Poliția din California a pus sub acuzare trei bărbați din Tennessee pentru o serie de jafuri violente îndreptate împotriva deținătorilor de criptomonede din San Francisco, San Jose, Sunnyvale și Los Angeles.
Schema lor combina ingeniozitatea digitală cu brutalitatea fizică: mai întâi spărgeau conturile victimelor pe platforme de livrare de mâncare, apoi se prezentau la ușă cu o comandă aparent legitimă, iar odată intrați foloseau arme de foc, bandă adezivă și amenințări cu mutilarea pentru a smulge parolele portofelelor digitale.
Cazul a fost dezvăluit de San Francisco Chronicle pe baza documentelor de anchetă și a unor surse din interiorul investigației. Relatarea scoate la suprafață un tip de infracționalitate care s-a răspândit rapid la nivel mondial în ultimii doi ani, cunoscut sub denumirea de „wrench attack”, un termen preluat dintr-o bandă desenată web.
Principiul este elementar: în loc să încerce spargerea criptografiei, infractorii recurg la violență fizică directă asupra persoanei care deține cheile private ale portofelului digital.
Jaful din San Francisco: 13 milioane de dolari furate într-o oră
Cel mai grav incident din serie a avut loc pe 22 noiembrie, într-o locuință din cartierul Mission Dolores din San Francisco. Victima, un bărbat cu dețineri substanțiale în active digitale, aștepta un colet în acea după-amiază. Pe la ora 17:00, un individ mascat a apărut pe verandă cu o cutie albă, imitând un curier. Când ușa s-a deschis, atacatorul a împins proprietarul înăuntru și a preluat controlul casei.
Ceea ce a urmat a durat aproape o oră. Victima a fost legată cu bandă adezivă, bătută cu o armă de foc și amenințată că i se vor tăia degetele dacă nu predă parolele conturilor cripto.
Un complice participa la distanță, prin telefon, dirijând atacatorul prin pașii de autentificare și transfer. Până la final, din portofelele victimei au dispărut aproximativ 10 milioane de dolari în Bitcoin și 3 milioane de dolari în Ethereum. Până la această dată, nu se știe dacă autoritățile au reușit recuperarea vreunei părți din fonduri.
Pregătirea atacului denotă o planificare metodică. Anchetatorii au stabilit că suspecții, sau persoanele care îi coordonau, au spart conturile victimei pe DoorDash și Uber Eats. Din aceste conturi au extras adresa de domiciliu și detalii despre obiceiurile de consum.
Un detectiv care a vorbit cu jurnaliștii de la Chronicle a explicat că infractorii studiază tiparele de viață ale victimei: ce comandă online, ce mâncare preferă, care îi sunt rutinele zilnice. Practic, transformă datele dintr-o aplicație banală de livrare într-un instrument de supraveghere.
Tentativele eșuate din San Jose, Sunnyvale și Los Angeles
După succesul din San Francisco, rețeaua a încercat să repete schema în alte trei orașe californiene. De fiecare dată, ceva a mers prost pentru atacatori.
Atacul din San Jose, 17 decembrie
Pe 17 decembrie, un bărbat din San Jose a fost întâmpinat în curtea propriei case de un individ înarmat. Atacatorul l-a forțat să intre în garaj și să coboare ușa. L-a lovit peste ceafă cu pistolul, iar victima s-a prăbușit. Dar bărbatul a avut reflexul de a se preface grav rănit, ceea ce l-a făcut pe atacator să ezite. Momentul decisiv a venit când o furgonetă de livrare Amazon a trecut pe stradă, iar suspecții, speriați, au fugit.
Ceea ce face cazul din San Jose și mai revelator este ce s-a întâmplat înainte de atac. Cu 11 zile mai devreme, victima primise două livrări de pizza pe care nu le comandase. Cu două zile înainte de incident, niște necunoscuți i-au oferit să-i spele aleea de acces, gratuit, fără motiv aparent.
Anchetatorii interpretează toate aceste gesturi drept etape de recunoaștere, prin care infractorii au confirmat adresa, au verificat dacă victima locuiește acolo și i-au observat comportamentul.
Atacul din Sunnyvale, 22 decembrie
La o săptămână distanță, un tânăr de 21 de ani din Tennessee, Nino Chindavanh, s-a prezentat la ușa unei locuințe din Sunnyvale ținând în mână o cafea de la DoorDash. Când proprietarul a deschis, Chindavanh a forțat intrarea și a scos pistolul. Victima a opus rezistență și atacatorul a fugit. Polițiștii l-au prins puțin mai târziu, la volanul unui Kia negru.
