Мошенник украл $4 млн с Coinbase через фишинг, хвастаясь ими в соцсетях: расследование ZachXBT
В июне 2025 года известный блокчейн-исследователь ZachXBT раскрыл историю масштабного мошенничества, организованного жителем Нью-Йорка по имени Christian Nieves, более известным как “Daytwo” или “PawsOnHips”. Он использовал поддельные звонки от лица представителей Coinbase, чтобы обмануть пользователей и получить доступ к их кошелькам. После серии успешных афер он начал хвастаться результатами в социальных сетях и на платформах вроде Discord, что и привело к его разоблачению.
“Это не первый случай, когда мошенник использует голосовые звонки для манипуляции пользователями, но редко кто оставляет так много следов.” – аналитик CryptoWatch.
🧠 Как работала схема мошенничества?
Nieves создал целый call-центр, где:
- Представлялся сотрудником техподдержки Coinbase;
- Убеждал пользователей установить “обновление безопасности”;
- Просил передать seed-фразы;
- Использовал signature phishing, чтобы получить доступ к DeFi-активам;
- Затем переводил средства через Roobet и Tornado Cash.
Особенность этой аферы — мошенник активно делился успехами в виде чатов, записей звонков и даже видео с покупкой люксовых товаров. Это позволило ZachXBT собрать достаточно доказательств для публичного разоблачения.
🪙 Кто такой Christian Nieves и почему он стал известен?
Согласно расследованию, Christian Nieves (Daytwo) действовал:
- Под псевдонимом PawsOnHips;
- Целью были владельцы Coinbase-кошельков;
- Он лично участвовал в звонках, чтобы выглядеть более правдоподобно;
- Хвастался своими победами в Telegram и Discord;
- Даже делал ставки на Roobet, используя украденные средства.
Его действия были замечены благодаря слишком открытому поведению — он не скрывал личность, показывал своё лицо и говорил о деталях своих операций.
💣 Подробности аферы: как он обманул жертв?
Основной метод — социальная инженерия:
- Направленные звонки “от Coinbase”;
- Требование установить “обновление безопасности”;
- Получение seed-фразы или private key;
- Перевод средств на свои адреса;
- Конвертация части токенов в Monero (XMR) для отмывки;
- Ставки на Roobet и вывод через OTC-каналы.
По данным ThreatFabric, один из эпизодов затронул пожилого человека, который потерял $240K — крупнейший единичный ущерб за последний месяц.
📊 Где проходила основная масса перевода?
| Платформа |
Доля украденных средств |
Метод отмывания |
| Roobet |
~$2.1 млн |
Гемблинг и вывод через BTC |
| Tornado Cash forks |
~$900 тыс |
Смешивание и повторное использование |
| Telegram OTC |
~$600 тыс |
Прямые продажи за fiat |
| Darknet market’ы |
~$400 тыс |
Покупка запрещённых товаров |
Эти данные взяты из расследования Chainalysis и подтверждений ZachXBT. Всего было задействовано более 30 адресов, связанных с Daytwo.
🧩 Как ZachXBT нашёл и разоблачил мошенника?
Расследование стало возможным благодаря:
- Discord-переписке;
- Голосовым записям;
- Связям между кошельками и доменами;
- Roobet-аккаунт “pawsonhips”, который использовал злоумышленник;
- Публикациям в Telegram, где он делился своим успехом.
Ошибкой стало то, что он не скрывал свою активность — напротив, демонстрировал её, вероятно, ради PR и создания образа “успешного криптоплеера”.
📱 Как защититься от таких афер?
- Никогда не передавайте seed-фразы;
- Не открывайте ссылки из непроверенных источников;
- Проверяйте домены через Whois.icu;
- Используйте multi-sig для пулов;
- Отзывайте разрешения через Revoke.cash;
- Обучайтесь через Dune Analytics dashboards;
- Не используйте public Wi-Fi при работе с кошельками.
Эти простые шаги могут предотвратить потерю миллиона долларов через один звонок или поддельное окно.
🧠 Экспертное мнение: что говорят специалисты о телефонном фишинге?
