Як дослідники на блокчейні викрили шахрайську групу з підробки $2M Coinbase

У складній схемі, яка висвітлює вразливості у безпеці крипто-платформ, канадський шахрай успішно обдурив користувачів Coinbase на суму понад 2 мільйони доларів. Діючи з Абботсфорда поблизу Ванкувера, зловмисник — відомий онлайн як “Haby” або “Harvard” — видавав себе за офіційний співробітник підтримки Coinbase, щоб отримати несанкціонований доступ до акаунтів жертв. За допомогою ретельно спланованих фішингових атак і соціальної інженерії він систематично компрометував облікові дані користувачів і виводив криптовалютні активи.

Цифровий слід, що привів до Haby

Розкриття цієї кримінальної операції почалося з ретельної детективної роботи в блокчейні від ZachXBT, відомого аналітика блокчейну, який спеціалізується на відстеженні незаконних рухів коштів. Прорив стався, коли шахрай зробив критичну помилку: похвалився своєю діяльністю у соцмережах. У публікації наприкінці грудня 2024 року Haby відкрито згадав про крадіжку XRP на суму 44 000 доларів у однієї з жертв.

Це публічне зізнання дало слідчим нитку, яку можна було витягнути. Перевіряючи адресу гаманця отримувача з історичними даними транзакцій, ZachXBT систематично зв’язав кілька повідомлень жертв із одним і тим самим зловмисником. Аналіз показав, що Haby націлювався на численних власників акаунтів Coinbase, і кожен випадок слідував подібному сценарію. Як зазначив ZachXBT у підсумку розслідування, “Обширні докази у цій справі роблять її надзвичайно легкою для правоохоронних органів”, натякаючи, що цифрові сліди були достатньо повними для підтримки обвинувачення.

Від підказок у соцмережах до реального місцезнаходження

Що зробило цю справу особливо розкриваючою, так це те, скільки особистої інформації Haby необережно поширював на різних платформах. Його акаунти у Telegram та Instagram містили скріншоти балансів гаманців, незвичайні реєстрації імен користувачів і патерни витрат, що здавалися несумісними з легальним доходом. Ці цифрові крихти малювали портрет людини, яка раптово отримала незрозуміле багатство.

Дослідники зібрали ці підказки із соцмереж разом із географічними метаданими, щоб звузити його фізичне місцезнаходження до Абботсфорда, Британська Колумбія. Поєднання публічних постів, часу транзакцій і логів активності платформи створили географічний профіль, який було важко приховати. Постраждалі користувачі Coinbase від цієї афери становили цільову демографію, що свідчить про те, що зловмисник досліджував і пріоритетизував акаунти з високою вартістю перед початком операції.

Як викрадені кошти відмивалися через криптовалюту

Технічний аналіз руху коштів показав складний процес відмивання грошей. Викрадені токени XRP швидко конвертувалися у Bitcoin за допомогою сервісів миттєвого обміну — поширена тактика для приховування кримінального походження коштів. Звідти Bitcoin розподілявся по кількох адресах гаманців, що значно ускладнювало традиційне відстеження.

Що особливо нашкодило, так це те, що частина викрадених коштів потрапляла на онлайн-ігрові платформи — поведінковий патерн, який випадково залишив додаткові сліди для криміналістичних досліджень. Кожна транзакція, час і проміжний гаманець ставали ще одним елементом у розслідуванні. Аналіз у блокчейні дав чітку картину: систематичне націлювання користувачів Coinbase, швидка конвертація коштів, спроби відмивання грошей і підозрілі кінцеві цілі — усе це вказувало на одного й того самого злочинця.

Зростаючі загрози безпеці: боротьба Coinbase із захопленням акаунтів

Операція шахрайства Haby на 2 мільйони доларів — лише один прояв ширшої кризи, що впливає на Coinbase та подібні платформи. Біржа стикнулася з зростаючими спробами імітаційних шахрайств протягом 2025 і 2026 років. Значним каталізатором стала внутрішня витік даних 2025 року, яка скомпрометувала конфіденційну інформацію близько 70 000 клієнтів із високим рівнем статків, включаючи імена, електронні адреси та номери телефонів — саме ті дані, необхідні для проведення переконливих фішингових кампаній.

У відповідь на цю безпекову провал, Coinbase активізувалася. Платформа оголосила фонд винагороди у 20 мільйонів доларів і пообіцяла відшкодувати всіх підтверджених жертв. Пізніше того ж року правоохоронці успішно заарештували Рональда Спектра, який організовував подібні схеми захоплення акаунтів, викравши 16 мільйонів доларів у 100 користувачів Coinbase. Спектр використовував той самий сценарій: використання викрадених даних клієнтів для видачі себе за підтримку Coinbase і переконання жертв дозволити несанкціоновані перекази коштів.

Ці скоординовані шахрайські групи демонструють, що загроза для користувачів Coinbase продовжує зростати. Хоча біржі посилюють технічний захист, людський фактор — фішинг, соціальна інженерія і видавання себе — залишається основним вектором атак. Як клієнти, так і платформа мають впроваджувати багаторівневі підходи до безпеки, включаючи використання апаратних гаманців, передові методи автентифікації та підвищену обережність щодо будь-яких непрошених повідомлень, що нібито представляють офіційну підтримку.