Злоумышленник действовал дерзко. Он создал сайт, который якобы оказывал сетевую поддержку пользователям IOTA. Страница представляла собой генератор паролей, и предлагала помощь в создании уникальных комбинаций, соответствующих требованиям и специфике кошельков-приложений IOTA. Помимо множества оговорок и условий, пароль, например, должен был содержать не менее 81 символа. Чтобы окончательно ввести потенциальных жертв в заблуждение, злоумышленник разместил на сайте ссылку на публичное хранилище GitHub, которое якобы содержало программный код сервиса. Это должно было убедить пользователей в легитимности сайта.
Подозреваемый в течение полугода собирал пароли, а затем перешел к действию, выбрав удачный момент – совершил кражи во время DDoS-атаки на сервера IOTA. Администраторы сети криптовалюты были заняты настолько, что не заметили увеличения числа переводов на блокчейне. По этой же причине первые кражи не были замечены и пользователями. Однако вскоре в полицию посыпались заявления о кражах. Это стало толчком к началу расследования в Германии.
Злоумышленник попытался замести следы и удалил все свои аккаунты с Reddit, GitHub и Quora, тем не менее, это не помогло ему скрыться. Его личность была установлена, и подозреваемого задержали 23 января в Оксфорде. При обыске в квартире 36-летнего мужчины, помимо крупных сумм денег, сотрудники полиции обнаружили наркотические вещества. Задержанному уже предъявлены обвинения в мошенничестве, воровстве и отмывании денег. Теперь ему предстоит экстрадиция в Германию, где пройдет суд.