ZachXBT Ujawnia „Kanadyjskiego" Oszusta, Który Ukradł 2 Mln $ Przez Fałszywe Wsparcie Coinbase

Śledczy blockchain ZachXBT zdemaskował oszusta z Kanady, który rzekomo ukradł ponad 2 miliony dolarów w kryptowalutach, podszywając się pod dział obsługi klienta Coinbase, powiększając rosnącą listę przypadków inżynierii społecznej wymierzonych w użytkowników głównych giełd.

W serii postów na X, ZachXBT poinformował, że rzekomy oszust, zidentyfikowany pod pseudonimami "Haby" lub "Havard", przez ponad rok podszywał się pod pracownika działu pomocy Coinbase i nakłaniał użytkowników do przekazania środków.

ZachXBT śledzi oszusta Coinbase za pomocą zrzutów ekranu i danych portfela

Według śledczego, podejrzany polegał na klasycznych taktykach inżynierii społecznej, a nie na exploitach technicznych, manipulując ofiarami, aby uwierzyły, że ich konta są zagrożone i wymagają natychmiastowej interwencji.

ZachXBT powiedział, że był w stanie prześledzić aktywność poprzez porównanie zrzutów ekranu udostępnianych na czatach grupowych Telegram, postach w mediach społecznościowych i danych transakcji on-chain.

W przykładzie z 30 grudnia 2024 r. rzekomy oszust opublikował zrzut ekranu chwaląc się kradzieżą 21 000 XRP, wartą wówczas około 44 000 dolarów, zabraną od użytkownika Coinbase.

Dalsza analiza powiązała ten adres XRP z dodatkowymi kradzieżami związanymi z Coinbase na łączną kwotę około 500 000 dolarów.

Śledczy powiedział, że podejrzany rutynowo przeliczał skradzione XRP na bitcoin przy użyciu błyskawicznych usług wymiany, posunięcie mające na celu ukrycie śladów transakcji.

Analizując czas transakcji i salda portfeli, ZachXBT powiedział, że zidentyfikował adres bitcoin, który później wykazywał saldo około 237 000 dolarów w lutym 2025 r., pasujące do zrzutów ekranu, które podejrzany udostępnił, chwaląc się swoimi funduszami na prywatnych czatach.

Cofnięcie się od tego adresu ujawniło trzy kolejne kradzieże podszywające się pod Coinbase o wartości ponad 560 000 dolarów.

ZachXBT udostępnił również wyciekłe nagranie ekranu, które rzekomo pokazuje podejrzanego podczas rozmowy z ofiarą, podszywającego się pod wsparcie Coinbase.

Na nagraniu słychać, jak dzwoniący prowadzi cel przez to, co wydawało się być fałszywymi krokami bezpieczeństwa, jednocześnie nieumyślnie ujawniając adres e-mail i konto Telegram powiązane z operacją.

Podejrzany podobno kupił drogie nazwy użytkownika Telegram i usunął starsze konta, próbując uniknąć wykrycia, choć powtarzające się chwalenie się w internecie ułatwiło atrybucję.

Użytkownicy kryptowalut ponoszą rosnące straty w miarę rozprzestrzeniania się ataków inżynierii społecznej

Sprawa pojawiła się, gdy władze w Indiach niedawno aresztowały byłego agenta obsługi klienta Coinbase w Hyderabadzie w związku z oddzielnym naruszeniem danych dotyczącym prawie 70 000 użytkowników.

Dyrektor generalny Coinbase Brian Armstrong powiedział, że naruszenie wynikało z systemu łapówkarstwa wymierzonego w personel wsparcia za granicą i spowodowało około 307 milionów dolarów kosztów naprawy i zwrotu.

Coinbase odmówił zapłaty okupu w wysokości 20 milionów dolarów związanego z incydentem i zamiast tego uruchomił program nagród, aby pomóc w śledztwie.

Oszustwa inżynierii społecznej, takie jak to opisane przez ZachXBT, zazwyczaj zaczynają się od niechcianych połączeń, wiadomości tekstowych lub e-maili, które wydają się pochodzić od legalnej firmy.

Oszuści często tworzą pilność, twierdząc, że miała miejsce podejrzana aktywność lub nieuchronne naruszenie konta, a następnie wywierają presję na ofiary, aby ujawniły dane logowania lub kody uwierzytelniania dwuskładnikowego lub przelały środki do portfeli kontrolowanych przez atakującego.

Ujawnienie rzekomego kanadyjskiego oszusta następuje po innych niedawnych działaniach egzekucyjnych. W Stanach Zjednoczonych prokuratorzy oskarżyli 23-letniego mieszkańca Brooklynu o kradzież około 16 milionów dolarów od około 100 użytkowników Coinbase poprzez podobny schemat podszywania się.

To śledztwo również opierało się na analizie blockchain i zaowocowało zajęciem gotówki i aktywów cyfrowych, a działania odzyskiwania są kontynuowane.

Dane branżowe pokazują, że kradzież kryptowalut pozostaje powszechna, z ponad 3,4 miliarda dolarów skradzionych w całym sektorze między styczniem a początkiem grudnia 2025 r.

Eksperci ds. bezpieczeństwa nadal wzywają użytkowników, aby unikali odpowiadania na niechciane wiadomości, nigdy nie udostępniali haseł ani fraz odzyskiwania i kontaktowali się ze wsparciem tylko przez oficjalne strony internetowe lub aplikacje.