header-langage
简体中文
繁體中文
English
Tiếng Việt
한국어
日本語
ภาษาไทย
Türkçe
掃碼下載APP

作祟的「內鬼」和「裝聾作啞」5個月的Coinbase

2025-05-23 11:00
閱讀本文需 21 分鐘
总结 AI 總結
看總結 收起
撰稿:Jaleel 加六,BlockBeats


在最近的用戶資料外洩事件上,Coinbase 處理得非常聰明。就像它作為加密第一股,也是第一家也是唯一一家進入了 S&P 500 的企業應有的身份一樣優雅。


出於禮貌,作者本人已經表達完了對 Coinbase 基本的 respect。接下來,是時候把這家公司狠狠地掛在「恥辱柱」上了。



5 月 8 日,加密偵探 ZachXBT 在個人頻道發文,明確表示:又有 4,500 萬美元從 Coinbase 用戶那裡被騙去。而在過去幾個月,他所追蹤到的同類案件,金額已高達九位數。騙子慣用的套路是冒充 Coinbase 客服打電話或發郵件給用戶,然後一步步誘導用戶點進偽裝成官網的釣魚鏈接,再將資金轉入騙子錢包。


有人說,使用者被社會工程騙了,跟 Coinbase 有什麼關係? 「平台不是政府監管部門,怎麼能阻止用戶點進釣魚郵箱呢?」


首先,其他主要交易平台並未如此大規模地出現相似的詐騙問題。其次,一直有不少受害者反映,詐騙犯不僅準確地說出了他們的帳戶餘額和交易時間,甚至能拿出他們的身份證照片,「一切都太真實了」。


一切都直指:Coinbase 洩漏了資料。


我們再來看 Coinbase 自己說的。 5 月 14 日提交給 SEC 披露的


再看 5 月 20 日 Coinbase 向緬因州總檢察長辦公室提交的報告,資料外洩事件發生的時間更早,是在 2024 年 12 月 26 日。


緬因州報告顯示,違規發生日期是 2024 年 12 月 26 日,而發現漏洞日期是 2025 年 5 月 111日


但公佈事件經過的時間是 5 月 15 日,其官網的公告顯示了內部犯罪人員的公告這些資料包括姓名、地址、電話、電子郵件、政府身分證明影像(如駕照、護照)、帳戶餘額快照和交易記錄等。


也就是說,數據早在冬天就被偷了,但現在春天都已經結束了,Coinbase 才在納入標普 500 的關鍵時刻,被迫開始正面處理這個“房間裡的大象”,發了通告稱收到了黑客勒索郵件正式披露事件。


據 Coinbase 自己所說,他們在發現異常訪問後解雇了相關人員並加強了安全監控。但在這五個月內,Coinbase 唯一做出的「用戶溝通」是在 3 月底發出一封含糊不清、不痛不癢的郵件,稱某員工「可能違規」查看了帳戶記錄:


「我們檢測到有跡象表明,一名 Coinbase 員工可能以不符合內部政策的方式,查看了少量」的方式,請查看了少量客戶。 style="text-align: center;">

The Block 聯合創始人 Mike Dudas 此前在 X 上披露自己收到了一封來自 Coinbase 令人不安的郵件


除此之外,我們再也沒看到過更多官方公開披露的信息,以及更進一步的事件調查。


更「精彩」的來了。


就在 5 月 15 日,也就是正式公告資料外洩的當天,有個新的 Coinbase 用戶協議正式生效了。


這份協議,堪稱 Coinbase 的「自我保護盾」。撇開其他長篇大論的「障眼法」內容,裡面有兩個關鍵條款(9.9 和 9.10 兩條):禁止任何形式的集體訴訟(Class Action Waiver);強制所有使用者必須在紐約法院獨立提起訴訟。


為什麼選紐約?因為紐約州有一條對企業極為有利的規定:如果合約中寫明所有爭議需在紐約法院解決,且涉案金額超過 100 萬美元,法院不能以「換個更方便地點」拒絕受理。同時,紐約南區法院是金融案件的集中地,審判經驗豐富,Coinbase 和 SEC 的訴訟也正是在這裡打響的。


此外,據公開報道,儘管 Coinbase 從 2021 年起轉為“遠程優先”公司,但在今年舊金山新擬議的辦公室落地之前,紐約 One Madison 是 Coinbase 在美國最大的辦公場所,已簽署 11 年租約,面積為舊址的兩倍。


在這種背景下,即便你和成千上萬的用戶一樣受害,也必須「單槍匹馬」遠赴紐約自費起訴。


協議是在 4 月 11 日更新,5 月 15 日生效的,這和資料外洩揭露時間幾乎無縫銜接。如此「精準踩點」的合約變更,可謂是「迨天之未陰雨,徹彼桑土,綢繆束薪」-Coinbase 未雨綢繆的前瞻性堪比諸葛孔明。


