Jak syn pracownika USMS przez lata kradł kryptowalutę od rządu USA

W społeczności kryptowalutowej wybuchł skandal wokół Johna Daghity, który jest oskarżony o kradzież ponad 90 milionów dolarów w aktywach kryptowalutowych, w tym środków z portfeli kontrolowanych przez rząd USA. Według śledztwa przeprowadzonego przez znanego analityka on-chain ZachXBT, kradzieże miały miejsce w latach 2024-2025, a środki były przekazywane na adresy powiązane z podejrzanym.

Tło incydentu

Transfery z portfeli rządowych początkowo wyglądały na rutynowe ruchy aktywów i nie wzbudziły podejrzeń. Jednak w styczniu 2026 r. w społeczności hakerów Telegram wybuchł spór o to, kto ukradł więcej kryptowalut. Jeden z uczestników, znany jako "John" lub "Lick", przypadkowo ujawnił kontrolę nad portfelami, w których przepływały środki podczas kłótni. Podczas kłótni online udostępnił zrzut ekranu swojego portfela Exodus, wyświetlając adresy z milionami dolarów w ETH i TRON, w tym 2,3 miliona dolarów na adres TMrWCLMS3ibDbKLcnNYhLggohRuLUSoHJg i dodatkowe 6,7 miliona dolarów na 0xd8bc7ea538c2e9f178a18cc148892ae914a55d08.

ZachXBT przeanalizował zapisy sporów i prześledził łańcuch transakcji wstecz. Okazało się, że część środków pochodziła z adresów powiązanych z konfiskatami dokonanymi przez US Marshals Service (USMS), w tym z kradzieżą 24,9 miliona dolarów z portfela powiązanego z włamaniem na Bitfinex w marcu 2024 roku. W sumie szacunki sugerują, że Daghita kontrolował wpływy w wysokości ponad 63 milionów dolarów z podejrzanych źródeł w czwartym kwartale 2025 roku, w tym 13,5 miliona dolarów z adresu 0x77a722bf33787c3512d0f4fc36412140057f4223 i 15,4 miliona dolarów z 0xf51b044f998277b17467cd713d72b403e16fad48.

Połączenie z CMDSS

Kluczowym odkryciem były powiązania rodzinne Daghity. Jego ojciec jest właścicielem Command Services & Support (CMDSS), która w październiku 2024 r. otrzymała kontrakt od USMS na zarządzanie i sprzedaż skonfiskowanych aktywów kryptograficznych. Ta firma z siedzibą w Wirginii świadczy usługi IT dla rządu, w tym przechowywanie i usuwanie zajętych aktywów. Uważa się, że dostęp do portfeli rządowych za pośrednictwem firmy jego ojca pozwolił Daghicie na dokonanie kradzieży bez natychmiastowego wykrycia.

Wcześniej, we wrześniu 2025 r., Daghita został już aresztowany pod zarzutem cyberprzestępstw, ale związek z kradzieżami rządowymi pojawił się dopiero dzięki przechwałkom w Telegramie. Po opublikowaniu dochodzenia przez ZachXBT podejrzany usunął nazwy użytkowników NFT ze swojego konta Telegram i zmienił swój pseudonim, a także wysłał "atak pyłowy" na publiczny adres analityka zachxbt.eth, transakcję na 0,0067 ETH (20,01 USD) z hashem 0x25d3b02b17ccf5f0867bfbaa86c4cb918766d2b79e30cdcb7847298febfa2d15.

Reakcja i konsekwencje

US Marshals Service wszczęła dochodzenie w sprawie incydentu, wyrażając obawy dotyczące bezpieczeństwa przechowywania kryptowalut. Przypadek ten podkreśla słabe punkty w łańcuchach dostaw wykonawców rządowych i rodzi pytania dotyczące nadzoru nad skonfiskowanymi aktywami. W społeczności kryptowalutowej trwają dyskusje na temat tego, jak przechwałki na czatach doprowadziły do upadku "genialnego hakera", który ukradł miliony, ale padł ofiarą własnej głupoty.

Całkowity wolumen kradzieży w branży kryptowalut w 2025 r. przekroczył 3,4 mld USD, a incydenty takie jak ten tylko nasilają apele o poprawę bezpieczeństwa. Daghita nie został jeszcze aresztowany pod nowymi zarzutami, ale dowody z analizy łańcucha i zapisów sporów sprawiają, że sprawa jest obiecująca dla organów ścigania.