Trei bărbați din Tennessee au fost puși sub acuzare de poliția din California după o serie de jafuri violente care au vizat deținători de criptomonede din San Francisco, San Jose, Sunnyvale și Los Angeles. Suspecții spărgeau conturi pe platforme de livrare precum DoorDash și Uber Eats, extrăgeau adresele victimelor, apoi se prezentau la ușă cu o comandă aparent legitimă.
Odată intrați în locuință, foloseau arme de foc, bandă adezivă și amenințări cu mutilarea pentru a smulge parolele portofelelor digitale. Într-un singur incident, cel din San Francisco, au reușit să fure aproximativ 13 milioane de dolari în Bitcoin și Ethereum.
Documentele de anchetă au fost dezvăluite de San Francisco Chronicle și descriu un mod de operare calculat, care îmbină manipularea datelor digitale cu brutalitatea fizică. Cazul scoate la suprafață o formă de infracționalitate care s-a răspândit rapid la nivel mondial în ultimii doi ani, cunoscută sub denumirea de „wrench attack”, un termen preluat dintr-o bandă desenată web publicată pe site-ul XKCD.
13 milioane de dolari, furate într-o oră dintr-o casă din San Francisco
Cel mai grav episod s-a consumat pe 22 noiembrie, într-o locuință din cartierul Mission Dolores. Victima, un bărbat cu dețineri semnificative în active digitale, aștepta un colet în acea după-amiază. Pe la ora 17:00, un individ mascat a urcat pe verandă cu o cutie albă în mâini, imitând comportamentul unui curier. Proprietarul a deschis ușa, iar atacatorul l-a împins în interior și a preluat controlul locuinței.
Agresiunea a durat aproape o oră. Victima a fost legată cu bandă adezivă, bătută cu o armă de foc și amenințată că i se vor tăia degetele dacă nu predă parolele conturilor crypto. Un complice participa la distanță prin telefon și ghida atacatorul prin pașii de autentificare și transfer. Din portofelele victimei au fost transferate aproximativ 10 milioane de dolari în Bitcoin și 3 milioane de dolari în Ethereum. Până la această dată, autoritățile nu au confirmat recuperarea vreunei sume.
Anchetatorii au stabilit că suspecții, sau cei care îi coordonau, au spart conturile victimei pe DoorDash și Uber Eats. Din aceste conturi au extras adresa de domiciliu și au studiat obiceiurile de consum. Un detectiv care a vorbit cu jurnaliștii de la Chronicle a explicat că infractorii analizează tiparele de viață ale victimei, de la ce mâncare preferă până la rutinele zilnice și orele la care comandă. O aplicație de livrare a hranei devine, practic, un instrument de supraveghere.
Tentativele eșuate din San Jose, Sunnyvale și Los Angeles
După succesul din San Francisco, rețeaua a încercat să repete schema în alte trei orașe californiene. De fiecare dată, planul a dat greș.
San Jose, 17 decembrie
Un bărbat din San Jose a fost întâmpinat în curtea propriei case de un individ înarmat. Atacatorul l-a forțat să intre în garaj și să coboare ușa. L-a lovit peste ceafă cu pistolul, iar victima s-a prăbușit. Bărbatul a avut însă reflexul să se prefacă grav rănit, ceea ce l-a făcut pe agresor să ezite. Când o furgonetă Amazon a trecut pe stradă, suspecții au intrat în panică și au fugit.
Ceea ce face cazul din San Jose revelator este tot ce s-a întâmplat înainte. Cu unsprezece zile mai devreme, victima primise două livrări de pizza pe care nu le comandase. Cu două zile înainte de atac, niște necunoscuți i-au oferit să-i spele aleea de acces, gratuit, fără motiv aparent. Anchetatorii interpretează toate aceste gesturi drept etape de recunoaștere prin care infractorii au confirmat adresa, au verificat dacă victima locuiește acolo și i-au observat comportamentul.
Sunnyvale, 22 decembrie
La o săptămână distanță, un tânăr de 21 de ani din Tennessee, Nino Chindavanh, s-a prezentat la ușa unei locuințe din Sunnyvale ținând în mână o cafea de la DoorDash. Când proprietarul a deschis, Chindavanh a forțat intrarea și a scos pistolul. Victima a opus rezistență, iar atacatorul a fost nevoit să fugă. Polițiștii l-au prins puțin mai târziu, la volanul unui Kia negru. În mașină au descoperit portofelul lui Jayden Rucker, un alt membru al rețelei, ceea ce a confirmat legătura dintre incidente. Opt zile mai târziu, un alt suspect a încercat aceeași schemă la aceeași adresă, tot cu o cafea falsă. Și de data aceasta, tentativa a eșuat.