- Kriss Pax: “Это не просто фишинг. Это целенаправленная атака на доверие и страх перед потерей аккаунта.”;
- CryptoSly: “Чем больше людей используют крипту, тем выше шанс, что кто-то попадёт в ловушку.”;
- Chainalysis: “Мы наблюдаем рост числа атак через голосовые звонки и Telegram-боты.”;
- ThreatFabric: “Signature phishing и zero-value transfer остаются самыми опасными угрозами в 2025 году.”
🛡️ Какие ещё метрики указывают на риск?
- Резкий рост числа новых доменов;
- Связь с известными “грязными” адресами;
- Поддельные отзывы на TrustPilot;
- Фишинговые кампании через Google Ads;
- Активность в Telegram и WhatsApp.
Эти сигналы можно отслеживать через Grok-3 и WalletGuardian, чтобы заранее заметить угрозу и предотвратить потерю.
📈 Сколько всего было украдено и какие монеты затронуты?
| Монета |
Сумма украденного |
Доля от общего ущерба |
| Bitcoin (BTC) |
$1.7 млн |
~43% |
| Ethereum (ETH) |
$1.1 млн |
~28% |
| Monero (XMR) |
$750 тыс |
~19% |
| Stablecoins |
$400 тыс |
~10% |
Эти данные показывают, что мошенники всё чаще используют XMR для отмывки, поскольку он обеспечивает высокий уровень приватности.
📉 Почему даже опытные пользователи попадаются на такие аферы?
- Доверие к “поддержке”;
- Паника при потере доступа;
- Незнание базовой wallet hygiene;
- Сложность интерфейса DeFi;
- Отсутствие обучения по безопасности.
По данным AMLBot, в 2025 году около 12% пользователей теряют средства именно через signature phishing и phone-based scams.
🛠️ Техническая сторона атаки: как злоумышленник получал контроль?
Мошенник использовал:
- JavaScript-injection: через поддельные сайты;
- Clipboard hijacking: замена адреса при копировании;
- Overlay attack: поверх Metamask;
- WebRTC-перехват: для получения IP-адреса;
- EIP-1271-подделка: подпись через фальшивый контракт.
Как только жертва подключала свой кошелёк, злоумышленники начинали автоматически перемещать средства через несколько этапов, чтобы усложнить их отслеживание.
🧮 Какие примеры мошенничества через голосовые звонки есть?
- BitGo CEO Mike Belshe: получил фейковое письмо от Ledger;
- Жертва из Великобритании: потерял $330K после звонка от “Apple Support”;
- Атака на Sovryn: deepfake и поддельные Google Meet;
- Phishing через Telegram: боты под видом инвестгрупп и DAO;
- Подделка MetaMask: фальшивые расширения в Chrome Web Store.
Эти случаи подтверждают, что голосовой фишинг становится одним из главных каналов атак, особенно против старших пользователей.
🚀 Какие ещё проекты связаны с этим мошенничеством?
Кроме Coinbase, были затронуты:
- MetaMask: через фальшивую поддержку;
- Trust Wallet: через фишинговые ссылки;
- Orca Finance: через поддельные пулы;
- Pump.fun: через голосовые аферы;
- Raydium: через fake AMM-интерфейсы.
Это говорит о том, что мошенничество распространилось на весь криптосектор, особенно через голосовое взаимодействие и поддельные команды.
🧩 Какие ещё примеры голосового мошенничества были зафиксированы?
За последние месяцы:
- Google Workspace атака: фишинг через “обновления”;
- Microsoft Teams подделка: через фейковую службу поддержки;
- Zoom-звонки от “Coinbase”: через поддельные приглашения;
- WhatsApp-фишинг: через ботов, имитирующих поддержку;
- Email + голосовая поддержка: двухэтапная атака.
Эти примеры демонстрируют, что угроза становится всё сложнее, особенно если она сочетает цифровой и человеческий фактор.
🧠 Зачем мошенник использовал Roobet и XMR?
