Ein Betrüger, der sich als Supportmitarbeiter von Coinbase ausgab, ergaunerte im Jahr 2025 Kryptowährung im Wert von über 2 Millionen Dollar durch Social-Engineering-Angriffe.
Der Blockchain-Ermittler ZachXBT entlarvte den kanadischen Angreifer Haby oder Havard mithilfe von On-Chain-Analysen und Social-Media-Beweisen. Der Betrüger rief Coinbase-Nutzer mit Telefonnummern an, die angeblich vom Kundensupport stammten, und forderte die Opfer anschließend auf, Gelder an Wallets zu überweisen, die von den Angreifern kontrolliert wurden.
ZachXBT tracDiebstahl mittels Blockchain-Analyse auf.
Die Ermittlungen begannen, nachdem Haby am 30. Dezember 2024 einen Screenshot veröffentlichte, der den Diebstahl XRP ZachXBT konnte die Wallet-Adresse mit zwei weiteren Diebstählen von Coinbase-Nutzern in Verbindung bringen, XRP über Sofortbörsen in Bitcoin getauscht hatte
9/ Zusätzliche Screenshots von seinem Instagram-Profil zeigen weitere Diebstähle durch Social Engineering.
Ein Story-Beitrag wurde durchgesickert: „Von Harvis MacBook Air“
Jemand aus dem Chat riet ihm sogar, nicht mehr so oft anzugeben. pic.twitter.com/YJQlbxTfyK
— ZachXBT (@zachxbt) 29. Dezember 2025
Mithilfe einer Zeitanalyse konnte ZachXBT Habys Bitcoin -Adresse trac. Im Februar 2025 hatte Haby Screenshots in einem Gruppenchat geteilt, die eine Wallet mit 237.000 US-Dollar zeigten.
Der Bitcoin Kontostand der dent Adresse stimmte mit den Screenshots vom 1. Februar 2025 überein. Trac Rückverfolgung von dieser Adresse deckte drei weitere von Identitätsdiebstahl , bei denen es zu einem Gesamtschaden von über 560.000 US-Dollar kam.
Der Ermittler konnte die Wallets anhand durchgesickerter Informationen in Social-Media-Posts und Bildschirmaufnahmen mit Haby in Verbindung bringen. Ein durchgesickertes Video zeigte Haby bei einem Social-Engineering-Anruf mit einem potenziellen Opfer.
Die Bildschirmaufnahme enthüllte seine E-Mail-Adresse und seinen Telegram-Account. Weitere Instagram-Screenshots zeigten Beiträge, in denen er mit Social-Engineering-Diebstählen prahlte. In einer Story stand in den Geräteinformationen: „Von Harvis MacBook Air“.
Der Betrüger agierte mit mangelhafter Betriebssicherheit
Haby postete regelmäßig Stories und Selfies auf Social-Media-Plattformen, die seinen mit gestohlener Kryptowährung finanzierten Lebensstil zur Schau stellten. Die Posts zeigten den Kauf teurer Telegram-Benutzernamen, Luxusartikel, VIP-Service und Glücksspielausgaben. Ein Mitglied seiner Chatgruppe riet ihm, nicht mehr so häufig über seine Aktivitäten zu posten.
Der Betrüger schien wenig Wert auf operative Sicherheit zu legen. Analysen seiner sozialen Medien ergaben seinen Standort in Abbotsford, in der Nähe von Vancouver, British Columbia. Recherchen auf Basis seiner Story-Beiträge bestätigten diesen Standort.
Haby kaufte häufig teure Telegram-Benutzernamen und löschte seinen letzten Account zwei Tage vor Veröffentlichung der Untersuchung. Frühere Accounts zeigten seinen Alias in verschiedenen Chats, was die Echtheit der durchgesickerten Screenshots bestätigte.
Coinbase-Support-Betrugsfälle eskalierten im Jahr 2025
Das Jahr 2025 stellte für Coinbase-Nutzer eine erhebliche Herausforderung dar. Angreifer gingen von traditionellem Phishing zu gezieltem Vorgehen über, indem sie Daten aus den Coinbase -Supportsystemen erbeuteten. Ein Insider-Datendiebstahl im Mai 2025 ermöglichte das ganze Jahr über äußerst effektive Identitätsdiebstähle.
Dabei handelte es sich um Bestechung durch Cyberkriminelle, die Kundendienstmitarbeiter im Ausland, hauptsächlich in Hyderabad, Indien, anheuerten, um interne Daten zu stehlen. Zu den gestohlenen Informationen gehören Namen, E-Mail-Adressen, Telefonnummern, Wohnadressen, Bilder von amtlichen Ausweisen und Kontostände in Echtzeit.
Die Angreifer gelangten nicht direkt an die privaten Schlüssel und Passwörter. Insgesamt waren etwa 1 % der Coinbase-Nutzer betroffen, was ungefähr 70.000 vermögenden Kunden entspricht.
Die Angreifer forderten 20 Millionen US-Dollar Lösegeld für die Löschung der gestohlenen Daten. Coinbase lehnte die Lösegeldforderung ab, setzte eine Belohnung von 20 Millionen US-Dollar für die Ergreifung der Angreifer aus und erstattete den betroffenen Opfern den gezahlten Betrag.
Im Dezember 2025 kam es zu mehreren Verhaftungen
Die Ermittlungen der Strafverfolgungsbehörden erreichten im Dezember 2025 mit mehreren Verhaftungen im Zusammenhang mit Coinbase-Betrugsfällen ihren Höhepunkt. Ronald Spektor aus Brooklyn, New York, wurde angeklagt, 16 Millionen Dollar von etwa 100 Nutzern gestohlen zu haben.
Seine Vorgehensweise bestand darin, gestohlene Kundendaten zu verwenden, um sich als Mitarbeiter des Coinbase-„Elite-Supports“ auszugeben und die Nutzer vor anstehenden unautorisierten Transaktionen zu warnen. Er wies die Opfer an, Gelder in einen „sicheren Tresor“ zu transferieren, der in Wirklichkeit eine von ihm kontrollierte Wallet war.
Die indische Polizei verhaftete am 29. Dezember 2025 einen ehemaligen Mitarbeiter des Coinbase-Supports im Zusammenhang mit dem Datendiebstahl vom Mai. Die Verhaftung bestätigte die Theorie der Bestechung durch einen Insider und war die erste bedeutende polizeiliche Maßnahme gegen die Quelle des Datenlecks.
