論理的に考えたら
被害が日本で起きてるからGateHubからの漏えいはほぼ考えれない。
MrRippleがハッキングされて、root権限でソース、DB情報盗まれたらシークレットキーも盗まれるので、今回のフィッシング詐欺は無意味。
他の虚弱性(SQLインジェクションなど)でメールアドレスのみ漏えいしたら可能性あり。
他のGWやSNSから漏えいしたらシークレットキーは個人保存なので、フィッシングで釣るしか方法はない。

GateHubのアカウントがメールアドレスなのはあまり関心しないけど、
犯人からしたら盗んだメールアドレスがGateHubに登録されてるかわからないから手当たり次第にメール送信してるだけ。
もし、GateHubに登録してたらパスワード1項目盗めばいいだけだし、RippleTradeのフィッシングサイトならアカウントとパスワードの2項目入力させて盗めばいいだけ
(2FA設定してない場合)

長文スマン