Los Angeles, noaptea de Revelion
Ultimul episod s-a petrecut în ajunul Anului Nou, în Brentwood, un cartier rezidențial din Los Angeles. Un bărbat deghizat în curier a bătut la ușă și a cerut un pahar cu apă. Proprietarul, fără să bănuiască nimic, l-a poftit înăuntru. Atacatorul a scos arma și l-a imobilizat. Un al doilea suspect a sosit câteva minute mai târziu. Victima a ajuns legată cu bandă adezivă și coliere de plastic, iar un al treilea complice dădea instrucțiuni prin telefon, folosind un modulator de voce.
Când contul crypto accesat nu a arătat sumele așteptate, complicele de la telefon a cerut tăierea degetelor victimei. Dar un elicopter al poliției a început să survoleze zona, iar atacatorii au intrat în panică. Ce nu știau ei era că o femeie se ascunsese într-un dulap din bucătărie și reușise să sune la 911.
Armstrong și Rucker au fost arestați la scurt timp. Împreună cu Chindavanh, prins anterior în Sunnyvale, cei trei formează brațul executiv al operațiunii. Anchetatorii cred că deasupra lor acționează cel puțin un organizator, posibil un individ din statul Washington cu un cazier penal lung, al cărui număr de telefon a apărut în comunicațiile interceptate din timpul jafului din San Francisco.
Acuzațiile și stadiul anchetei
Procurorii i-au pus sub acuzare pe cei trei pentru jaf, efracție, agresiune cu armă de foc și tentativă de extorcare. Ancheta consideră că toți executanții fizici din Bay Area și Los Angeles se află acum în custodie, dar investigația continuă pentru identificarea persoanelor din spatele operațiunii.
FBI-ul participă activ la cercetări. Un purtător de cuvânt al DoorDash a confirmat pentru San Francisco Chronicle că platforma cooperează cu autoritățile la nivel local, statal și federal, fără a oferi detalii suplimentare cât timp cazul rămâne deschis.
Ce este un „wrench attack” și de ce criptomonedele sunt vulnerabile
Expresia „wrench attack”, tradusă literal ca „atac cu cheia franceză”, provine dintr-o bandă desenată publicată pe site-ul XKCD. Desenul arăta, cu un umor tăios, că sofisticarea criptografică a unui portofel digital devine irelevantă atunci când un infractor poate amenința proprietarul cu o unealtă de cinci dolari până când acesta cedează parola. Gluma s-a dovedit profetică.
Ceea ce face criptomonedele atât de expuse la acest gen de atac este tocmai trăsătura lor definitorie: ireversibilitatea tranzacțiilor. Spre deosebire de un transfer bancar, unde instituția poate interveni, bloca și returna fondurile, o tranzacție confirmată pe blockchain nu poate fi anulată de nimeni. Nu există un departament de relații cu clienții, nu există proceduri de chargeback. Odată ce Bitcoin-ul sau Ethereum-ul părăsesc un portofel, recuperarea lor devine o operațiune de urmărire pe lanțul de blocuri, complicată, lentă și adesea fără succes.
Pe lângă ireversibilitate, natura pseudonimă a criptomonedelor permite infractorilor să mute rapid fondurile furate prin mai multe portofele intermediare și servicii de mixare, ceea ce îngreunează trasabilitatea. Într-un jaf bancar tradițional, transportul fizic al numerarului presupune logistică, timp și riscuri la fiecare pas. Într-un wrench attack, 13 milioane de dolari pot schimba proprietarul în câteva minute, pe ecranul unui laptop, în sufrageria victimei.
Atacurile fizice asupra deținătorilor de crypto au crescut cu 75% într-un singur an
Amploarea fenomenului depășește cu mult cazul din California. Firma de securitate blockchain CertiK a documentat 72 de incidente de wrench attack confirmate la nivel global în 2025, adică o creștere de 75% față de anul anterior. Pierderile totale au depășit 40,9 milioane de dolari. Agresiunile fizice directe, de la invazii în locuințe până la răpiri și ucideri, au crescut cu 250% în aceeași perioadă.
Într-o analiză publicată pe platforma de stiri blockchain și criptomonede Cryptology.ro, jurnalistul și editorialistul Mihai Popa sublinia că amploarea acestui tip de atacuri a luat prin surprindere chiar și analiștii cu experiență din domeniul securității digitale, iar datele CertiK confirmă un trend pe care piața l-a subestimat mult prea mult timp.