În mașină au descoperit portofelul lui Jayden Rucker, un alt membru al rețelei, ceea ce a confirmat legătura dintre incidente. Opt zile mai târziu, un alt suspect a încercat aceeași schemă la aceeași adresă, tot cu o cafea falsă. Și de data aceasta, tentativa a eșuat.
Atacul din Los Angeles, noaptea de Revelion
Ultimul episod s-a petrecut în ajunul Anului Nou, în Brentwood, un cartier rezidențial din Los Angeles. Un bărbat deghizat în curier a bătut la ușă și a cerut un pahar cu apă. Proprietarul, fără să bănuiască nimic, l-a poftit înăuntru. În acel moment, atacatorul a scos arma și l-a imobilizat.
Un al doilea suspect a sosit câteva minute mai târziu. Victima a ajuns legată cu bandă adezivă și coliere de plastic, iar un al treilea complice dădea instrucțiuni prin telefon, folosind un modulator de voce.
Când contul cripto accesat nu a arătat sumele pe care le așteptau, complicele de la telefon a cerut tăierea degetelor victimei. Dar un elicopter al poliției a început să survoleze zona, iar atacatorii au intrat în panică. Ce nu știau ei era că o femeie se ascunsese într-un dulap din bucătărie și reușise să sune la 911.
Armstrong și Rucker au fost arestați la scurt timp. Împreună cu Chindavanh, prins în Sunnyvale, cei trei formează brațul executiv al operațiunii. Anchetatorii cred că deasupra lor acționează cel puțin un organizator, posibil un individ din statul Washington cu un cazier penal lung, al cărui număr de telefon a apărut în comunicațiile interceptate din timpul jafului din San Francisco.
Ce acuzații li s-au adus?
Procurorii i-au pus sub acuzare pe cei trei pentru jaf, efracție, agresiune cu armă de foc și tentativă de extorcare, pe lângă alte capete de acuzare. Ancheta consideră că toți executanții care au acționat fizic în Bay Area și Los Angeles se află acum în custodie, dar investigația continuă pentru identificarea persoanelor din spatele operațiunii.
FBI-ul participă activ la cercetări, iar un purtător de cuvânt al DoorDash a confirmat pentru San Francisco Chronicle că platforma cooperează cu autoritățile la nivel local, statal și federal, fără a putea oferi detalii suplimentare cât timp cazul este deschis.
De unde vine termenul „wrench attack” și ce îl face posibil
Expresia „wrench attack” (tradusă literal: atac cu cheia franceză) își are originea într-o bandă desenată publicată pe site-ul XKCD. Desenul arăta, cu un umor tăios, că nu contează cât de sofisticată este criptarea unui portofel digital atâta vreme cât un infractor poate amenința proprietarul cu o unealtă de 5 dolari până când acesta cedează parola. Gluma s-a dovedit profetică.
Ceea ce face criptomonedele atât de vulnerabile la acest tip de atac este tocmai trăsătura lor definitorie: ireversibilitatea tranzacțiilor. Spre deosebire de un transfer bancar, unde instituția poate interveni, bloca și returna fondurile, o tranzacție pe blockchain nu poate fi anulată de nimeni. Nu există un serviciu de relații cu clienții, nu există proceduri de chargeback. Odată ce Bitcoin-ul sau Ethereum-ul părăsesc un portofel, recuperarea devine o operațiune de urmărire pe blockchain, complicată, lentă și adesea fără succes.
Pe lângă ireversibilitate, natura pseudonimă a criptomonedelor permite infractorilor să mute rapid fondurile furate prin mai multe portofele intermediare și mixere, îngreunând trasabilitatea. Într-un jaf bancar tradițional, transportul fizic al numerarului ar presupune logistică, timp și riscuri la fiecare pas. Într-un wrench attack, 13 milioane de dolari pot schimba proprietarul în câteva minute, de pe ecranul unui laptop, în sufrageria victimei.
Atacurile fizice asupra deținătorilor de cripto au crescut cu 75% într-un singur an
Dimensiunea fenomenului depășește cu mult cazul din California. Firma de securitate blockchain CertiK a documentat 72 de incidente de wrench attack confirmate la nivel global în 2025, o creștere de 75% față de anul anterior. Pierderile totale au depășit 40,9 milioane de dolari, iar agresiunile fizice directe, incluzând invazii în locuințe, răpiri și chiar ucideri, au crescut cu 250%.
Europa a ajuns să concentreze peste 40% din totalul incidentelor, în condițiile în care în 2024 reprezenta doar 22%. Franța domină clasamentul cu 19 atacuri raportate doar în 2025, adică mai mult decât dublu față de Statele Unite. Iar anul 2026 a continuat pe același trend: până la jumătatea lunii februarie, cel puțin opt răpiri legate de criptomonede fuseseră deja înregistrate pe teritoriul francez.
