Một kẻ lừa đảo giả danh nhân viên hỗ trợ Coinbase đã chiếm đoạt hơn 2 triệu USD tiền điện tử trong năm 2025 bằng các cuộc tấn công social engineering nhắm trực tiếp vào người dùng.
Nhà điều tra blockchain ZachXBT cho biết thủ phạm (bí danh Haby hoặc Havard) dùng số điện thoại mạo danh tổng đài hỗ trợ, rồi hướng nạn nhân chuyển crypto vào ví do kẻ tấn công kiểm soát. Dấu vết on-chain và bằng chứng mạng xã hội là yếu tố then chốt để lần ra danh tính.
- ZachXBT lần theo dòng tiền on-chain và bằng chứng OSINT để liên kết nhiều vụ trộm với cùng một đối tượng.
- Thủ đoạn chính là mạo danh “Coinbase Support”, dụ nạn nhân tự chuyển tài sản sang ví của kẻ lừa đảo.
- Năm 2025 ghi nhận làn sóng lừa đảo leo thang do dữ liệu nội bộ bị đánh cắp, kéo theo nhiều vụ bắt giữ vào tháng 12.
ZachXBT lần theo vụ trộm bằng phân tích blockchain
ZachXBT đối chiếu địa chỉ ví, thời điểm giao dịch và hành vi hoán đổi tài sản để liên kết nhiều vụ trộm Coinbase với cùng một kẻ mạo danh hỗ trợ, qua đó ước tính tổng số tiền bị chiếm đoạt vượt 2 triệu USD trong năm 2025.
Điểm khởi đầu là ngày 30/12/2024, khi Haby đăng ảnh chụp màn hình thể hiện vụ trộm 21.000 XRP trị giá khoảng 44.000 USD từ một người dùng Coinbase. Từ dữ liệu on-chain, ZachXBT đối chiếu địa chỉ ví này với hai vụ trộm khác của người dùng Coinbase, tổng thiệt hại xấp xỉ 500.000 USD.
Phân tích dòng tiền cho thấy XRP bị đánh cắp đã được đổi sang Bitcoin thông qua các dịch vụ hoán đổi tức thì. Việc “chuyển đổi tài sản” ngay sau khi chiếm đoạt là dấu hiệu thường gặp nhằm làm mờ đường đi của tiền điện tử và giảm khả năng bị nạn nhân phong tỏa kịp thời.
Bằng phân tích thời gian, ZachXBT truy ra một địa chỉ Bitcoin liên quan đến Haby. Trong tháng 02/2025, Haby từng chia sẻ ảnh chụp trong nhóm chat cho thấy một ví chứa 237.000 USD. Số dư Bitcoin tại địa chỉ được xác định trùng khớp với ảnh chụp màn hình ngày 01/02/2025.
Khi lần ngược từ địa chỉ Bitcoin này, ZachXBT phát hiện thêm ba vụ mạo danh hỗ trợ Coinbase với tổng thiệt hại hơn 560.000 USD. Việc “truy ngược” giúp nối chuỗi giao dịch về các điểm nhận tiền ban đầu, từ đó phân cụm hoạt động theo cùng thực thể kiểm soát.
Nhà điều tra còn liên kết các ví với Haby nhờ thông tin rò rỉ trong bài đăng mạng xã hội và video quay màn hình. Một đoạn video bị lộ cho thấy Haby trực tiếp thực hiện cuộc gọi social engineering với mục tiêu; bản ghi màn hình để lộ email và tài khoản Telegram.
“9/ Các ảnh chụp màn hình bổ sung từ Instagram của hắn khoe thêm nhiều vụ trộm social engineering. Một story còn để lộ ‘From Harvi’s MacBook Air’. Trong chat, có người khuyên hắn nên ngừng khoe khoang quá thường xuyên.”
– ZachXBT, bài đăng trên X (2025)
Kẻ lừa đảo để lộ dấu vết do kỷ luật an ninh kém
Haby thường xuyên khoe lối sống trên mạng xã hội, vô tình để lại nhiều manh mối định danh như thiết bị, tài khoản và vị trí, giúp OSINT củng cố liên kết giữa con người thật và các ví nhận tiền từ những vụ lừa đảo.
Theo tổng hợp, Haby đăng story và selfie thể hiện khoản chi từ tiền điện tử bị đánh cắp, gồm mua username Telegram đắt đỏ, hàng xa xỉ, “bottle service” và chi phí cờ bạc. Trong nhóm chat của hắn, một thành viên còn khuyên nên dừng đăng tải quá thường xuyên để tránh bị lần ra.
Dấu vết địa lý từ phân tích mạng xã hội cho thấy vị trí của Haby ở Abbotsford, gần Vancouver (British Columbia, Canada). Các bước OSINT trên story posts được cho là đã xác nhận thông tin vị trí này.
Haby cũng được ghi nhận thường mua các username Telegram đắt tiền và xóa tài khoản mới nhất hai ngày trước khi báo cáo điều tra được công bố. Các tài khoản trước đó vẫn thể hiện bí danh của hắn trong nhiều nhóm chat, giúp tăng độ tin cậy cho các ảnh chụp màn hình rò rỉ.