這一點也引發了技術安全研究員Molly White 的質疑,但 Coinbase 執行長 教學。但當 Molly White 進一步追問「為什麼 Coinbase 花了一個多月才向 SEC 披露此資料違規?上市公司發現重大網路安全事件時,理應在四個工作天內進行揭露。」Brian Armstrong 便不再回應她了。


與此同時,彭博社引述知情人士表示:在過去五個月內,駭客透過賄賂足夠多的 Coinbase 客服代表,實現了對用戶資訊的「按需存取」。甚至在公告發布前幾天的星期三,駭客仍在存取這些資料。但這個說法被 Coinbase 首席安全官 Philip Martin 反駁了。


Coinbase 目前的說辭大意是:「我們發現有員工不當訪問了數據,並開除了相關人員,但我們當時並不知道數據已經洩漏出去。直到 5 月收到黑客勒索郵件,我們才意識到問題的嚴重性。」


其中自我開脫的成分?讓我們來看看在 Coinbase 修改了協議、封鎖集體訴訟入口的五個多月裡,同時「視而不見」了多少來自社區、安全研究者的提醒、質疑和警告。


打開 Reddit 的 Coinbase 論壇,從 1月開始就有大量用戶報告帳戶被盜、社工詐騙頻發,老外用戶飽受折磨:「我在六個月前就懷疑客服是內鬼了。五次工單,全都草草結案。沒人聯絡我,沒人解釋發生了什麼事」、「我幾乎相信了,因為我剛剛提取的金額接近他們發短信告訴我的金額”、“他們能驗證我的全名、帳戶金額、上次登錄設備,一切都太自然和真實了……”


面對無數來自社區的提醒,Coinbase但嚴格遵守了三體世界的來信「不要回答、不要回答、不要回答」。


如果你要為其辯解說 Coinbase 可能和亞洲人一樣不逛 Reddit 看不到社區經歷的一切,那推特上那些大 KOL、安全研究者的持續提醒他們肯定是能看見的吧。


在推特上擁有 86 萬粉絲的幣圈最強偵探 ZachXBT 在 2 月初就指出,僅去年底至今年初,就有超過 6500 萬美元因社工攻擊被盜。 3 月底他再次發出聲稱,過去兩週又有 4,600 萬美元被盜。他不只一次直指:Coinbase 不作為。


還有 MetaMask 安全負責人、資深鏈上調查員 Taylor Monahan,幾乎每週在 Twitter 上公開批評 Coinbase,不斷嘗試將證據交給他們的安全和支持團隊,而 Coinbase 的“高級調查主管”早在 2024 年底就把她拉黑了。


Taylor Monahan 也直接揭露:Coinbase 大規模外包了客服工作給印度的第三方服務商 TaskUs。早在 2025 年 1 月 11 日,Coinbase 大規模裁員開除了 300 多名印度客服,理由就是「竊盜」與「違規操作」。隨後辦公室遷到古爾岡城市,但內部資料外洩依然頻繁發生,於是 3 月和 4 月又發生了新一波的「裁員」。


對於 Coinbase 口中的那句「我們直到 5 月 11 日才知道」,她毫不留情地諷刺道:「這將是一場非常『有趣』的表演——看他們怎麼裝作完全不知道,直到勒索郵件來了」、「最有可能的說詞」的表演——看他們怎麼裝作完全不知道,直到勒索來了」、「最有可能的說詞」就是:『這不算(p>p>

Ap> Coinbase 高層否認、推脫、冷處理的同時,反倒是一些 Reddit 用戶和受害者,開始自發性地組織出「錦衣衛」,找到了一些騙子的蛛絲馬跡。


一位用戶名為 Scammer-fight-back 的用戶和自己的整個團隊與騙子展開“對線”,他們多次打電話給這些騙子、錄音、保存信息。最後他們追蹤:這些騙子多數來自英國曼徹斯特,辦公在同一個小辦公室裡,用本地口音冒充 Coinbase 客服,一邊套取訊息,一邊完成詐騙流程。



另一位網友 dyfedavalon也有相同的看法:「這是一家來自英國的大型詐騙團夥,規模和範圍很大,能力很強」、「我打電話回去找那些騙子,結果是同一群人。他們這行真的做得太溜了」、「我和他們聊了很多次,他們以為我是受害者,但我是英國人,所以我能聽到和調侃」他們的英國口音。 MetaMask 安全負責人 Taylor Monahan 的調查資訊顯示:Coinbase 外包的第三方印度服務商 TaskUs 內部員工是在 Telegram 上與駭客接頭的,每筆出售用戶郵箱、手機號碼、2FA 資訊的交易收取費用約 1 萬美金,這些錢透過 PayPal 或銀行帳戶直接打入個人名下。