De ce Franța a devenit epicentrul mondial al atacurilor de tip wrench?
Convergența mai multor factori a transformat Franța în țara cea mai periculoasă pentru deținătorii de criptomonede.
Cel mai determinant factor este legat de scurgerile masive de date. În iunie 2025, presa franceză a dezvăluit că un angajat al agenției fiscale furniza sistematic informații despre investitorii în criptomonede unor grupuri infracționale. Separat, în ianuarie 2026, platforma Waltio, utilizată de investitorii francezi pentru calcularea și raportarea câștigurilor din active digitale, a fost compromisă. Datele expuse au fost conectate direct cu cel puțin trei răpiri care au produs pierderi de milioane de euro.
Profilul victimelor joacă și el un rol important. Un raport confidențial al serviciului SIRASCO din cadrul Poliției Judiciare franceze arată că victimele sunt predominant bărbați între 20 și 35 de ani: investitori, antreprenori sau influenceri din zona crypto. Mulți dintre ei își afișează stilul de viață și câștigurile pe rețelele sociale, oferind fără să vrea infractorilor o hartă detaliată a adreselor, rutinelor și relațiilor lor.
Percepția impunității contribuie și ea semnificativ. Până de curând, deși autoritățile franceze efectuaseră zeci de arestări în cazuri de wrench attack, nu existau condamnări definitive. Specialiștii în securitate atrag atenția că absența consecințelor juridice reale funcționează ca un stimulent pentru noi atacuri.
Modul de recrutare al executanților reflectă o structură tipică crimei organizate. Organizatorii, care adesea operează din afara Franței, recrutează tineri locali prin Telegram și alte platforme de mesagerie. Aceștia, adesea minori sau adulți abia trecuți de 18 ani, primesc sume relativ mici pentru a executa partea cea mai riscantă a operațiunilor, în timp ce liderii rețelelor rămân la distanță.
Cazul cel mai mediatizat rămâne răpirea cofondatorului Ledger, David Balland, împreună cu soția sa, în ianuarie 2025. Atacatorii i-au amputat un deget și au cerut 10 milioane de euro în criptomonede înainte ca forțele de ordine să intervină. Incidentul a zguduit întreaga comunitate crypto europeană.
Atacuri violente și în Marea Britanie, SUA și alte țări
Franța și California nu sunt singurele zone afectate. În Marea Britanie, un dezvoltator de jocuri video cunoscut online ca Sillytuna a declarat că a pierdut criptomonede în valoare de 24 de milioane de dolari în urma unui atac fizic.
În New York, doi bărbați au fost inculpați pentru răpirea și torturarea unui antreprenor italian de 28 de ani, într-o locuință din Manhattan. Un fost polițist din Los Angeles a fost condamnat în martie 2026 după ce a jefuit un adolescent de 17 ani care afișase public averea dintr-un hard disk cu Bitcoin.
Un caz care arată cât de mult s-a extins fenomenul este cel al lui Nancy Guthrie, mama prezentatoarei Savannah Guthrie de la emisiunea americană TODAY. Ea a fost răpită, deși nu avea nicio legătură cu industria crypto, iar răpitorii au cerut răscumpărarea în Bitcoin. Cazul rămâne nerezolvat.
Anatomia unui wrench attack: cum funcționează schema de la identificare până la transferul fondurilor
Documentele de anchetă din cazul californian dezvăluie un mod de operare metodic, care se repetă cu variații minore de la un incident la altul.
Totul începe cu identificarea țintei. Infractorii sau colaboratorii lor monitorizează forumuri de criptomonede, rețele sociale și date publice de pe blockchain, căutând persoane despre care există indicii că dețin sume mari în active digitale. O captură de ecran cu un portofoliu, o postare despre un trade reușit sau o discuție pe un grup de Telegram pot fi suficiente.
Urmează faza de supraveghere digitală. Atacatorii obțin acces la conturile victimei pe platforme de livrare, fie prin phishing, fie cumpărând credențiale compromise de pe piața neagră. Din aceste conturi extrag adresa de domiciliu și studiază obiceiurile de consum: ce comandă victima, la ce ore, cât de frecvent.
Pasul următor este verificarea fizică. Infractorii plasează comenzi false la adresa victimei, de obicei pizza sau cafea, pentru a confirma că persoana locuiește acolo și că deschide ușa la livrări. Alteori trimit oameni să ofere servicii nesolicitate, cum ar fi spălarea aleii, doar ca pretext de a observa locuința.