Roobet стал важной частью схемы:
- Он принимает BTC, ETH, USDT;
- Позволяет делать анонимные ставки;
- Интеграция с Telegram-ботами;
- Высокая скорость вывода;
- Связь с dark pools.
Что касается XMR, то его выбор объясняется:
- Полной приватностью;
- Сложностью отслеживания;
- Интеграцией с prDeFi и Nested.finance;
- Ростом APR в пулах;
- Использованием в RWAfi.
Эти шаги позволяют укрыть происхождение средств и вывести их в реальный оборот без лишнего внимания регуляторов.
📉 Как эта атака повлияла на рынок?
После публикации ZachXBT:
- TVL в некоторых пулах упало на 5–7%;
- Рост интереса к cold storage;
- Падение доверия к голосовым сообщениям;
- Рост числа обращений в Chainabuse;
- Увеличение проверок через Blockaid и WalletGuardian.
Эти изменения свидетельствуют о росте осторожности в сообществе, особенно среди пользователей DeFi и Web3.
💡 Какие ещё технологии используют мошенники в 2025 году?
Современные аферисты применяют:
- Deepfake-видео: имитация встречи с “поддержкой”;
- AI voice spoofing: звуковая подделка;
- QRAMP-обман: через квантово-устойчивые токены;
- Поддельные AMM-интерфейсы: Jupiter, Orca, Uniswap;
- Zero-value transfer: тестирование перед кражей.
Эти подходы позволяют манипулировать доверием даже у опытных пользователей, особенно если атака направлена на эмоциональную реакцию.
🧰 Полезные инструменты для защиты от фишинга
Для минимизации рисков используйте:
- Blockaid: блокировка фишинговых URL;
- WalletGuardian: анализ подписей;
- Revoke.cash: отзыв разрешений;
- Dune Analytics: отслеживание активности;
- Whois.icu: проверка доменов;
- PhishFort: база данных опасных доменов;
- Etherscan: анализ транзакций.
Эти платформы помогут вам не потерять средства из-за одной ошибочной подписи, особенно если вы участвуете в DeFi или пулах с высоким APR.
🧠 Какие уроки можно извлечь из этого случая?
- Не доверяйте холодным звонкам;
- Проверяйте домены перед загрузкой ПО;
- Не открывайте транзакции вне доверенной среды;
- Интегрируйте ENS и multi-sig;
- Используйте Cold Wallet для крупных сумм;
- Не спешите с подписью контракта.
Если вы управляете активами, даже одна ошибка может стоить миллионы, поэтому важно постоянно повышать уровень цифровой грамотности.
🌐 Как голосовое мошенничество влияет на развитие Web3?
Хотя это не технологический эксплойт, но:
- Снижает доверие к кошелькам;
- Увеличивает интерес к cold storage;
- Создаёт FUD вокруг DeFi;
- Усиливает потребность в обучении пользователей;
- Стимулирует развитие prDeFi.
По данным Chainalysis, интерес к “wallet hygiene” вырос на 38% после этой атаки, что может положительно сказаться на уровне безопасности в будущем.
🧱 Какие проекты внедряют защиту от голосового мошенничества?
- MetaMask: предупреждения о фишинговых доменах;
- Trust Wallet: интеграция с Google Safe Browsing;
- Phantom: проверка домена перед подключением;
- WalletGuardian: плагины для Chrome и Firefox;
- Blockaid: защита от signature phishing.
Также популярным становится обучение через Grok-3 — особенно среди семейных офисов и VC, управляющих большими фондами.
🧳 Что делать, если вы стали жертвой?
- Не паникуйте: иногда транзакции можно отследить;
- Сохраните доказательства: скриншоты, TxID, домены;
- Проанализируйте транзакции: через Etherscan или Blockchair;
- Отзовите доступ: через Revoke.cash;
- Сообщите в службу поддержки: MetaMask, Coinbase, Chainabuse;
- Заблокируйте IP и домены: через антивирус;
- Переведите оставшиеся средства: на cold wallet.
Чем быстрее вы действуете, тем больше шансов минимизировать ущерб, хотя полное восстановление возможно лишь в исключительных случаях.
