На прошлой неделе соцсети всколыхнул криптоскандал. Джон Дагита, подросток, сын CEO компании CMDSS, вывел из государственных кошельков США от $40 до $90 млн в криптовалюте. Это были преимущественно BTC, ETH и TRON — более тысячи биткоинов и миллионы долларов в транзакциях между ноябрем 2024 и декабрем 2025 года. Весь процесс проследил исследователь блокчейна ZachXBT и выложил в X подробный тред со всеми адресами и суммами.





Сначала Джон был анонимом, но оказалосьчто он не слишком и заметал следы. Источники из Telegram-каналов, быстро выяснили, что «Джон» — это школьник John Daghita. Ранее Джон уже попадал в поле зрения правоохранителей, но в сентябре 2025 года его задерживали по другому поводу. Отец Джона владеет CMDSS, компанией с правительственным IT-контрактом в Вирджинии, которая помогает US Marshals Service управлять конфискованными криптовалютами. После раскрытия дела CMDSS деактивировала аккаунт в X, веб-сайт и LinkedIn.

Как все начиналось

Однажды Джон (никнейм «Lick») вступил в ожесточенный спор с другим киберпреступником, Dritan Kapplani Jr., в групповом чате Telegram, выясняя, у кого больше средств в криптокошельках. Это соревнование называется «band for band» или b4b. Джон показывал кошельки в прямом эфире, а все взаимодействие было записано. В первой части записи, когда Дритан насмехался над Джоном, он демонстрировал экран Exodus Wallet, где был показан Tron-адрес с $2,3 млн: TMrWCLMS3ibDbKLcnNYhLggohRuLUSoHJg.

Во второй части записи еще $6,7 млн в ETH переводили на адрес 0xd8bc7ea538c2e9f178a18cc148892ae914a55d08. После завершения b4b Джон перевёл в общей сложности около $23 млн на адрес 0xd8bc.

Запись зафиксировала, что он контролирует оба адреса. Видеозаписи фиксировали весь процесс. Адреса, которые Джон показывал, получали средства от других кошельков, включая правительственные.

История с исчезновением правительственных денег началась гораздо раньше. В октябре 2024 года с кошельков правительства США было выведено около $20 млн в криптоактивах, однако почти вся эта сумма была возвращена в течение 24 часов. Исключением остались примерно $700 тыс., которые не удалось оперативно восстановить. Этот эпизод демонстрирует, что проблемы с контролем доступа к государственным криптокошелькам фиксировались еще до событий 2025 года.

Темная лошадка

Контракт CMDSS с US Marshals Service ранее тоже вызывал вопросы. Как отмечает The Block, в предыдущие годы конкурент CMDSS — компания Wave Digital Assets — подавал формальный протест, утверждая, что CMDSS не имела достаточной лицензии и находилась в потенциальном конфликте интересов при получении правительственного контракта. Этот протест не привел к немедленному расторжению соглашения, однако зафиксировал системные оговорки относительно внутренних процедур доступа к конфискованным государством криптоактивам.

Впрочем, CMDSS отвечала не за все конфискованные криптоактивы, а преимущественно за так называемые активы «Class 2-4» — токены и блокчейн-активы, которые не поддерживаются или слабо интегрированы с крупными централизованными биржами. Именно такие активы часто требуют ручного управления, нестандартных процедур хранения и более широкого доступа на уровне инфраструктуры, что повышает риски внутренних злоупотреблений.

Ончейн-расследование ZachXBT

Трассировка средств в обратном направлении показала, что адрес 0xd8bc получал деньги от 0x8924, которую Джон подтвердил как свою во время демонстрации. 0x8924 получил 1,066 WETH от 0xc7a2 20 ноября 2025 года, транзакция по хешу 0x76c6e92c4cefda209263a214241f1b47b9cff0123e9d292d613aea3447466dd0.

Адрес 0xc7a2 получил $24,9 млн от правительственного адреса США в марте 2024 года, связанной с конфискацией после взлома Bitfinex. Это самая крупная транзакция, зафиксированная в этом деле. На 0xc7a2 остаются $18,5 млн. Все транзакции зафиксированы на блокчейне, каждое движение средств можно проверить.

В общем, адрес 0xd8bc получил более $63 млн в четвертом квартале 2025 года от различных подозрительных кошельков и правительственных адресов. В декабре 2025 года поступило $13,5 млн с 0x77a722bf33787c3512d0f4fc36412140057f4223 и 15,4 миллиона долларов с 0xf51b044f998277b17467cd713d72b403e16fad48.

В ноябре 2025 года было получено $3 млн с TRON-кошелька TACZPnbg2Fi2ppC3cGxQxZb95SqwAZVAw9 и $1 млн с Solana-кошелька 6tMdWb3w3UaVq4JRSm1qa2s8mVwj2MYFAveJEL6S93Ua.

Дополнительно 4,170 ETH на $12,4 млн поступило с биржи MEXC через промежуточный адрес 0xe0f7a45a491d53f9361d35b4ef9908986d3b37b7 23 января 2026 года.

Джон поддерживал активную историю сообщений в Telegram, хвастаясь состоянием и называя других банкротами. Записанные сессии показали, что Джон систематически демонстрировал свое богатство в Telegram, хвастаясь общим состоянием и оскорбляя других пользователей.

Сразу после публикации ZachXBT Джон удалил все NFT-имена из Telegram (ID 8269661864) и изменил свой никнейм, что свидетельствует об осознании риска, связанного с доказательствами. Его отец, Дин Дагита, впоследствии тоже удалил аккаунт.

Дополнительно Джон прислал 0,6767 ETH ($1,9 тыс.) с адреса 0xd8bc на публичный кошелек исследователя, что было задокументировано в блокчейне (транзакция 0x90539e91fbebd0aaa050a492548b1e3b1bc7d82dd84bf8a42a9595a90425ebfa).

To be continued…

Интересно, что школьник контролировал не только средства правительства США, но и активы других жертв. Активность Джона в кошельках остановилась после публикаций, но весь след транзакций остался публичным и проверяется. Правоохранительные органы (US Marshals Service) подтвердили, что расследование ведется, но не дали публичных комментариев, как не дали их и представители CMDSS. Патрик Уитт (исполнительный директор Совета советников президента США по цифровым активам) и Служба маршалов США (USMS) заявили, что изучают этот инцидент.

Поведение Джона демонстрирует типичную ошибку. Когда эго и желание показать статус в киберпреступной среде перевешивает базовые меры безопасности. То есть, он был разоблачен не через профессиональное расследование агентств, а из-за собственной гордости и Telegram-демонстрации. Видеозапись спора «band for band» предоставила прямые доказательства контроля над кошельками, что позволяет правоохранительным органам проверить всю цепочку транзакций.

Киберпреступники постоянно хвастаются добытыми средствами, и это не остается незамеченным. Но этот беспрецедентный кейс подчеркивает слабые стороны внутреннего контроля и безопасности конфискованных криптоактивов. До сих пор не выяснено, как конкретно подросток получил доступ к правительственным средствам. Это могло произойти через служебный API, ключи, или внутренние учетные записи, или десятками других способов. В любом случае, «родственный» фактор, как и связь с CMDSS, будет доказать совсем не просто.

Источник: Х (ZachXBT)