

在圖爾平的案例中，艾利斯行動迅速且精準。這名青少年自學駭客技術，通過論壇學習SQL注入和其他漏洞利用技巧。他已經進行過一些小型操作——出售稀有的Instagram帳戶賺取微薄利潤。但這次不同，這是加密貨幣，賭注高得多。當時比特幣交易約為68,328美元，Ethereum則接近1,982美元。偷取數位資產的金額遠遠超過艾利斯之前的任何嘗試。

青少年變身百萬富翁：艾利斯如何花掉2,400萬美元

艾利斯·平斯基突然變得富可敵國，但他仍然是個15歲的少年，住在紐約市的一間狹小公寓裡，思維仍停留在青少年階段。這筆錢的去向大致相同：奢侈品、夜生活，以及試圖維持他在同夥中的新地位。

他買了一只價值10萬美元的勞力士手錶，像個秘密一樣藏在床底。他在高端夜店揮霍無度，像是資金源源不絕一樣亂花錢。可是，要維持一個同謀團隊卻很困難。一名隊友帶著150萬美元的盜取加密貨幣潛逃，另一人則因個人問題開玩笑說要雇人行兇。團隊在壓力和懷疑中逐漸崩潰。

艾利斯靠著堅持建立了名聲：13歲時擁有一台Xbox，加入駭客論壇，學習編程，成功販售非法帳戶。但這些都沒能讓他準備好管理一個犯罪組織，即使是非正式的。

事態揭露：特魯格利亞（Truglia）的疏忽如何引來FBI

這個行動若非艾利斯的共謀者特魯格利亞（Truglia）失誤，或許還能持續更久。壓力、妒忌、內部衝突——一切都變得難以承受。特魯格利亞開始在社交媒體上炫耀盜竊行為，貼文如「偷了2,400萬美元，還是搞不定朋友」等，幾乎是在炫耀犯罪。

這種疏忽造成災難性後果。他在Coinbase上用真實姓名嘗試轉移或存取部分被盜資金時，留下了數位足跡。追蹤到他，調查很快展開。執法機關掌握了明確的交易記錄和數位證據，將特魯格利亞與犯罪直接連結。

最終，特魯格利亞被逮捕並判刑入獄。但艾利斯則面臨法律上的複雜情況：他未成年。雖然邁克爾·圖爾平被詐騙了2,400萬美元，但由於肇事者是未成年人，刑事起訴變得困難。艾利斯未被正式起訴，而是被要求歸還大部分贓款——但並非全部。

圖爾平提起民事訴訟，追討約2200萬美元的損失。但在訴訟完全展開前，更為陰險的事情發生了：蒙面持槍歹徒闖入邁克爾·圖爾平的家。這是否與盜竊案有關，尚未明確，但顯示出成為高調盜竊受害者的危險。

從網路犯罪者到哲學系學生：艾利斯·平斯基今日狀況

如今，艾利斯·平斯基就讀紐約大學，攻讀哲學與計算機科學雙學位。他公開表示，打算在合法的創業公司工作，並最終償還對圖爾平及社會的債務。這轉變是否真誠，或只是表演，只有時間能證明。

但可以確定的是，造成的傷害：邁克爾·圖爾平損失了2,400萬美元，原因是一場由未成年人策劃的SIM交換攻擊。這起事件揭示了即使是較為先進的加密投資者，也可能因社交工程而陷入危機。到15歲時，艾利斯已積累了大多數成年人都難以企及的資產，危及一名加密投資者的安全，並展開了一場將影響他早期人生的犯罪。

此案成為加密社群的警示：再高級的安全措施，也無法抵擋被破壞的手機號碼和SMS雙重認證碼的威脅。隨著數位資產價值持續上升，企圖竊取者的手段也會越來越高明，甚至可能有未滿駕駛年齡的同夥。