O investigador onchain ZachXBT revelou novos detalhes sobre um esquema de fraude que envolveu US$ 2 milhões em criptoativos. O caso ganhou grande repercussão devido ao uso de XRP nas operações e às evidências que conectam o canadense conhecido como Haby aos ataques realizados contra usuários da Coinbase.

Detalhes do golpe e o uso de XRP

ZachXBT apontou que Haby se passava por integrante do suporte da Coinbase. Com essa falsa identidade, ele conseguia enganar vítimas e induzi-las a fornecer credenciais de acesso. Assim que assumia o controle das contas, o golpista transferia os ativos para carteiras sob seu domínio. Em um dos registros exibidos pelo investigador, o criminoso mostrou o roubo de 21.000 XRP, valor estimado em US$ 44 mil na época.

Essas imagens eram compartilhadas em grupos privados e ajudaram a mapear parte da atividade do suspeito. Além disso, o criminoso convertia XRP em Bitcoin com frequência, o que permitiu rastrear diversas transações e vincular endereços entre si. A análise dos dados elevou o montante inicialmente associado ao golpe para cerca de US$ 500 mil.

O comportamento de Haby também chamou atenção. Ele gastava parte dos valores roubados na compra de nomes raros de usuários em redes sociais, além de consumo em bares e apostas. Exemplos como @pizza e @tom estavam entre os nomes disputados. As provas analisadas incluíram capturas de carteiras digitais, conversas em grupos privados e declarações feitas pelo próprio golpista.

Como ZachXBT conectou novas operações ao suspeito

Em fevereiro de 2025, uma captura de tela publicada por Haby exibiu um saldo de US$ 237 mil. Segundo ZachXBT, o valor era compatível com o histórico do endereço identificado anteriormente. Portanto, esse indício reforçou o vínculo entre o suspeito e as movimentações fraudulentas.

A partir dessa descoberta, o investigador associou mais três golpes ao mesmo método de falsificação de identidade, elevando o valor total para outros US$ 560 mil. Assim, as conexões ampliaram a compreensão sobre a atuação do criminoso e revelaram um padrão consistente de engenharia social.

Além das imagens, a exposição incluiu um vídeo em que o suspeito aparece aplicando golpes, exibindo um e-mail e um contato no Telegram. O site Cryptopotato destacou que, com base em dados públicos, Haby estaria localizado na região de Vancouver. Assim, as evidências reunidas motivaram o pedido de ZachXBT para que autoridades canadenses investiguem o caso.

O episódio mostra como ataques envolvendo criptoativos como XRP continuam a explorar brechas humanas por meio de engenharia social. Além disso, o trabalho de investigação demonstrou que o cruzamento de saldos, endereços e registros históricos pode reconstruir a trilha deixada por golpistas. Portanto, o caso reforça a importância de práticas de segurança e do monitoramento constante no ecossistema de ativos digitais.