Lừa đảo mạo danh hỗ trợ Coinbase leo thang trong năm 2025
Năm 2025, lừa đảo chuyển từ phishing đại trà sang nhắm mục tiêu chính xác nhờ dữ liệu bị đánh cắp từ hệ thống hỗ trợ, khiến các cuộc gọi mạo danh “Coinbase Support” thuyết phục hơn và khó phân biệt hơn đối với người dùng.
Bối cảnh được mô tả là sau một vụ rò rỉ dữ liệu nội bộ vào tháng 05/2025, các chiến dịch mạo danh diễn ra hiệu quả trong suốt năm. Thủ đoạn được nêu gồm hối lộ để thuê/điều khiển nhân sự hỗ trợ khách hàng ở nước ngoài, chủ yếu tại Hyderabad (Ấn Độ), nhằm đánh cắp dữ liệu nội bộ.
Thông tin bị xâm phạm bao gồm: tên, email, số điện thoại, địa chỉ nhà, ảnh giấy tờ tùy thân, và số dư tài khoản theo thời gian thực. Đây là loại dữ liệu đủ để kẻ tấn công tạo kịch bản “xác minh tài khoản”, dựng tình huống giao dịch trái phép, rồi thúc ép nạn nhân chuyển tiền điện tử.
Những kẻ tấn công được cho là không truy cập trực tiếp private key và mật khẩu. Khoảng 1% người dùng Coinbase bị nhắm mục tiêu, tương đương khoảng 70.000 khách hàng giá trị cao. Nhóm tấn công đòi 20 triệu USD tiền chuộc để xóa dữ liệu; Coinbase từ chối, lập mức thưởng 20 triệu USD cho thông tin về kẻ tấn công và hoàn tiền cho nạn nhân bị ảnh hưởng.
Nhiều vụ bắt giữ liên quan lừa đảo mạo danh Coinbase trong tháng 12/2025
Tháng 12/2025 ghi nhận cao điểm hoạt động truy quét, với nhiều vụ bắt giữ liên quan các đường dây mạo danh hỗ trợ Coinbase, bao gồm vụ bị cáo buộc chiếm đoạt 16 triệu USD từ khoảng 100 người dùng bằng kịch bản “ví an toàn”.
Tại Brooklyn (New York), Ronald Spektor bị truy tố với cáo buộc lấy 16 triệu USD từ khoảng 100 người dùng. Cách làm được mô tả là sử dụng dữ liệu khách hàng bị đánh cắp để đóng vai “Coinbase Elite Support”, cảnh báo nạn nhân về giao dịch trái phép sắp xảy ra.
Sau đó, đối tượng hướng dẫn người dùng chuyển tiền điện tử sang một “kho an toàn” (secure vault) nhưng thực chất là ví do hắn kiểm soát. Đây là mô-típ phổ biến trong social engineering: tạo cảm giác khẩn cấp, đưa ra “giải pháp” mang tính hướng dẫn từng bước, và khiến nạn nhân tự thực hiện giao dịch.
Tại Ấn Độ, cảnh sát bắt một cựu nhân viên hỗ trợ Coinbase vào ngày 29/12/2025, có liên quan đến vụ đánh cắp dữ liệu tháng 05/2025. Vụ bắt giữ này được xem là hành động thực thi pháp luật đáng chú ý đầu tiên nhắm vào nguồn rò rỉ dữ liệu theo giả thuyết “nội gián bị mua chuộc”.
Những câu hỏi thường gặp
Lừa đảo mạo danh hỗ trợ Coinbase thường hoạt động như thế nào?
Kẻ gian gọi điện bằng số giả mạo tổng đài, tự nhận là Coinbase Support, dựng kịch bản tài khoản gặp rủi ro rồi hướng dẫn nạn nhân chuyển tiền điện tử sang “ví an toàn”. Thực tế, ví đó do kẻ lừa đảo kiểm soát, nên nạn nhân mất tài sản ngay khi tự ký và gửi giao dịch.
ZachXBT đã lần ra thủ phạm bằng cách nào?
ZachXBT kết hợp phân tích on-chain (đối chiếu địa chỉ ví, dòng tiền, thời điểm giao dịch, hành vi đổi XRP sang Bitcoin) với OSINT từ mạng xã hội (ảnh chụp màn hình, video quay màn hình, dấu vết thiết bị và tài khoản) để liên kết nhiều vụ trộm về cùng một đối tượng.
Vì sao năm 2025 các vụ mạo danh lại thuyết phục hơn?
Các chiến dịch được tăng độ chính xác nhờ dữ liệu nội bộ bị đánh cắp, gồm tên, email, số điện thoại, địa chỉ, ảnh giấy tờ và số dư theo thời gian thực. Khi có dữ liệu này, kẻ gian dễ tạo niềm tin và gây áp lực, khiến nạn nhân làm theo hướng dẫn chuyển crypto.
Coinbase có trả tiền chuộc 20 triệu USD để xóa dữ liệu bị đánh cắp không?
Không. Coinbase từ chối yêu cầu tiền chuộc 20 triệu USD, đồng thời nêu việc lập mức thưởng 20 triệu USD cho thông tin về kẻ tấn công và hoàn tiền cho các nạn nhân bị ảnh hưởng.
