Posso te afirmar que oque aconteceu com ele foi uma falha de segurança em algum site que ele se cadastrou usando aquela senha, alguém que faz pentest (procura falhas) conseguiu encontrar alguma falha e usou isso de maneira maliciosa pra adquirir dinheiro e conseguiu ter acesso a database onde são armazenadas as senhas, logins enfim não vou entrar em detalhes pois isso não é um tutorial de pentest, até porque é um assunto bem complexo e não estou afim de passar conhecimento pra pessoas erradas.
Aqui é brasil, não se esqueça disso, pelo que vi o e-mail foi enviado fora do pais isso PROVAVELMENTE não vai levar em lugar algum, o certo a se fazer é reportar a carteira dele pro bitcoin assim ele é banido e não pode mais utilizar, outra coisa, a respeito da senha, é a senha dele sim que ele usou no site.