Comment les enquêteurs en chaîne ont dévoilé un réseau de fraude d'usurpation d'identité $2M Coinbase

Dans le cadre d’un schéma sophistiqué mettant en lumière les vulnérabilités de la sécurité des plateformes crypto, un fraudeur canadien a réussi à escroquer des utilisateurs de Coinbase pour plus de 2 millions de dollars. Opérant depuis Abbotsford près de Vancouver, l’attaquant—connu en ligne sous le nom de « Haby » ou « Harvard »—s’est fait passer pour un support officiel de Coinbase afin d’accéder de manière non autorisée aux comptes des victimes. Grâce à des attaques de phishing soigneusement orchestrées et à des tactiques d’ingénierie sociale, il a systématiquement compromis les identifiants des utilisateurs et vidé leurs avoirs en crypto.

La piste numérique menant à Haby

Le dénouement de cette opération criminelle a commencé par un travail minutieux de detective on-chain réalisé par ZachXBT, un analyste de blockchain renommé spécialisé dans le suivi des mouvements de fonds illicites. La percée est survenue lorsque le scammeur a commis une erreur critique : se vanter de ses activités sur les réseaux sociaux. Dans un post de fin décembre 2024, Haby a ouvertement mentionné avoir volé pour 44 000 $ en XRP à l’un de ses victimes.

Cette déclaration publique a fourni le fil dont les enquêteurs avaient besoin pour tirer. En croisant l’adresse du portefeuille de destination avec les données de transactions historiques, ZachXBT a systématiquement relié plusieurs rapports de victimes au même auteur. L’analyse a révélé que Haby avait ciblé de nombreux détenteurs de comptes Coinbase, chaque incident suivant un schéma similaire. Comme l’indiquait ZachXBT dans le résumé de l’enquête, « Les preuves étendues dans cette affaire en font une victoire particulièrement facile pour les forces de l’ordre », suggérant que les empreintes numériques laissées étaient suffisamment complètes pour soutenir une poursuite.

Des indices sur les réseaux sociaux au lieu de localisation réelle

Ce qui rend cette affaire particulièrement révélatrice, c’est la quantité d’informations personnelles que Haby a négligemment partagées sur diverses plateformes. Ses comptes Telegram et Instagram contenaient des captures d’écran de soldes de portefeuille, des inscriptions inhabituelles de noms d’utilisateur, et des modèles de dépenses de style de vie qui semblaient incohérents avec des sources de revenus légitimes. Ces traces numériques dressaient le portrait d’une personne profitant d’une richesse soudaine et inexpliquée.

Les enquêteurs ont rassemblé ces indices issus des réseaux sociaux avec des métadonnées géographiques pour réduire sa localisation physique à Abbotsford, en Colombie-Britannique. La combinaison de publications publiques, de timings de transactions et de logs d’activité sur les plateformes a permis d’établir un profil géographique difficile à dissimuler. Les utilisateurs de Coinbase affectés par cette escroquerie représentaient une cible démographique spécifique, suggérant que l’attaquant avait recherché et priorisé des comptes à forte valeur avant de lancer son opération.

Comment les fonds volés ont été blanchis via la crypto

L’analyse technique du mouvement des fonds a révélé un processus de blanchiment sophistiqué. Les tokens XRP volés ont été rapidement convertis en Bitcoin via des services d’échange instantané, une tactique courante pour dissimuler l’origine criminelle des fonds. Ensuite, le Bitcoin a été fragmenté en plusieurs adresses de portefeuille, rendant la traçabilité traditionnelle beaucoup plus difficile.

Ce qui a été particulièrement dommageable, c’est que des portions de ces fonds volés ont ensuite été dirigées vers des plateformes de jeux en ligne—un schéma comportemental qui a laissé des preuves médico-légales supplémentaires. Chaque transaction, horodatage et portefeuille intermédiaire servait de point de donnée supplémentaire dans l’enquête. L’analyse on-chain a dressé un tableau clair : ciblage systématique des utilisateurs de Coinbase, conversion rapide des fonds, tentative de blanchiment, et modèles d’utilisation finale suspects pointaient tous vers le même acteur criminel.

Menaces croissantes pour la sécurité : la lutte de Coinbase contre la prise de contrôle de comptes

L’opération frauduleuse de 2 millions de dollars de Haby n’est qu’une manifestation d’une crise plus large affectant Coinbase et des plateformes similaires. La plateforme a connu une recrudescence de tentatives d’arnaques par impersonation tout au long de 2025 et jusqu’en 2026. Un catalyseur majeur a été une fuite de données internes en 2025 qui a compromis des informations sensibles pour environ 70 000 clients fortunés, incluant noms, adresses email et numéros de téléphone—les données précises nécessaires pour mener des campagnes de phishing convaincantes.

En réponse à cette faille de sécurité, Coinbase a mobilisé ses ressources de manière agressive. La plateforme a annoncé un fonds de récompense de 20 millions de dollars et s’est engagée à rembourser tous les victimes confirmées. Plus tard cette année-là, les forces de l’ordre ont arrêté avec succès Ronald Spektor, qui avait orchestré des schémas similaires de prise de contrôle de comptes ciblant 100 utilisateurs de Coinbase et volant 16 millions de dollars. Spektor a utilisé le même mode opératoire : exploiter des données clients volées pour se faire passer pour le support Coinbase et convaincre les victimes d’autoriser des transferts de fonds non autorisés.

Ces réseaux de fraude coordonnés montrent que le paysage de la menace pour les utilisateurs de Coinbase continue d’évoluer. Alors que les échanges renforcent leurs défenses techniques, l’élément humain—phishing, ingénierie sociale et impersonation—reste le vecteur d’attaque principal. Clients et plateforme doivent adopter des approches de sécurité à plusieurs niveaux, incluant l’utilisation de portefeuilles hardware, des méthodes d’authentification avancées, et une méfiance accrue envers toute communication non sollicitée prétendant représenter un support officiel.