Как следователи на блокчейне раскрыли мошенническую сеть, выдающую себя за $2M Coinbase

В сложной схеме, которая выявляет уязвимости в безопасности крипто-платформ, канадский мошенник успешно обманул пользователей Coinbase на сумму более 2 миллионов долларов. Работая из Абботсфорда недалеко от Ванкувера, злоумышленник — известный онлайн как “Haby” или “Harvard” — выдавал себя за официальных сотрудников поддержки Coinbase, чтобы получить несанкционированный доступ к аккаунтам жертв. Посредством тщательно спланированных фишинговых атак и методов социальной инженерии он систематически компрометировал учетные данные пользователей и выводил криптовалютные активы.

Цифровой след, приведший к Haby

Расследование этого преступного оператора началось с кропотливой работы на блокчейне известного аналитика ZachXBT, специализирующегося на отслеживании незаконных перемещений средств. Прорыв произошел, когда мошенник допустил критическую ошибку: похвастался своими действиями в соцсетях. В посте конца декабря 2024 года Haby открыто упомянул о краже XRP на сумму 44 000 долларов у одного из своих жертв.

Это публичное заявление стало той ниточкой, которую следователи смогли потянуть. Сопоставляя адрес назначения кошелька с историческими данными транзакций, ZachXBT систематически связал несколько сообщений о жертвах с одним и тем же преступником. Анализ показал, что Haby нацеливался на множество владельцев аккаунтов Coinbase, и каждое преступление следовало похожему сценарию. Как отметил ZachXBT в итогах расследования, «Обширные доказательства в этом деле делают его необычайно легким для правоохранительных органов», что свидетельствует о том, что цифровые следы были достаточно полными для поддержки обвинения.

От подсказок в соцсетях к реальному месту нахождения

Особенно показательным в этом деле было то, насколько много личной информации Haby беззаботно делился на различных платформах. Его аккаунты в Telegram и Instagram содержали скриншоты балансов кошельков, необычные регистрации имен пользователей и модели расходов, которые казались несоответствующими легитимным источникам дохода. Эти цифровые следы создали портрет человека, наслаждающегося внезапным, необъяснимым богатством.

Следователи соединили эти подсказки из соцсетей с географическими метаданными, чтобы сузить его местоположение до Абботсфорда, Британская Колумбия. Совмещение публичных постов, времени транзакций и логов активности платформ создало географический профиль, который было трудно скрыть. Пострадавшие пользователи Coinbase, ставшие жертвами этого мошенничества, представляли собой определенную целевую аудиторию, что указывало на то, что злоумышленник изучил и приоритезировал аккаунты с высоким уровнем ценности перед началом операции.

Как украденные средства отмывались через криптовалюту

Технический анализ перемещения средств выявил сложный процесс отмывания денег. Украденные токены XRP быстро конвертировались в Bitcoin с помощью сервисов мгновенного обмена — распространенной тактики для скрытия криминального происхождения средств. Затем Bitcoin разбивался на несколько кошельков, что значительно усложняло их отслеживание.

Особенно вредным оказалось то, что части этих украденных средств затем поступали на онлайн-казино — поведенческий паттерн, который непреднамеренно оставлял дополнительные судебные доказательства. Каждая транзакция, временная метка и промежуточный кошелек служили еще одним элементом расследования. Анализ на блокчейне ясно показал: систематическая нацеленность на пользователей Coinbase, быстрое конвертирование средств, попытки отмывания денег и подозрительные конечные цели указывали на одного и того же преступника.

Усиливающаяся угроза безопасности: борьба Coinbase с захватом аккаунтов

Мошенническая операция Haby на сумму более 2 миллионов долларов — лишь одна из проявлений более широкой кризисной ситуации, затрагивающей Coinbase и подобные платформы. Биржа столкнулась с ростом попыток мошенничества с имитацией в 2025 и 2026 годах. Значительным катализатором стала утечка данных внутри компании в 2025 году, которая скомпрометировала чувствительную информацию примерно 70 000 клиентов с высоким уровнем дохода, включая имена, адреса электронной почты и номера телефонов — именно те данные, необходимые для проведения убедительных фишинговых кампаний.

В ответ на эту проблему Coinbase активно мобилизовалась. Платформа объявила о фонде вознаграждений в размере 20 миллионов долларов и взяла на себя обязательство возместить всем подтвержденным жертвам убытки. Позже в том же году правоохранительные органы успешно арестовали Рональда Спектра, который организовал аналогичные схемы захвата аккаунтов, похитив у 100 пользователей Coinbase 16 миллионов долларов. Спектр использовал тот же сценарий: используя украденные данные клиентов, он выдавал себя за поддержку Coinbase и убеждал жертв разрешить несанкционированные переводы средств.

Эти скоординированные мошеннические группы демонстрируют, что угроза для пользователей Coinbase продолжает эволюционировать. Пока биржи укрепляют техническую защиту, человеческий фактор — фишинг, социальная инженерия и имитация — остается основным вектором атак. И клиенты, и платформа должны применять многоуровневые меры безопасности, включая использование аппаратных кошельков, расширенные методы аутентификации и повышенную бдительность к любым нежелательным сообщениям, претендующим на официальную поддержку.