Europa concentrează acum peste 40% din totalul incidentelor, în condițiile în care în 2024 ponderea era de doar 22%. Franța domină clasamentul cu 19 atacuri raportate doar în 2025, mai mult decât dublu față de Statele Unite. Primele luni ale anului 2026 au continuat pe aceeași traiectorie: până la jumătatea lunii februarie, cel puțin opt răpiri legate de criptomonede fuseseră înregistrate pe teritoriul francez.
De ce Franța a devenit epicentrul mondial al atacurilor de tip wrench
Convergența mai multor factori a transformat Franța în țara cea mai periculoasă pentru deținătorii de criptomonede.
Scurgerile masive de date au jucat rolul decisiv. În iunie 2025, presa franceză a dezvăluit că un angajat al agenției fiscale furniza sistematic informații despre investitorii în criptomonede unor grupuri infracționale. Separat, în ianuarie 2026, platforma Waltio, utilizată de investitorii francezi pentru calcularea câștigurilor din active digitale, a fost compromisă. Datele expuse au fost conectate direct cu cel puțin trei răpiri soldate cu pierderi de milioane de euro.
Profilul victimelor joacă și el un rol esențial. Un raport confidențial al serviciului SIRASCO din cadrul Poliției Judiciare franceze arată că victimele sunt predominant bărbați între 20 și 35 de ani, investitori, antreprenori sau influenceri din zona crypto. Mulți își etalează stilul de viață și câștigurile pe rețelele sociale, oferind fără să vrea infractorilor o hartă detaliată a adreselor, rutinelor și relațiilor lor.
Percepția impunității contribuie și ea la agravarea fenomenului. Până de curând, deși autoritățile franceze efectuaseră zeci de arestări în cazuri de wrench attack, condamnări definitive nu existau. Absența consecințelor juridice reale funcționează, în mod previzibil, ca un stimulent.
Modul de recrutare al executanților reflectă o structură tipică crimei organizate. Organizatorii operează adesea din afara Franței și recrutează tineri locali prin Telegram. Aceștia, de multe ori minori sau adulți abia trecuți de 18 ani, primesc sume mici pentru a executa partea cea mai riscantă a operațiunilor, în timp ce liderii rețelelor rămân la distanță.
Cazul cel mai mediatizat rămâne răpirea cofondatorului Ledger, David Balland, împreună cu soția sa, în ianuarie 2025. Atacatorii i-au amputat un deget și au cerut 10 milioane de euro în criptomonede înainte ca forțele de ordine să intervină. Incidentul a provocat un șoc profund în comunitatea crypto europeană.
Atacuri violente și în Marea Britanie, SUA și alte țări
Franța și California nu sunt singurele zone afectate. În Marea Britanie, un dezvoltator de jocuri video cunoscut online ca Sillytuna a declarat că a pierdut criptomonede în valoare de 24 de milioane de dolari în urma unui atac fizic. În New York, doi bărbați au fost inculpați pentru răpirea și torturarea unui antreprenor italian de 28 de ani, într-o locuință din Manhattan. Un fost polițist din Los Angeles a fost condamnat în martie 2026 după ce a jefuit un adolescent de 17 ani care afișase public averea dintr-un hard disk cu Bitcoin.
Un caz care arată cât de mult s-a extins fenomenul dincolo de comunitatea crypto este cel al lui Nancy Guthrie, mama prezentatoarei Savannah Guthrie de la emisiunea americană TODAY. Ea a fost răpită, deși nu avea nicio legătură cu industria criptomonedelor, iar răpitorii au cerut răscumpărarea în Bitcoin. Cazul rămâne nerezolvat.
Cum funcționează schema, pas cu pas
Documentele de anchetă din cazul californian arată un mod de operare structurat, care se repetă cu variații minore de la un incident la altul.
Prima etapă este identificarea țintei. Infractorii sau colaboratorii lor monitorizează forumuri de criptomonede, rețele sociale și date publice de pe blockchain. Caută persoane despre care există indicii că dețin sume mari în active digitale. O captură de ecran cu un portofoliu, o postare despre un trade reușit sau o discuție pe un grup de Telegram pot fi suficiente.
A doua etapă presupune supraveghere digitală. Atacatorii obțin acces la conturile victimei pe platforme de livrare, fie prin phishing, fie cumpărând credențiale compromise de pe piața neagră. Din aceste conturi extrag adresa de domiciliu și studiază obiceiurile de consum, de la orele la care comandă până la frecvența livrărilor.
A treia etapă constă în verificarea fizică. Infractorii plasează comenzi false la adresa victimei, de regulă pizza sau cafea, pentru a confirma că persoana locuiește acolo și că deschide ușa la livrări. Alteori trimit oameni să ofere servicii nesolicitate, cum ar fi spălarea aleii, doar ca pretext de a observa locuința.