Atacul propriu-zis urmează tiparul unei invazii coordonate. Executanții se prezintă la ușă cu o livrare pe care victima fie a comandat-o efectiv prin contul compromis, fie o percepe ca plauzibilă. Odată ce ușa se deschide, atacatorii forțează intrarea, imobilizează victima și, sub amenințarea armelor, cer acces la portofelele digitale. Un complice aflat la distanță coordonează transferurile prin telefon.
O vulnerabilitate pe care nicio criptografie nu o poate rezolva
Aceste cazuri scot la iveală un paradox pe care industria criptomonedelor l-a ignorat prea mult timp. Din punct de vedere matematic, securitatea criptografică a unui portofel digital este remarcabil de solidă. Spargerea unei chei private prin forță brută rămâne, cu tehnologia actuală, un lucru practic imposibil. Dar securitatea oricărui sistem este dictată de veriga cea mai slabă, iar veriga cea mai slabă, aproape fără excepție, este factorul uman.
Într-o bancă, chiar dacă un infractor obține o parolă prin constrângere, instituția poate bloca transferul, poate investiga și poate returna fondurile. Criptomonedele nu funcționează așa.
Tocmai principiul descentralizării, faptul că nicio autoritate centrală nu poate controla sau anula o tranzacție, se transformă într-un avantaj pentru infractori. Consultanți din domeniul securității crypto au observat că logica atacurilor este de o simplitate brutală: dacă nu poți sparge criptarea, aplici presiune fizică asupra celui care deține cheia. Practic, o revenire la cea mai veche formă de jaf, adaptată erei digitale.
Cum se pot proteja deținătorii de criptomonede?
Cea mai importantă măsură de protecție este, paradoxal, cea mai simplă: discreția. Orice postare publică despre câștiguri din tranzacționare, capturi de ecran cu portofolii sau comentarii despre deținerile personale funcționează ca o invitație pentru infractori. Specialiștii în securitate recomandă o separare strictă între identitatea online și deținerile reale.
Portofelele cu semnătură multiplă, cunoscute ca multisig, adaugă un strat suplimentar de protecție. Acestea cer aprobarea mai multor chei private, deținute de persoane diferite, aflate în locuri diferite, pentru a autoriza o tranzacție. Chiar dacă un atacator obține acces la o cheie, transferul rămâne blocat fără celelalte.
Separarea activelor este o altă practică recomandată de experți. Ideea este să păstrezi sume mici într-un portofel accesibil pentru tranzacții curente, iar grosul fondurilor într-un portofel hardware stocat separat, eventual într-un seif bancar. Într-un scenariu de atac, pierderile rămân astfel limitate.
Securizarea conturilor pe platforme de livrare și alte servicii online devine o necesitate stringentă în contextul metodei folosite de rețeaua din California. Autentificarea în doi pași, parolele unice pentru fiecare serviciu și verificarea periodică a activității din cont pot face diferența între un atac reușit și unul dejucat din fază incipientă. Comenzi pe care nu le-ai plasat sau modificări de adresă pe care nu le recunoști sunt semnale de alarmă care nu trebuie ignorate.
Un fenomen care nu dă semne de încetinire
Arestarea celor trei suspecți din Tennessee este un progres pentru autorități, dar nu schimbă tabloul de ansamblu. Pe măsură ce tot mai mulți oameni dețin criptomonede și pe măsură ce valoarea acestor active crește, infractorii se adaptează. Au înțeles că nu trebuie să fie hackeri sau programatori. Au nevoie de o armă, de o adresă și de confirmarea că ținta deține active digitale.
Industria crypto, care a canalizat resurse uriașe spre securitatea cibernetică, se confruntă acum cu o amenințare pentru care infrastructura sa nu a fost gândită: violența fizică. Lloyd’s of London, unul dintre cele mai mari conglomerate de asigurări din lume, a început deja să ofere polițe care acoperă pierderi din atacuri fizice asupra deținătorilor de cripto. Faptul că un asigurator de talia Lloyd’s consideră necesar un astfel de produs spune multe despre gravitatea situației.
Autoritățile din mai multe țări explorează răspunsuri legislative și operaționale. Ministrul de interne al Franței s-a întâlnit cu reprezentanți ai industriei crypto pentru a discuta măsuri de protecție. FBI-ul continuă investigația rețelei din California, sperând că tranzacțiile înregistrate pe blockchain vor permite trasarea fondurilor furate.
Dar pentru cei care au trăit ore de teroare legați cu bandă adezivă în propriile case, răspunsul instituțional vine cu întârziere. Lecția pe care aceste cazuri o transmit comunității crypto este directă și greu de ignorat: cea mai avansată criptografie din lume devine irelevantă în momentul în care cineva știe unde locuiești și ce deții.
