美国加密货币交易所 Coinbase 昨日传出,有黑客收买海外客服人员,盗取用户身份资料后发动社交工程诈骗,更进一步勒索 2,000 万美元比特币。Coinbase 拒绝支付赎金,反设下同额悬赏追缉幕后黑手,据估计需支付 1.8 至 4 亿美元进行赔偿与善后处理,引发外界对其的资安疑虑。
Coinbase 客服遭收买泄漏用户个资,初估赔偿近 4 亿美元
Coinbase 在 5 月 15 日向美国证券交易委员会 (SEC) 提交的文件中坦承,海外客服人员遭黑客金钱利诱,违法泄漏客户资料,包括地址、电话、电子信箱、身份证件等敏感信息,成为社交工程诈骗的利器。
Cyber criminals bribed and recruited rogue overseas support agents to pull personal data on <1% of Coinbase MTUs. No passwords, private keys, or funds were exposed. Prime accounts are untouched. We will reimburse impacted customers. More here: https://t.co/SidVn59JCV — Coinbase ️ (@coinbase)May 15, 2025
该公司至今仍未明确指出事件的发生时间与受害人数,仅在声明中写道:“此次资料外泄影响 Coinbase 每月活跃交易用户的约 1%。”
广告 – 内文未完请往下滚动
对此,外界普遍估计该事件或衍生 1.8 亿至 4 亿美元的支出,主要用于用户赔偿及系统修复作业:该金额仍不包含可能的诉讼、保险理赔或潜在追回资产的结果,实际成本仍有变动空间。
拒付千万美元赎金,Coinbase 同额悬赏追缉黑客
Coinbase 声明指出,黑客在掌握资料后,曾试图以用户个资为交换条件,向 Coinbase 勒索价值 2,000 万美元的比特币。Coinbase 不仅拒绝支付,反而主动开出相同金额的悬赏,向全球悬赏揪出幕后黑手,也成了加密产业史上最高金额的追缉赏金纪录。
https://t.co/evpIBMFvRWpic.twitter.com/f6UPdkL5R0 — Brian Armstrong (@brian_armstrong)May 15, 2025
Coinbase 执行长 Brian Armstrong 也录制影片强调:“公司已报案并与执法机关合作,同时将启动针对受害用户的赔偿机制。”遭外泄资料并未包含用户的密码、私钥或 Coinbase Prime 的账户资讯,资金也未受损。
Coinbase 强化内控,将客服移出高风险地区
针对严重资安疑虑,Coinbase资安长 Philip Martin表示,涉案客服全数位于印度,并已在事发后随即遭到解雇;并强调未来将更专注于用户资料保护,并提升员工训练与审核机制:我们将全面检讨内部资料控管与客户服务流程,并考虑设置海外客服中心,以避免类似事件重演。他补充,“未来将针对客服接触的权限范围进行限制,并引入更多监控措施以防止滥用。”
ZachXBT 早警告:社交诈骗横行,Coinbase 危机意识薄弱
早在今年 2 月,链上侦探 ZachXBT 就曾对此发出警告,近期 Coinbase 用户在短短两个月内,就因社交工程诈骗损失超过 6,500 万美元,整年损失可能高达 3 亿美元,批评 Coinbase 未能采取足够措施保护用户:这些攻击者多伪装成官方的来电、电邮及网站,要求用户验证账户安全,以诱导被害者转移资产至谎称是“Coinbase 安全钱包”的诈骗地址。
(诈骗重灾区?ZachXBT 踢爆 Coinbase 反应迟钝,放任用户遭骗逾 6 千万美元) 此事一出,加密社群也纷纷反应有收到来自冒充 Coinbase 官方的诈骗联系。
SEC 重启调查,质疑 Coinbase 为了上市夸大用户数
除了资安危机,Coinbase 近日更遭 SEC 针对其 2021 年上市期间是否夸大用户数展开调查。纽约时报报道,SEC 正检视当时 Coinbase 在注册文件中声称拥有超过 1 亿名“已验证用户”的说法,该数据后来在 2023 年被停止披露。Coinbase 法务长 Paul Grewal认为,“这起调查是‘前朝政府时代的延续’,不应再继续下去。”所谓“已验证用户”包含所有注册账户、非托管钱包用户与合作伙伴,但该统计方式已不再反映实际活跃用户状况,因此改为揭露“每月活跃交易用户”数据。
风暴未止,Coinbase 面临信任与监管双重考验
Coinbase 对此次资安事件的揭露与反应,获得社群与媒体两极评价。一方面,用户与业界人士肯定其拒绝妥协与主动通报的举措;另一方面,也有不少声音批评 Coinbase 未即时向用户说明资料外泄风险。Wintermute 执行长 Evgeny Gaevoy 就对此在 X 上表示:Coinbase 没能更早揭露这起事件,是我们当前这种荒谬的 KYC/AML 体制下的黑暗面。此起资安事件与数据调查案件不仅重创 Coinbase 的声誉,也再次暴露出加密产业在“中心化客服”与“用户资料保护”之间的结构性问题。面对 SEC 的监管压力与用户信任危机,Coinbase 能否通过悬赏追缉与赔偿机制挽回信任,将是其能否维持市场领导地位的关键考验。
风险提示
加密货币投资具有高度风险,其价格可能波动剧烈,您可能损失全部本金。请谨慎评估风险。