Ончеин-детектив ZachXBT установил личность человека, причастного к хищению около $40 млн с криптовалютного кошелька правительства США, который использовался для хранения конфискованных цифровых активов. Ключевую роль в расследовании сыграло неосторожное поведение самого злоумышленника, который фактически выдал себя, хвастаясь деньгами в Telegram.

По данным ZachXBT, за выводом средств стоит пользователь под ником Джон Lick Дагита — сын генерального директора компании CMDSS Дина Дагиты. В октябре 2024 года CMDSS получила контракт от Службы маршалов США на управление и продажу конфискованных криптоактивов так называемых классов 2–4. В эту категорию входят токены и монеты, не торгующиеся на крупных централизованных биржах и требующие специализированного обращения.

Расследование началось с видеозаписи перепалки в одном из Telegram-чатов. Пользователь с никнеймом Lick вступил в конфликт с другими участниками и пытался доказать свое финансовое превосходство. В ходе спора он продемонстрировал экран своего устройства, показав кошелек Exodus, на TRON-адресе которого хранилось около $2,3 млн. Затем, уже в реальном времени, он раскрыл еще один адрес в сети Ethereum и перевел на него $6,7 млн, фактически подтверждая контроль над крупными суммами средств.

К моменту завершения перепалки на одном из кошельков аккумулировалось порядка $23 млн. ZachXBT сопоставил эти адреса и связал средства с кошельком 0xc7a2, на который в марте 2024 года поступило $24,9 млн с правительственного счета, где хранились конфискованные активы, связанные с делом Bitfinex. О пропаже примерно $20 млн с этого адреса детектив сообщал еще в октябре 2024 года. Тогда большую часть средств удалось вернуть в течение суток, однако около $700 000, выведенных через обменники, так и не удалось отследить и восстановить.

В ходе дальнейшего анализа ZachXBT обнаружил и другие адреса, связанные с Lick. По его данным, один из кошельков получил около $63 млн в четвертом квартале 2025 года — средства поступали как от предполагаемых жертв, так и с адресов, связанных с конфискациями правительства США. Это существенно расширило масштаб подозрений и указало на системный характер злоупотреблений.

После публикации расследования ZachXBT обнародовал идентификатор Telegram-аккаунта подозреваемого. Реакция последовала практически мгновенно: Джон Дагита удалил все свои NFT-имена, сменил отображаемое имя в профиле и попытался снизить цифровой след. Позднее он отправил самому ZachXBT $20 в ETH с одного из кошельков, связанных с хищением, что детектив расценил как косвенное подтверждение контроля над адресами.

На фоне разразившегося скандала сайт компании CMDSS, а также ее страницы в X и LinkedIn были деактивированы. Сам фигурант расследования, напротив, запустил собственный Telegram-канал. ZachXBT также опубликовал фотографии Джона Дагиты, на которых тот демонстрирует предметы роскоши, включая дорогие часы и автомобили, что, по мнению детектива, дополнительно контрастирует с происхождением средств.

Этот случай стал очередным примером того, как самоуверенность и публичное хвастовство в мессенджерах могут сыграть ключевую роль в ончеин-расследованиях. Ранее, в декабре, ZachXBT уже сообщал о другом расследовании, в рамках которого ему удалось отследить мошенника, похитившего более $2 млн за год с использованием методов социальной инженерии.