então o erro do cara foi simplesmente fazer um pagamento de servidor por sua conta paypal oficial em algum momento e aí foi encontrado na investigação?
De acordo com o documento do caso, foi o ponto de virada, sim.
O pior é que ele sabia disso e usou uma rede de contas falsas de forma bem eficiente. Tipo assim:
Compra BTC p2p -> compra um servidor do digitalocean com BTC -> usa esse servidor como proxy para criar contas falsas no paypal -> compra os domínios no namecheap + compra os servidores.