Démantèlement d'un Réseau de Clones de Protocole DeFi
Un réseau coordonné de 27 chaînes clones usurpant un protocole DeFi majeur, drainant environ 340 000 $ aux utilisateurs sur 6 semaines avant neutralisation.
Paysage de la Menace
Un acteur malveillant sophistiqué avait déployé 27 chaînes clones Telegram sur 5 variantes de noms d'utilisateur distinctes, chacune reproduisant l'image de marque du projet officiel, les messages épinglés et la liste des administrateurs. Les clones étaient organisés en entonnoir à plusieurs niveaux : les chaînes de niveau 1 diffusaient de fausses annonces d'airdrop, les bots de support de niveau 2 collectaient les approbations de portefeuille, et les groupes privés de niveau 3 hébergeaient des arnaques "whitelist" payantes. Les gestionnaires de communauté du protocole ont été exclus du canal officiel via une attaque SIM-swap sur le compte administrateur principal.
Calendrier de l'Engagement
Jour 1
Prise en Charge & Triage
Réception du briefing client. Cartographie complète du réseau de clones par analyse de mentions inter-canaux et collecte de métadonnées.
Jour 2-3
Cartographie d'Infrastructure
Identification de 5 comptes Telegram C2 utilisés pour la coordination, 3 comptes Fragment liés et un VPS géré hébergeant l'infrastructure de bots.
Jour 4-6
Démantèlement Multi-Vecteurs
Signalement coordonné de masse exécuté avec des dossiers de preuves. Escalade vers Telegram via un canal de signaleur de confiance. Déploiement de bots de réponse automatisés pour intercepter les nouveaux arrivants.
Jour 7-10
Vérification & Passation
Les 27 chaînes confirmées neutralisées. Accès administrateur restauré pour l'équipe d'origine. Surveillance post-opération initiée pour 30 jours.
Tactiques Utilisées
Résultats
Retour aux Études de Cas