65 millions de dollars en 2 mois : l’arnaque aux faux conseillers Coinbase fait des ravages

En juillet dernier, nous rapportions une arnaque des plus sophistiquée. Ainsi, un utilisateur s’est vu dérober 1,7 million de dollars par ce qu’il pensait être un employé de Coinbase. Entre phishing et social engineering complexe, l’attaquant disposait alors d’une méthode bien rodée pour berner sa victime. Alors que nous pensions ce cas relativement isolé, les récentes révélations partagées par le crypto-enquêteur révèlent un phénomène bien plus répandu.

Arnaque aux faux conseillers Coinbase : 65 millions de dollars envolés

ZachXBT est une figure bien connue de notre écosystème. En effet, celui-ci s’est pris d’une mission : mettre en lumière et traquer les hackers et autres arnaqueurs qui sévissent dans la crypto.

Le lundi 3 février, il a partagé sur son compte X les résultats de mois d’une enquête sur l’arnaque aux faux conseillers Coinbase. Une méthode bien rodée qui, selon lui, a engendré le vol de plus de 65 millions de dollars. Et ce, en seulement deux mois, entre décembre 2024 et janvier 2025.

Épaulé par un autre internaute, @tanuki42_, ils ont examiné avec minutie des centaines de retraits Coinbase. Ainsi, ils ont rassemblé les données émanant de nombreux témoignages de victimes recueillis via ses messages privés sur X.

« Moi-même et @tanuki42_ avons passé du temps à examiner les retraits de Coinbase et à rassembler des données à partir de mes DM concernant ces vols sur diverses chaînes. [Les résultats] montrent que 65 millions de dollars ont été volés aux utilisateurs de Coinbase entre décembre 2024 et janvier 2025. »

Malheureusement, ils estiment que leurs chiffres sont bien en deçà du préjudice total. En effet, leurs données ne prennent pas en compte les tickets d’assistance de Coinbase ni les rapports de police.

Selon ZachXBT, cette situation découle d’un double constat : des modèles de risque particulièrement agressifs et une incapacité de Coinbase à endiguer les pertes massives liées aux arnaques par social engineering. Qui, selon ses estimations, coûteraient plus de 300 millions de dollars par an aux clients de la plateforme. 

Les dessous d’une arnaque bien ficelée

Dans son thread, ZachXBT expose minutieusement le modus operandi employé par les arnaqueurs. Une fois n’est pas coutume, ces derniers utilisent une combinaison de phishing et de social engineering.

Tout commence lorsque la victime est contactée par téléphone via un numéro usurpé. En s’appuyant sur des données personnelles obtenues sur des bases de données ayant fuité, l’arnaqueur tente de gagner la confiance de son interlocuteur. 

Pour son arnaque, le hacker justifie l’appel en prétendant que le compte Coinbase de la victime aurait subi plusieurs tentatives de connexion non autorisées. Afin d’ajouter de la crédibilité, cet appel est couplé avec un mail rapportant les mêmes tentatives de connexion. Une fois de plus, le mail n’est autre qu’un mail de phishing, semblant provenir de Coinbase. Celui-ci est accompagné d’un faux numéro de dossier, ajoutant une nouvelle couche de crédibilité.

Rappel important à ce stade : Coinbase ne vous appellera jamais pour ce genre de vérification. Une information vitale pour se prémunir face à ce type de tentative.

Dans les faits, le mail demande à la victime de transférer ses fonds vers un Coinbase Wallet afin de les sécuriser. De plus, il invite la victime a whitelist une adresse, le tout sous prétexte qu’un support serait en train de vérifier la sécurité de son compte.

En parallèle, l’arnaqueur partage un clone frauduleux du site officiel de Coinbase, reproduisant à l’identique son interface.

Dans son thread, ZachXBT utilise le cas d’une victime qui aurait perdu environ 850 000 dollars dans cette fraude. L’analyse a révélé que cette transaction était reliée à une adresse de consolidation commune à plus de 25 victimes. Toutes associées à l’adresse ENS « coinbase-hold.eth ». 

Autant d’éléments qui laissent penser que les arnaques ne sont pas le fruit d’une manœuvre isolée, mais bien d’une opération structurée et d’envergure.

Des failles multiples au sein de Coinbase

Au-delà des méthodes classiques de social engineering, le thread met en lumière plusieurs incidents internes à Coinbase qui auraient permis ces attaques.

« Coinbase a discrètement connu des incidents de sécurité connexes qu’elle n’a pas abordés publiquement. »

Selon ZachXBT, certains utilisateurs disposent d’anciennes clés API qui étaient censées être en lecture seule, notamment pour des logiciels fiscaux. Ces clés se seraient retrouvées exposées suite à des hacks. 

En plus de cela, Coinbase aurait également été victime d’un bug récent, qui permettait d’envoyer un code de vérification à n’importe quelle adresse e-mail. Et ce, même si cette adresse email n’était liée à aucun compte Coinbase.

Il remet également en cause les politiques de vérification des fonds qui transitent sur la plateforme. Selon ses révélations, le hacker ayant attaqué BTCTurk aurait été en mesure de blanchir 38 millions de dollars via Coinbase. Et ce, sans que la plateforme ne s’en rende compte.

Du côté de Coinbase et de son support client, rien ne va non plus. Selon ZachXBT, les victimes se heurtent régulièrement à un support client peu réactif.

« De nombreuses victimes qui m’ont contacté sont bloquées avec des agents de support client inutiles qui ne répondent jamais. L’équipe de Coinbase peut être incroyablement difficile à joindre en dehors des heures de bureau aux États-Unis, ce qui est inacceptable lorsque vous opérez sur un marché 24/7 en tant que grande entreprise. »

Qui porte la responsabilité ?

Si l’on peut reprocher en partie aux victimes de ne pas toujours se montrer vigilantes face à des techniques de phishing de plus en plus élaborées, la responsabilité revient également au leadership de Coinbase. 

Pour conclure son thread, ZachXBT recommande plusieurs améliorations pour pallier cette situation :

• Rendre optionnel le recours au numéro de téléphone pour les utilisateurs disposant déjà d’une authentification forte (application Authenticator ou clé de sécurité) et pleinement vérifiée via le KYC ;
• Instaurer une catégorie de compte « débutant » ou « senior » qui limiterait, par exemple, les retraits afin de protéger les utilisateurs moins à l’aise avec les subtilités techniques ;
• Mettre en place des procédures de communication proactive (articles de blog détaillant les démarches de récupération, cellule d’intervention 24/7, signalement rapide des adresses frauduleuses, blocage des domaines de phishing, etc.) pour prévenir et réagir efficacement en cas d’incident.

Face à l’ampleur des pertes qui se chiffrerait en dizaines de millions de dollars chaque mois et à la sophistication croissante des techniques de social engineering, Coinbase se doit d’agir. D’autant plus que d’autres plateformes comme Kraken, OKX ou Binance semblent mieux équipées pour faire face à ces menaces. Démontrant qu’il ne s’agit pas d’un problème propre à l’industrie, mais bien à la plateforme.

« Coinbase est dans une position où elle a le pouvoir de faire ces changements et de donner le bon exemple, mais elle a choisi de ne rien faire ou presque. »

De son côté, l’entreprise reste au cœur d’un bras de fer judiciaire et réglementaire aux États-Unis. Toutefois, la récente prise de position de la sénatrice pro-Bitcoin Cynthia Lummis pourrait bien aider Coinbase dans l’affaire qui l’oppose à la SEC.