Il famoso investigatore crypto ZachXBT ha affermato che un “threat actor canadese” ha rubato oltre 2 milioni di dollari in criptovalute tramite truffe di social engineering che impersonavano il supporto di Coinbase.
Questo caso mette in luce una tendenza preoccupante: gli attacchi che prendono di mira il comportamento umano rappresentano ora una minaccia significativa nell’ecosistema Web3, causando perdite considerevoli per tutto il 2025.
SponsoredDentro l’operazione di truffa crypto da 2 milioni di dollari
In un approfondito thread pubblicato su X (ex Twitter), ZachXBT ha condiviso screenshot di Telegram, post sui social e transazioni di wallet per sostenere le sue affermazioni sulla persona identificata come Haby (Havard).
“Vi presento Haby (Havard), un threat actor canadese che ha rubato oltre 2 milioni di dollari tramite truffe di social engineering che impersonavano il supporto di Coinbase nell’ultimo anno, sperperando i fondi in username social rari, servizio bottiglia e gioco d’azzardo”, ha scritto l’investigatore.
L’indagine di ZachXBT ha ripercorso le attività del presunto truffatore dalla fine del 2024. L’investigatore ha condiviso uno screenshot presumibilmente pubblicato da Haby a dicembre 2024, relativo al furto di 21.000 XRP, per un valore di circa 44.000 dollari, ai danni di un utente di Coinbase.
SponsoredUlteriori analisi dei wallet hanno collegato un indirizzo Bitcoin attribuito al presunto truffatore ad altri furti per oltre 560.000 dollari. Le chat di gruppo analizzate da ZachXBT mostravano l’individuo vantarsi dei propri saldi sui wallet, tra cui circa 237.000 dollari a febbraio 2025.
Un video trapelato sembrava anche mostrare l’individuo mentre effettuava attivamente una chiamata di social engineering. Il video rivelava anche un indirizzo email e alcuni handle Telegram riconducibili alla stessa identità online.
“Ulteriori screenshot presi dal suo profilo IG mostrano altri furti tramite social engineering. In una storia è trapelata la scritta ‘Harvi’s MacBook Air.’ Una persona nella chat gli ha persino consigliato di smettere di ostentare così spesso,” si legge nel post.
Nonostante l’ampiezza dei furti, Haby ha dimostrato scarsa attenzione per la sicurezza operativa. L’investigatore ha documentato come il truffatore pubblicasse selfie e post in cui sfoggiava il proprio stile di vita. Infine, ZachXBT ha esortato le autorità canadesi a intervenire.
“Le forze dell’ordine canadesi potrebbero già conoscere Haby, visto che ci sono stati diversi tentativi di swatting che riguardano suoi dati personali a livello locale. Sfortunatamente, il Canada è una giurisdizione che raramente persegue i threat actor della Com. Spero che la polizia canadese faccia un’eccezione, dato che Haby non mostra alcun rimorso per le vittime e il caso è piuttosto semplice grazie alla grande quantità di prove disponibili,” ha scritto.
La security Web3 sotto pressione mentre aumentano le truffe di social engineering
Questo caso riflette una crisi di sicurezza più ampia nell’industria delle criptovalute. I threat actor fanno sempre più affidamento sul social engineering invece che su exploit puramente tecnici, usando l’impersonificazione di brand per acquisire credibilità e attirare le vittime. In una recente campagna di phishing, gli attaccanti si sono finti Booking.com per promuovere un finto summit crypto a Dubai.
All’inizio del mese, BeInCrypto ha riportato che i threat actor nordcoreani si stavano spacciando per importanti figure del settore in finte riunioni su Zoom e Microsoft Teams per rubare oltre 300 milioni di dollari.
Separatamente, a dicembre 2025, le autorità indiane hanno effettuato perquisizioni in 21 luoghi tra Karnataka, Maharashtra e Delhi, smantellando uno schema Ponzi crypto attivo da dieci anni. L’operazione su più stati ha portato alla luce piattaforme fraudolente, incentivi basati su referral e strategie di marketing aggressivo sui social media usate per attirare vittime dal 2015.
Questi episodi rivelano una realtà fondamentale: accanto alle vulnerabilità tecniche, la psicologia umana è diventata il bersaglio principale degli attacchi. Gli attaccanti, infatti, manipolano sempre più spesso la fiducia, l’autorità e l’urgenza invece di sfruttare il codice.
Questo cambiamento emerge anche in un report del 2025 di Kerberus, azienda di sicurezza Web3, che ha rivelato come il comportamento umano sia oggi il rischio principale nell’ecosistema Web3.