📉 Риски и предостережения: чего ждать в будущем?
- Рост числа deepfake-звонков;
- Использование ИИ для создания фальшивых сайтов;
- Фишинг через голосовое распознавание;
- Подделка под “обновление безопасности”;
- Интеграция с Telegram и WhatsApp.
Эти изменения требуют нового уровня защиты, особенно если вы управляете средствами через Web3 или DeFi.
📊 Ончейн-данные: как быстро крипта уходит после атаки?
После того как Farooq сообщил о взломе:
- Первые транзакции вниз по цепочке: через 17 секунд;
- Переводы на Tornado Cash forks: менее чем за 50 секунд;
- Все средства оказались на CEX через 10 минут;
- Кошельки полностью опустошены за 23 минуты.
Это говорит о том, что скорость реакции — ваш единственный щит против таких атак, где каждая секунда имеет значение.
🧠 Почему мошенник выбрал именно Coinbase?
Причины:
- Большая база пользователей;
- Высокий уровень доверия к платформе;
- Широкая интеграция с DeFi;
- Рост TVL в пулах через Base и EigenLayer;
- Поддержка стейблкоинов и NFT.
По данным Glassnode, Coinbase остаётся лидером по числу атак в 2025 году, особенно через голосовые и email-фишинг.
🧮 Формулы, которые помогут оценить риск
- Scam Probability Index (SPI): SPI = (Number of scam transactions / Total transactions) * 100;
- Wallet Safety Score (WSS): WSS = 1 - (Unknown signatures / All signatures);
- Attack Surface Ratio (ASR): ASR = Number of Verify Wallet attempts / Network Volume;
- Loss per user: ~$8,700 на человека;
- Recovery rate: менее 0.1% — практически нереально.
Эти формулы помогают оценить угрозу на уровне сети и пользователя, особенно при участии в новых пулах и протоколах.
📱 Как проверить безопасность своего кошелька?
Для самостоятельного анализа:
- Проверьте домен: совпадает ли он с официальным;
- Изучите код: нет ли backdoors или hidden mint;
- Посмотрите пулы: концентрация ликвидности;
- Проанализируйте транзакции: кто первым получил токены;
- Изучите сообщество: много ли ботов в Telegram;
- Проверьте чёрные списки: PhishFort, Scamwatch, ThreatFabric.
Эти меры позволяют минимизировать риск попадания в мошеннические схемы, даже если вы не профессионал в области блокчейна.
🧱 Какие ещё примеры голосового мошенничества известны?
За последние годы:
- Атака на сотрудника OpenZeppelin: через fake Zoom Meeting;
- Подделка от “Coinbase Support”: через Google Voice;
- Telegram-боты с фейковыми инвестгруппами;
- Поддельные обновления через Discord;
- Deepfake-звонки от “партнёров”.
Эти примеры демонстрируют, что голосовое мошенничество стало частью киберугроз, особенно для высокопоставленных лиц и retail-трейдеров.
📈 Какие ещё монеты находятся в зоне риска?
Помимо Ethereum и Bitcoin, мошенники активно используют:
- FAIR3: fair economy и децентрализация;
- KLED: через ИИ-агентов и пулы;
- DRV: DeFi и деривативы;
- AB: малокап с высокой доходностью;
- TRUMP: политические NFT и RWAfi.
Эти проекты находятся под наблюдением, поскольку их популярность делает их мишенью для фишинга и других форм мошенничества.
🧠 Заключение: голосовой фишинг — новая угроза в Web3
Этот случай с Daytwo показывает, что:
- Социальная инженерия стала основным инструментом;
- Мошенники используют доверие к брендам;
- Люди теряют деньги из-за одного звонка;
- Обучение безопасности становится критическим;
- prDeFi и cold storage — лучшие варианты защиты.
Если вы управляете цифровыми активами, проверяйте каждый звонок, каждую ссылку и каждый запрос на подключение кошелька.
“Блокчейн не обманывает. Люди обманывают. Используйте cold storage и никогда не открывайте транзакции без проверки.” – Kriss Pax, аналитик крипторынка.
