Справа Камерона Редмана показує, чому юридичні наслідки за крадіжки криптовалюти мають еволюціонувати

Дитячий криптовалютний грабіж на 37 мільйонів доларів, який залишався непублічним протягом років, знову підпалив важливу дискусію: коли молоді правопорушники здійснюють високоризикові цифрові злочини, чи повинні їхні особи залишатися прихованими від публічного огляду? Дослідник безпеки ZachXBT відкрив історію Cameron Redman, і вона викриває незручні правди про те, як неповнолітні кіберзлочинці діють у прогалинах правової системи — особливо в юрисдикціях, таких як Канада та ЄС, де захист неповнолітніх іноді сприяє безкарності.

Грабіж на 37 мільйонів доларів через SIM-заміну у віці 17 років: цифровий злочин Cameron Redman

Сам крадіжка була технічно простою, але надзвичайно ефективною. 22 лютого 2020 року Cameron Redman здійснив атаку через SIM-заміну на Josh Jones, одного з ранніх інвесторів у криптовалюту. Маніпулюючи мобільним оператором Jones, щоб той переніс його номер на пристрій під контролем Redman, підліток отримав доступ до SMS-кодів безпеки — шлюзу до всього.

Далі діяло систематично: Redman вивів 1 547 Bitcoin і 60 000 Bitcoin Cash з кількох адрес, що належали його жертві. Замість негайної ліквідації викрадених коштів, Cameron Redman відмив Bitcoin Cash через сотні фрагментованих транзакцій, переміщуючи їх через децентралізовані мережі, перш ніж перекинути їх на централізовані біржі. Стратегія була спрямована на те, щоб заплутати слід — техніка, яка затримала, але в кінцевому підсумку не зупинила, втручання правоохоронних органів.

До 17 листопада 2021 року — майже через два роки — поліція Гамільтона в Онтаріо, за підтримки ФБР та Секретної служби США, офіційно пред’явила звинувачення Cameron Redman. Правоохоронці змогли конфіскувати криптовалюту на суму 5,4 мільйона доларів. Решту 31,5 мільйона доларів, однак, зникли у глобальній фінансовій системі, і майже не підлягають відновленню. Значущість справи Cameron Redman полягає не лише у сумі — а й у тому, що його особу залишили в таємниці протягом усього процесу, оскільки він ще був формально неповнолітнім.

Вибухова епідемія SIM-замін поза сценою

Cameron Redman не був ізольованим випадком — він уособлює набагато більший патерн. Атаки через SIM-заміну стрімко зросли, особливо у 2024 та 2025 роках. У Сполученому Королівстві зафіксовано приголомшливе зростання на 1 055% у кількості випадків порівняно з попереднім роком, з 289 до 2 985 інцидентів. У США дані FBI про втрати також викликають тривогу: 68 мільйонів доларів збитків у 2021 році, 48,8 мільйонів у 2023 з понад 1000 жертв, і 82 мільйони доларів лише у 2024.

Що викликає занепокоєння, — це не лише обсяг, а й рівень складності атак. Організовані злочинні синдикати, включаючи групи, пов’язані з італійською мафією, тепер використовують SIM-заміни як джерело доходу. Ці мережі не цілеспрямовано атакують випадкові акаунти — вони систематично профілюють високоприбуткових клієнтів у крипто- та традиційних фінансах, а потім координують фішинг, соціальну інженерію та експлуатацію операторів мобільних мереж для отримання доступу. Один житель Великобританії втратив £50 000 на кількох рахунках; інший виявив £2 200 у шахрайських списаннях, перш ніж зрозумів, що сталося. Навіть високопрофільні цілі не застраховані — акаунт Jack Dorsey у Twitter був зламаний саме цим методом у 2019 році. Один криптоінвестор зазнав збитків на $23,8 мільйона від подібної атаки у 2018.

Технологія атаки досить проста. Злочинці збирають особисті дані — через зломи, фішинг або публічно доступні соцмережі — потім імітують жертву для мобільних операторів, запитуючи перенесення номера. Як тільки вони отримують контроль над номером, двофакторна автентифікація через SMS стає безсильною. Вони перехоплюють коди, блокують справжнього власника і вільно виводять кошти з гаманців і банківських рахунків.

Від теорії до практики: чому сучасні правові рамки не справляються

Саме тут справа Cameron Redman стає попереджувальною історією про юрисдикцію та відповідальність. Коли його переслідували, його повну особу та зображення захищали законом через його вік на момент злочину. ZachXBT стверджує: захист має сенс для дрібних правопорушень, але не для організації крадіжок на 37 мільйонів доларів, що руйнують жертв і дестабілізують ринки.

Напруга реальна. Канада, ЄС та багато інших юрисдикцій керуються принципом, що неповнолітні правопорушники заслуговують на анонімність для сприяння реабілітації. Однак Cameron Redman, за повідомленнями, після початкового переслідування перейшов до фішингу та захоплення акаунтів X — що свідчить про те, що конфіденційність не стримала повторних злочинів. Постає питання: при якому масштабі фінансових злочинів інтерес громадськості до прозорості перевищує захист неповнолітніх?

Захистіть свій крипто-гаманець у епоху організованої цифрової злочинності

Профілактика завжди сильніша за відновлення. Експерти постійно рекомендують відмовитися від двофакторної автентифікації через SMS на користь додатків-автентикаторів, таких як Google Authenticator, які працюють незалежно від операторів. Встановлення власного PIN-коду у мобільного оператора додає додатковий рівень захисту, ускладнюючи соціальну інженерію. Мінімізація особистої інформації онлайн і моніторинг журналів транзакцій на підозрілі активності допомагають виявити компрометацію раніше.

Однак навіть ці заходи мають обмеження. Злочинці постійно удосконалюють свої тактики соціальної інженерії, політики безпеки операторів залишаються непослідовними, а технологія eSIM — яка мала зменшити поверхню атаки — не вирішила фундаментальну проблему: людський фактор залишається найуразливішим. Реальний розрив у безпеці — це не технічна вразливість, а вразливість людської довірливості.

Справа Cameron Redman ілюструє, що правові системи у світі ще не налаштували відповідь на високовартісні цифрові злочини, скоєні неповнолітніми. Поки юридичні наслідки криптокрадіжок не стануть пропорційними та послідовними — незалежно від віку правопорушника — подібні атаки триватимуть. Ринок потребує як більш сильних технічних захистів, так і більш жорстких правових рамок для стримування наступного покоління кіберзлочинців.