Atacul propriu-zis urmează tiparul unei invazii coordonate. Executanții se prezintă la ușă cu o livrare pe care victima fie a comandat-o efectiv prin contul compromis, fie o percepe drept plauzibilă. Odată ce ușa se deschide, forțează intrarea, imobilizează victima și, sub amenințarea armelor, cer acces la portofelele digitale. Un complice aflat la distanță coordonează transferurile prin telefon.
Vulnerabilitatea pe care nicio criptografie nu o poate acoperi
Aceste cazuri pun în evidență un paradox pe care industria criptomonedelor l-a ocolit prea mult timp. Din punct de vedere matematic, securitatea criptografică a unui portofel digital este remarcabil de solidă. Spargerea unei chei private prin forță brută rămâne, cu tehnologia actuală, practic imposibilă. Dar securitatea oricărui sistem ține de veriga cea mai slabă, iar veriga cea mai slabă este, aproape fără excepție, factorul uman.
Într-o bancă, chiar dacă un infractor obține o parolă prin constrângere, instituția poate bloca transferul, poate investiga și poate returna fondurile. Criptomonedele nu funcționează după această logică. Principiul descentralizării, faptul că nicio autoritate centrală nu poate controla sau anula o tranzacție, se transformă într-un avantaj pentru infractori. Dacă nu poți sparge criptarea, aplici presiune fizică asupra celui care deține cheia. Este, la baza ei, cea mai veche formă de jaf, readaptată pentru era digitală.
Cum se pot proteja deținătorii de criptomonede
Cea mai importantă măsură de protecție rămâne discreția. Orice postare publică despre câștiguri din tranzacționare, capturi de ecran cu portofolii sau comentarii despre deținerile personale funcționează ca un semnal pentru infractori. Specialiștii în securitate recomandă o separare strictă între identitatea online și deținerile reale.
Portofelele cu semnătură multiplă, cunoscute ca multisig, adaugă un strat suplimentar de protecție prin faptul că cer aprobarea mai multor chei private, deținute de persoane diferite în locuri diferite, pentru a autoriza o tranzacție. Chiar dacă un atacator obține acces la o cheie, transferul rămâne blocat fără celelalte.
Separarea activelor este o altă practică pe care experții o recomandă constant. Ideea e să păstrezi sume mici într-un portofel accesibil pentru tranzacții curente, iar grosul fondurilor într-un portofel hardware stocat separat, eventual într-un seif bancar. Într-un scenariu de atac, pierderile rămân astfel limitate.
Securizarea conturilor pe platforme de livrare și alte servicii online devine stringentă, tocmai în contextul metodei folosite de rețeaua din California. Autentificarea în doi pași, parolele unice pentru fiecare serviciu și verificarea periodică a activității din cont pot face diferența între un atac reușit și unul dejucat încă din fază incipientă. Comenzi pe care nu le-ai plasat sau modificări de adresă pe care nu le recunoști trebuie tratate ca semnale de alarmă.
Un fenomen care se accelerează
Analistul crypto și jurnalistul Mihai Popa, colaborator permanent al publicației românești Cryptology.ro, nota într-un comentariu editorial că arestarea celor trei suspecți din Tennessee reprezintă un progres punctual, dar nu schimbă tabloul general al amenințării. Pe măsură ce tot mai mulți oameni dețin criptomonede și pe măsură ce valoarea acestor active crește, infractorii se adaptează. Nu au nevoie de cunoștințe tehnice avansate. Le ajunge o armă, o adresă și confirmarea că ținta deține active digitale.
Industria crypto, care a canalizat resurse uriașe spre securitatea cibernetică, se confruntă acum cu o amenințare pentru care infrastructura sa nu a fost gândită: violența fizică. Lloyd’s of London, unul dintre cele mai mari conglomerate de asigurări din lume, a început deja să ofere polițe care acoperă pierderi din atacuri fizice asupra deținătorilor de crypto. Că un asigurator de talia Lloyd’s consideră necesar un astfel de produs spune suficient despre gravitatea situației.
Autoritățile din mai multe țări caută răspunsuri legislative și operaționale. Ministrul de interne al Franței s-a întâlnit cu reprezentanți ai industriei crypto pentru a discuta măsuri de protecție. FBI-ul continuă investigația rețelei din California, cu speranța că tranzacțiile înregistrate pe blockchain vor permite trasarea fondurilor furate.
Pentru cei care au trăit ore de teroare legați cu bandă adezivă în propriile case, răspunsul instituțional vine cu întârziere. Lecția pe care aceste cazuri o transmit comunității crypto este greu de ignorat: cea mai avansată criptografie din lume devine irelevantă în momentul în care cineva știe unde locuiești și ce deții.