Un escroc se faisant passer pour le service client de Coinbase a dérobé plus de 2 millions de dollars en cryptomonnaies

Un escroc se faisant passer pour un membre du personnel de support de Coinbase a détourné plus de 2 millions de dollars en cryptomonnaie en 2025 en orchestrant des attaques d'ingénierie sociale.

L'enquêteur blockchain ZachXBT a démasqué le cybercriminel canadien, connu sous les pseudonymes de Haby ou Havard, grâce à l'analyse de la blockchain et à des preuves issues des réseaux sociaux. L'escroc contactait les utilisateurs de Coinbase en se faisant passer pour le service client, puis les incitait à transférer des fonds vers des portefeuilles qu'il contrôlait.

ZachXBT tracles vols grâce à l'analyse de la blockchain.

L'enquête a débuté le 30 décembre 2024, lorsque Haby a publié une capture d'écran montrant le XRP vol ZachXBT a établi un lien entre l'adresse du portefeuille et deux autres vols commis chez des utilisateurs de Coinbase, pour un montant total d'environ 500 000 $. L'analyse a révélé que Haby avait converti XRP en Bitcoin via des plateformes d'échange instantané.

9/ D'autres captures d'écran de son compte Instagram révèlent d'autres vols par ingénierie sociale.

Une publication a fuité : « De "le MacBook Air de Harvi" »

Une personne de leur conversation lui a même conseillé d'arrêter de se vanter aussi souvent. pic.twitter.com/YJQlbxTfyK

— ZachXBT (@zachxbt) 29 décembre 2025

Grâce à une analyse temporelle, ZachXBT tracla piste de l'adresse Bitcoin de Haby. En février 2025, Haby avait partagé des captures d'écran dans une conversation de groupe montrant un portefeuille contenant 237 000 $.

Le Bitcoindentdent dentdentdentdent dentdentTracTrac TracTracTracTrac TracTracdu support Coinbase vols par usurpation d'identité pour un montant total de plus de 560 000 $.

L'enquêteur a établi un lien entre les portefeuilles et Haby grâce à des informations divulguées sur les réseaux sociaux et des enregistrements d'écran. Une vidéo divulguée montrait Haby menant une opération d'ingénierie sociale par téléphone auprès d'une victime.

L'enregistrement d'écran a révélé son adresse e-mail et son compte Telegram. D'autres captures d'écran Instagram ont montré des publications se vantant de vols par ingénierie sociale. Une story indiquait « Depuis le MacBook Air de Harvi » dans les informations de l'appareil.

L'escroc opérait avec une sécurité opérationnelle défaillante

Haby publiait régulièrement des stories et des selfies sur les réseaux sociaux, exhibant son train de vie financé par des cryptomonnaies volées. Ses publications montraient l'achat de noms d'utilisateur Telegram onéreux, d'articles de luxe, de services de bouteilles et de dépenses de jeux. Un membre de son groupe de discussion lui a conseillé de cesser de publier aussi fréquemment des informations sur ses activités.

L'escroc semblait se soucier peu de la sécurité de ses opérations. L'analyse de ses réseaux sociaux a révélé qu'il se trouvait à Abbotsford, près de Vancouver, en Colombie-Britannique. Les renseignements en sources ouvertes (OSINT) obtenus à partir de ses publications ont confirmé sa localisation.

Haby achetait fréquemment des noms d'utilisateur Telegram coûteux et a supprimé son dernier compte deux jours avant la publication de l'enquête. Des comptes précédents ont révélé son alias dans diverses conversations, confirmant ainsi l'authenticité des captures d'écran divulguées.

Les arnaques par usurpation d'identité du support Coinbase ont connu une recrudescence en 2025

L'année 2025 a été particulièrement difficile pour les utilisateurs de Coinbase. Les pirates sont passés du phishing traditionnel au ciblage de précision grâce à l'utilisation de données volées dans les systèmes d'assistance de Coinbase. Une fuite de données interne survenue en mai 2025 a permis la mise en œuvre d'escroqueries par usurpation d'identité très efficaces tout au long de l'année.

Il s'agissait de corruption perpétrée par des cybercriminels qui avaient recruté des agents de support client à l'étranger, principalement à Hyderabad, en Inde, pour dérober des données internes. Les informations compromises comprenaient les noms, adresses électroniques, numéros de téléphone, adresses postales, images de pièces d'identité officielles et soldes de comptes en temps réel.

Les attaquants n'ont pas accédé directement aux clés privées ni aux mots de passe. Au total, environ 1 % des utilisateurs de Coinbase ont été ciblés, soit près de 70 000 clients importants.

Les pirates ont exigé une rançon de 20 millions de dollars en échange de la suppression des données volées. Coinbase a refusé de payer la rançon, a offert une prime de 20 millions de dollars pour la capture des pirates et a remboursé les victimes.

Plusieurs arrestations ont eu lieu en décembre 2025

L'activité des forces de l'ordre a atteint son apogée en décembre 2025 avec plusieurs arrestations liées à des escroqueries par usurpation d'identité de Coinbase. Ronald Spektor, de Brooklyn (New York), a été inculpé pour avoir dérobé 16 millions de dollars à une centaine d'utilisateurs.

Sa méthode consistait à utiliser des données clients volées pour se faire passer pour le « Support Elite » de Coinbase et alerter les utilisateurs de transactions non autorisées en cours. Il incitait ses victimes à transférer leurs fonds vers un « coffre-fort sécurisé » qui était en réalité un portefeuille qu'il contrôlait.

La police indienne a arrêté le 29 décembre 2025 un ancien agent du service client de Coinbase, impliqué dans le vol de données de mai. Cette arrestation a confirmé la thèse de la corruption d'un employé et a constitué la première action policière d'envergure contre la source de la fuite de données.