圖源 Taylor Monahan


至於為什麼有人願意冒這麼大風險洩密? Taylor 分享了更多從這些「印度黑奴」內部流出的內容,直指 TaskUs 的真實工作狀態:廁所不讓上,吃飯時間要靠搶,交付量不夠就會被管理層集體冷處理;壓力大得離譜,生病請假都會被記成‘曠工’,工資直接扣;因為培訓沒跟上節奏,就被直接當場開除。


「這是我職業生涯做過最糟糕的決定。HR 根本不站在你這邊,你哪怕哭著投訴都沒人管你。最後連經驗證明都拿不到,因為他們要求我賠償『訓練成本』」有員工這樣寫道。


Coinbase 外包公司 TaskUs 前員工的抱怨,圖源 Taylor Monahan

萬美元,印度外包客服僅 3,600–4,800 美元/年。也就是說,一名美國客服的薪資能找出至少 15 個印度外包客服。


以 300 個外包職位算,Coinbase 在這裡一年就能節省 1800 萬美元。這還不包括辦公場地、社保、加班費、技術支援等隱性成本節省。


而值得一提的是,根據彭博社記者的調查,Coinbase 為 CEO Brian Armstrong 支付一年的個人安保費用是 620 萬美元。 Coinbase 首席法務長 Paul Grewal,也就是應對 4 億美元駭客事件和 SEC 用戶資料調查的總負責人,去年總薪酬超過了 820 萬美元。


光是 CEO 一年的安保費用和首席法務官的薪資,就可能比 Coinbase 整個平台用戶的安保費用都多了。


目前事件受影響的使用者不乏一些知名人士。根據彭博社報道知情人士透露,紅杉資本合夥人與他的數據管理合夥人 Roelof Coinsbase 是受害者之一透露,紅杉資本管理人的數據地址個人資料相關的其他敏感帳號資訊。


還有 67 歲的 Ed Suman,這位在藝術界從事近二十年,並參與過傑夫·昆斯《氣球狗》雕塑等藝術品製作的知名藝術家,在今年初遭遇假冒 Coinbase 客服騙局,損失超過 200 萬美元加密貨幣。


Coinbase 目前也收到了多起訴訟,用戶指控該公司對其個人資料處理不當。此外,Coinbase 的這項做法也引起了監管機構的注意。例如,俄勒岡州總檢察長辦公室已對 Coinbase 提起訴訟,指控其違反了州證券法,並質疑其用戶協議中的仲裁和集體訴訟豁免條款的合法性。


根據 Elliptic 數據,這次事件的賠償和處置成本達 4 億美元,躋身加密史上第八大安全事故。這次攻擊並沒有「熱錢包被駭」這種戲劇性場面,也沒有「合約漏洞」這類技術複雜性,而是發生在最基礎、最日常、最被忽視的一環:KYC 數據。


但現實是,Coinbase 很可能不會受到太嚴重的實質懲罰。


美國法律中似乎並沒有因意外資料外洩而遭受嚴厲處罰的先例。與資料濫用有關的最有名訴訟案是 Facebook,因為他們違反自己簽署的「未經用戶同意不會與第三方共享用戶資料」的承諾,但這與 Coinbase 面對的情況略有不同。


Coinbase 的事件更接近「資料被內部人員洩露給外部駭客」,屬於資料存取權限被濫用與外包管理不當,應該夠不上系統性隱私欺詐,且損失有限,Coinbase 也表示會賠付。


更重要的是,Coinbase 是一家市值超過 600 億美元的公司,也是加密產業唯一進了標普 500 指數的交易平台,擁有豐富的政策關係、深厚的資本資源。


在這次美國大選中,Coinbase 及其高層向共和黨候選人提供了數千萬美元的捐款,並被認為在多項立法遊說中發揮重要作用。而 SEC 撤銷對 Coinbase 的訴訟,一度認為是與 Coinbase 的政治捐款有關。


一切都指出, Coinbase 將會安然度過這場風暴。而未來,Coinbase 還會活得很好,甚至可能越來越好。



歡迎加入律動 BlockBeats 官方社群:

Telegram 訂閱群:https://t.me/theblockbeats

Telegram 交流群:https://t.me/BlockBeats_App

Twitter 官方帳號:https://twitter.com/BlockBeatsAsia

举报 糾錯/舉報
本平台現已全面集成Farcaster協議, 如果您已有Farcaster帳戶, 可以登錄 後發表評論
選擇文庫
新增文庫
取消
完成
新增文庫
僅自己可見
公開
保存
糾錯/舉報
提交