ZachXBT ontmaskert "Canadese" oplichter die $2 miljoen stal via nep Coinbase-ondersteuning

Blockchain-onderzoeker ZachXBT heeft een in Canada gevestigde oplichter ontmaskerd die naar verluidt meer dan $2 miljoen aan cryptocurrency heeft gestolen door zich voor te doen als Coinbase-klantenondersteuning, wat bijdraagt aan een groeiende lijst van social engineering-zaken gericht op gebruikers van grote beurzen.

In een reeks berichten op X zei ZachXBT dat de vermeende oplichter, geïdentificeerd onder de alias "Haby" of "Havard," meer dan een jaar lang deed alsof hij een Coinbase helpdesk-medewerker was en gebruikers ertoe verleidde om geld over te maken.

ZachXBT spoort Coinbase-oplichter op via screenshots en wallet-gegevens

Volgens de onderzoeker vertrouwde de verdachte op klassieke social engineering-tactieken in plaats van technische exploits, waarbij hij slachtoffers manipuleerde om te geloven dat hun accounts werden bedreigd en onmiddellijke interventie nodig hadden.

ZachXBT zei dat hij de activiteit kon traceren door screenshots die in Telegram-groepschats, sociale media-berichten en on-chain transactiegegevens werden gedeeld, kruislings te verwijzen.

In een geval, gedateerd 30 december 2024, plaatste de vermeende oplichter een screenshot waarin hij pochte over een diefstal van 21.000 XRP, ter waarde van ongeveer $44.000 op dat moment, afkomstig van een Coinbase-gebruiker.

Verdere analyse koppelde dat XRP-adres aan aanvullende Coinbase-gerelateerde diefstallen ter waarde van ongeveer $500.000.

De onderzoeker zei dat de verdachte gestolen XRP routinematig omzette in bitcoin met behulp van instant exchange-diensten, een zet bedoeld om transactiesporen te verdoezelen.

Door het analyseren van transactietiming en wallet-saldi, zei ZachXBT dat hij een bitcoin-adres identificeerde dat later een saldo van ongeveer $237.000 vertoonde in februari 2025, overeenkomend met screenshots die de verdachte had gedeeld terwijl hij pronkte met zijn geld in privéchats.

Terug traceren vanaf dat adres onthulde nog drie Coinbase-imitatiediefstallen ter waarde van meer dan $560.000.

ZachXBT deelde ook een uitgelekte schermopname die de verdachte vermoedelijk toont tijdens een gesprek met een slachtoffer, waarbij hij zich voordoet als Coinbase-ondersteuning.

In de video is te horen hoe de beller het doelwit begeleidt door wat nepbeveiligingsstappen leken te zijn, terwijl hij onbedoeld een e-mailadres en Telegram-account onthult die aan de operatie zijn gekoppeld.

De verdachte kocht naar verluidt dure Telegram-gebruikersnamen en verwijderde oudere accounts in een poging detectie te ontwijken, hoewel herhaaldelijk online opscheppen de toeschrijving gemakkelijker maakte.

Crypto-gebruikers worden geconfronteerd met stijgende verliezen naarmate social engineering-aanvallen zich verspreiden

De zaak kwam aan het licht toen autoriteiten in India onlangs een voormalige Coinbase-klantenondersteuningsmedewerker in Hyderabad arresteerden vanwege een afzonderlijke datalek die bijna 70.000 gebruikers trof.

Coinbase-CEO Brian Armstrong zei dat de inbreuk voortkwam uit een omkoopregeling gericht op offshore-ondersteuningspersoneel en resulteerde in ongeveer $307 miljoen aan herstel- en terugbetalingskosten.

Coinbase weigerde een losgeld van $20 miljoen te betalen dat aan het incident was gekoppeld en lanceerde in plaats daarvan een bounty-programma om onderzoeken te ondersteunen.

Social engineering-oplichting zoals die door ZachXBT wordt beschreven, begint doorgaans met ongevraagde telefoontjes, sms-berichten of e-mails die lijken te komen van een legitiem bedrijf.

Oplichters creëren vaak urgentie door te beweren dat er verdachte activiteit is geweest of een dreigend accountcompromis, en zetten vervolgens slachtoffers onder druk om inloggegevens of tweefactorauthenticatiecodes te onthullen of geld over te maken naar wallets die door de aanvaller worden beheerd.

De onthulling van de vermeende Canadese oplichter volgt op andere recente handhavingsacties. In de Verenigde Staten hebben aanklagers een 23-jarige inwoner van Brooklyn aangeklaagd voor het stelen van ongeveer $16 miljoen van ongeveer 100 Coinbase-gebruikers via een vergelijkbare imitatieregeling.

Dat onderzoek was ook gebaseerd op blockchain-analyse en resulteerde in de inbeslagname van contant geld en digitale activa, waarbij herstelwerkzaamheden nog gaande zijn.

Sectorgegevens tonen aan dat cryptodiefstal wijdverbreid blijft, met meer dan $3,4 miljard gestolen in de hele sector tussen januari en begin december 2025.

Beveiligingsexperts blijven gebruikers aandringen om niet te reageren op ongevraagde berichten, nooit wachtwoorden of herstelzinnen te delen, en alleen contact op te nemen met ondersteuning via officiële websites of apps.