Golpista canadense que se passava por suporte da Coinbase é desmascarado por roubo de criptomoedas no valor de US$ 2 milhões

Um golpista que se fazia passar por funcionário de suporte da Coinbase desviou mais de US$ 2 milhões em criptomoedas durante o ano de 2025, aplicando golpes de engenharia social.

O investigador de blockchain ZachXBT expôs o agente de ameaças canadense, conhecido como Haby ou Havard, usando análises on-chain e evidências de mídias sociais. O golpista ligava para usuários da Coinbase com números de telefone que alegavam ser do suporte ao cliente e, em seguida, instruía as vítimas a transferir fundos para carteiras controladas pelos atacantes.

ZachXBT tracroubos através da análise da blockchain.

As investigações começaram quando Haby, em 30 de dezembro de 2024, publicou uma captura de tela mostrando o roubo XRP ZachXBT identificou o endereço da carteira como sendo de outros dois roubos de usuários da Coinbase, totalizando aproximadamente US$ 500.000. A análise mostrou que Haby havia trocado XRP por Bitcoin por meio de exchanges instantâneas.

9/ Capturas de tela adicionais tiradas de seu Instagram mostram mais roubos por meio de engenharia social.

Uma publicação nos stories vazou: "Do MacBook Air do Harvi"

Uma pessoa do chat deles até o aconselhou a parar de se exibir tanto. pic.twitter.com/YJQlbxTfyK

— ZachXBT (@zachxbt) 29 de dezembro de 2025

Por meio de análise de tempo, ZachXBT traco endereço Bitcoin de Haby. Em fevereiro de 2025, Haby compartilhou capturas de tela em um bate-papo em grupo mostrando uma carteira contendo US$ 237.000.

O Bitcoin do dent correspondia às capturas de tela de 1º de fevereiro de 2025. Trac a partir desse endereço, descobrimos três roubos adicionais por falsificação de identidade , totalizando mais de US$ 560.000.

O investigador ligou as carteiras a Haby por meio de informações vazadas em postagens de mídias sociais e gravações de tela. Um vídeo vazado mostrava Haby realizando uma chamada de engenharia social com um alvo.

A gravação de tela expôs o endereço de e-mail e a conta do Telegram dele. Capturas de tela adicionais do Instagram mostraram postagens se gabando de roubos por meio de engenharia social. Uma publicação nos stories revelou a informação "Do MacBook Air do Harvi" nas informações do dispositivo.

O golpista operava com segurança operacional precária

Haby postava regularmente stories e selfies em plataformas de mídia social, exibindo seu estilo de vida financiado por criptomoedas roubadas. As postagens mostravam compras de nomes de usuário caros no Telegram, itens de luxo, serviço de bebidas e gastos com jogos de azar. Um membro de seu grupo de bate-papo o aconselhou a parar de postar sobre suas atividades com tanta frequência.

O golpista parecia não se importar muito com a segurança operacional. A análise das redes sociais revelou sua localização em Abbotsford, perto de Vancouver, na Colúmbia Britânica. A inteligência de código aberto (OSINT) realizada em suas postagens nos Stories confirmou a localização.

Haby comprava frequentemente nomes de usuário caros no Telegram e excluiu sua conta mais recente dois dias antes da publicação da investigação. Contas anteriores mostravam seu pseudônimo em vários chats, confirmando a autenticidade das capturas de tela vazadas.

Golpes de falsificação de identidade do suporte da Coinbase aumentaram em 2025

O ano de 2025 foi bastante desafiador para os usuários da Coinbase. Os atacantes migraram do phishing tradicional para ataques de precisão, utilizando dados roubados dos sistemas de suporte da Coinbase. Uma violação de dados interna em maio de 2025 possibilitou a aplicação de golpes de falsificação de identidade altamente eficazes ao longo do ano.

O esquema envolveu suborno por parte de cibercriminosos que contrataram agentes de suporte ao cliente no exterior, principalmente em Hyderabad, na Índia, para roubar dados internos. As informações comprometidas incluem nomes, e-mails, números de telefone, endereços residenciais, imagens de documentos de identidade emitidos pelo governo e saldos de contas em tempo real.

Os atacantes não acessaram as chaves privadas e senhas diretamente. No geral, cerca de 1% dos usuários da Coinbase foram alvo do ataque, o que corresponde a aproximadamente 70.000 clientes de alto valor.

Os atacantes exigiram um resgate de US$ 20 milhões em troca da exclusão dos dados roubados. A Coinbase recusou a exigência de resgate, ofereceu uma recompensa de US$ 20 milhões pela captura dos atacantes e reembolsou as vítimas afetadas.

Várias prisões ocorreram em dezembro de 2025

A atividade policial atingiu o pico em dezembro de 2025 com diversas prisões relacionadas a golpes de falsificação de identidade na Coinbase. Ronald Spektor, do Brooklyn, Nova York, foi acusado de roubar US$ 16 milhões de aproximadamente 100 usuários.

Sua metodologia envolvia o uso de dados roubados de clientes para se passar pelo "Suporte Elite" da Coinbase e alertar os usuários sobre transações não autorizadas pendentes. Ele orientava as vítimas a transferir fundos para um "cofre seguro" que, na verdade, era uma carteira que ele controlava.

A polícia indiana prendeu um ex-agente de suporte da Coinbase em 29 de dezembro de 2025, ligado ao roubo de dados ocorrido em maio. A prisão confirmou a teoria do suborno de um funcionário interno e representou a primeira grande ação policial contra a fonte do vazamento de dados.

Se você está lendo isso, já está na frente. Acompanhe nossa newsletter .