L'investigatore on-chain ZachXBT ha rintracciato un furto di XRP da 3,05 milioni di dollari ai danni di un utente al dettaglio statunitense, riconducibile a un percorso di riciclaggio che passava attraverso Bridgers, un aggregatore precedentemente associato a SWFT, e giungeva a sedi over-the-counter collegate a Huione, la rete finanziaria cambogiana che il governo statunitense ha deciso la scorsa settimana di isolare dal sistema finanziario americano.
Pubblicando i risultati il 19 ottobre, ZachXBT ha affermato che "una vittima residente negli Stati Uniti ha perso 3,05 milioni di dollari (1,2 milioni di XRP) dal suo portafoglio Ellipal", aggiungendo: "Ecco come sono finiti i fondi rubati e le principali conclusioni per furti simili".
Dentro la rapina da 3 milioni di dollari di XRP
In una discussione, ZachXBT ha identificato l'indirizzo rubato, r3cf5mgj5qEcj9n4Th28Es7NVRnXGJjkzc, confrontando date e importi di un video virale su YouTube. "Sebbene la vittima non abbia condiviso direttamente l'indirizzo rubato… l'ho trovato esaminando la data e l'importo", ha scritto. Ha avvertito che "la vittima sembra inesperta e non fornisce dettagli sufficienti per determinare come il portafoglio Ellipal sia stato compromesso, a parte il fatto che si è trattato di un errore dell'utente".
Secondo la sua ricostruzione, l'attaccante ha rapidamente convertito gli XRP tra le diverse catene: "L'attaccante ha creato oltre 120 ordini Ripple -> Tron tramite Bridgers il 12 ottobre 2025. Sui block explorer le transazioni vengono visualizzate come Binance, poiché Bridgers (ex SWFT) le utilizza per la liquidità". I fondi sono stati consolidati su Tron alle ore TGF3hP5GeUPKaRJeWKpvF2PVVCMrfe2bYw del 12 ottobre e, entro il 15 ottobre, "sono stati completamente riciclati su OTC adiacenti a Huione (mercato online illecito nel Sud-Est asiatico)", ha scritto. Bridgers si definisce una piattaforma di "scambio cross-chain" che si estende su decine di reti; la documentazione di DappRadar ha anche collegato Bridgers allo stack AllChain Bridge di SWFT.
Il riferimento a Huione si inserisce perfettamente in un contesto sanzionatorio in rapida evoluzione. Il 14 ottobre 2025, il Dipartimento del Tesoro degli Stati Uniti ha designato il Gruppo Huione come "principale preoccupazione per il riciclaggio di denaro", separandolo di fatto dal sistema finanziario statunitense per aver facilitato flussi legati a reti di truffe e traffici illeciti nel Sud-Est asiatico; l'azione è stata coordinata insieme a un pacchetto di sanzioni del Regno Unito e ad azioni parallele degli Stati Uniti contro il Gruppo Prince, un conglomerato cambogiano etichettato dalle autorità statunitensi come organizzazione criminale transnazionale.
Il thread di ZachXBT ha messo il portafoglio Ellipal al centro della confusione degli utenti, piuttosto che un exploit zero-day dell'hardware stesso. "Una lezione che il nostro settore deve imparare a imparare è non creare confusione con i prodotti quando si offrono sia prodotti custodial che non custodial. La vittima di XRP pensava di usare il cold wallet di Ellipal, quando in realtà era un hot wallet", ha scritto, tracciando un parallelo con "i grandi furti di supporto per impersonificazione di Coinbase", in cui le vittime trasferiscono asset da un account di exchange a un portafoglio non custodial compromesso dopo aver subito un attacco di social engineering.
Ellipal ha pubblicamente confermato la confusione tra cold wallet e hot wallet. "I nostri risultati confermano che la perdita si è verificata perché l'utente ha erroneamente importato la frase seed del suo cold wallet in un hot wallet, rendendo gli asset accessibili online", ha dichiarato l'azienda, sottolineando che i suoi "cold wallet air-gapped rimangono offline al 100% e non sono mai stati compromessi dal lancio". Ellipal ha affermato di aver contattato l'utente e di aver ribadito le regole di base: non importare mai seed di cold wallet in wallet basati su app e mantenere offline frasi di recupero e dispositivi.
L'arco di riciclaggio descritto da ZachXBT (rapidi salti tra catene tramite un aggregatore, consolidamento su Tron e distribuzione agli endpoint OTC che lui definisce "adiacenti a Huione") rispecchia tipologie su cui le autorità statunitensi hanno messo in guardia, mentre gli ecosistemi delle truffe si professionalizzano.
Nelle sue parole: "Negli ultimi due anni, Huione ha direttamente facilitato il riciclaggio di miliardi di fondi illeciti provenienti da truffe legate alla macellazione dei maiali, truffe sugli investimenti, traffico di esseri umani e attacchi informatici/exploit nel Sud-est asiatico … Spero che gli exchange centralizzati e gli emittenti di stablecoin implementino controlli più rigorosi, poiché rappresentano una delle minacce più grandi che incidono sulla longevità del nostro settore".
Il secondo tema del thread è la difficoltà strutturale del recupero. "La vittima dell'XRP ha menzionato… come non sia riuscita a mettersi rapidamente in contatto con le forze dell'ordine statunitensi per un furto da 3 milioni di dollari", ha scritto, aggiungendo che ci sono "poche forze dell'ordine qualificate per gestire casi del genere e infinite segnalazioni di vittime, quindi è naturale che gli incidenti vengano trascurati", sebbene abbia citato Stati Uniti, Paesi Bassi, Singapore e Francia come sedi relativamente migliori, a seconda dell'investigatore assegnato.
Ha anche criticato gran parte dell'industria artigianale del "recupero" delle criptovalute: ">95% delle società di recupero sono predatorie e addebitano grandi somme per report di base con poche informazioni fruibili… Le cattive aziende avrebbero smesso di rintracciare questo furto di XRP su Binance… quando in realtà il servizio era Bridgers o non sarebbero riuscite a identificare gli indirizzi collegati a Huione."
Per quanto riguarda le probabilità di restituzione, le prospettive sono fosche. "Purtroppo, la probabilità che questa vittima veda i fondi recuperati è piuttosto bassa a causa del ritardo nella segnalazione del furto a persone competenti nel settore privato", ha concluso, sollecitando una rapida segnalazione degli indirizzi rubati per massimizzare la possibilità di congelare i flussi nei punti critici. Ha anche criticato il supporto a livello di ecosistema: "Ripple non ha un sistema di supporto per le vittime all'interno della propria comunità così valido come quello di Bitcoin, Ethereum, Solana e delle principali catene EVM".
Al momento della stampa, XRP veniva scambiato a 2,44 $.
