作祟的「內鬼」和「裝聾作啞」5個月的Coinbase

撰稿：Jaleel 加六，BlockBeats

在最近的用戶資料外洩事件上，Coinbase 處理得非常聰明。就像它作為加密第一股，也是第一家也是唯一一家進入了 S&P 500 的企業應有的身份一樣優雅。

出於禮貌，作者本人已經表達完了對 Coinbase 基本的 respect。接下來，是時候把這家公司狠狠地掛在「恥辱柱」上了。

5 月 8 日，加密偵探 ZachXBT 在個人頻道發文，明確表示：又有 4,500 萬美元從 Coinbase 用戶那裡被騙去。而在過去幾個月，他所追蹤到的同類案件，金額已高達九位數。騙子慣用的套路是冒充 Coinbase 客服打電話或發郵件給用戶，然後一步步誘導用戶點進偽裝成官網的釣魚鏈接，再將資金轉入騙子錢包。

有人說，使用者被社會工程騙了，跟 Coinbase 有什麼關係？ 「平台不是政府監管部門，怎麼能阻止用戶點進釣魚郵箱呢？」

首先，其他主要交易平台並未如此大規模地出現相似的詐騙問題。其次，一直有不少受害者反映，詐騙犯不僅準確地說出了他們的帳戶餘額和交易時間，甚至能拿出他們的身份證照片，「一切都太真實了」。

一切都直指：Coinbase 洩漏了資料。

我們再來看 Coinbase 自己說的。 5 月 14 日提交給 SEC 披露的

再看 5 月 20 日 Coinbase 向緬因州總檢察長辦公室提交的報告，資料外洩事件發生的時間更早，是在 2024 年 12 月 26 日。

緬因州報告顯示，違規發生日期是 2024 年 12 月 26 日，而發現漏洞日期是 2025 年 5 月 111日

但公佈事件經過的時間是 5 月 15 日，其官網的公告顯示了內部犯罪人員的公告這些資料包括姓名、地址、電話、電子郵件、政府身分證明影像（如駕照、護照）、帳戶餘額快照和交易記錄等。

也就是說，數據早在冬天就被偷了，但現在春天都已經結束了，Coinbase 才在納入標普 500 的關鍵時刻，被迫開始正面處理這個“房間裡的大象”，發了通告稱收到了黑客勒索郵件正式披露事件。

據 Coinbase 自己所說，他們在發現異常訪問後解雇了相關人員並加強了安全監控。但在這五個月內，Coinbase 唯一做出的「用戶溝通」是在 3 月底發出一封含糊不清、不痛不癢的郵件，稱某員工「可能違規」查看了帳戶記錄：

「我們檢測到有跡象表明，一名 Coinbase 員工可能以不符合內部政策的方式，查看了少量」的方式，請查看了少量客戶。 style="text-align: center;">

The Block 聯合創始人 Mike Dudas 此前在 X 上披露自己收到了一封來自 Coinbase 令人不安的郵件

除此之外，我們再也沒看到過更多官方公開披露的信息，以及更進一步的事件調查。

更「精彩」的來了。

就在 5 月 15 日，也就是正式公告資料外洩的當天，有個新的 Coinbase 用戶協議正式生效了。

這份協議，堪稱 Coinbase 的「自我保護盾」。撇開其他長篇大論的「障眼法」內容，裡面有兩個關鍵條款（9.9 和 9.10 兩條）：禁止任何形式的集體訴訟（Class Action Waiver）；強制所有使用者必須在紐約法院獨立提起訴訟。

為什麼選紐約？因為紐約州有一條對企業極為有利的規定：如果合約中寫明所有爭議需在紐約法院解決，且涉案金額超過 100 萬美元，法院不能以「換個更方便地點」拒絕受理。同時，紐約南區法院是金融案件的集中地，審判經驗豐富，Coinbase 和 SEC 的訴訟也正是在這裡打響的。

此外，據公開報道，儘管 Coinbase 從 2021 年起轉為“遠程優先”公司，但在今年舊金山新擬議的辦公室落地之前，紐約 One Madison 是 Coinbase 在美國最大的辦公場所，已簽署 11 年租約，面積為舊址的兩倍。

在這種背景下，即便你和成千上萬的用戶一樣受害，也必須「單槍匹馬」遠赴紐約自費起訴。

協議是在 4 月 11 日更新，5 月 15 日生效的，這和資料外洩揭露時間幾乎無縫銜接。如此「精準踩點」的合約變更，可謂是「迨天之未陰雨，徹彼桑土，綢繆束薪」－Coinbase 未雨綢繆的前瞻性堪比諸葛孔明。

這一點也引發了技術安全研究員Molly White 的質疑，但 Coinbase 執行長 教學。但當 Molly White 進一步追問「為什麼 Coinbase 花了一個多月才向 SEC 披露此資料違規？上市公司發現重大網路安全事件時，理應在四個工作天內進行揭露。」Brian Armstrong 便不再回應她了。

與此同時，彭博社引述知情人士表示：在過去五個月內，駭客透過賄賂足夠多的 Coinbase 客服代表，實現了對用戶資訊的「按需存取」。甚至在公告發布前幾天的星期三，駭客仍在存取這些資料。但這個說法被 Coinbase 首席安全官 Philip Martin 反駁了。

Coinbase 目前的說辭大意是：「我們發現有員工不當訪問了數據，並開除了相關人員，但我們當時並不知道數據已經洩漏出去。直到 5 月收到黑客勒索郵件，我們才意識到問題的嚴重性。」

其中自我開脫的成分？讓我們來看看在 Coinbase 修改了協議、封鎖集體訴訟入口的五個多月裡，同時「視而不見」了多少來自社區、安全研究者的提醒、質疑和警告。

打開 Reddit 的 Coinbase 論壇，從 1月開始就有大量用戶報告帳戶被盜、社工詐騙頻發，老外用戶飽受折磨：「我在六個月前就懷疑客服是內鬼了。五次工單，全都草草結案。沒人聯絡我，沒人解釋發生了什麼事」、「我幾乎相信了，因為我剛剛提取的金額接近他們發短信告訴我的金額”、“他們能驗證我的全名、帳戶金額、上次登錄設備，一切都太自然和真實了……”

面對無數來自社區的提醒，Coinbase但嚴格遵守了三體世界的來信「不要回答、不要回答、不要回答」。

如果你要為其辯解說 Coinbase 可能和亞洲人一樣不逛 Reddit 看不到社區經歷的一切，那推特上那些大 KOL、安全研究者的持續提醒他們肯定是能看見的吧。

在推特上擁有 86 萬粉絲的幣圈最強偵探 ZachXBT 在 2 月初就指出，僅去年底至今年初，就有超過 6500 萬美元因社工攻擊被盜。 3 月底他再次發出聲稱，過去兩週又有 4,600 萬美元被盜。他不只一次直指：Coinbase 不作為。

還有 MetaMask 安全負責人、資深鏈上調查員 Taylor Monahan，幾乎每週在 Twitter 上公開批評 Coinbase，不斷嘗試將證據交給他們的安全和支持團隊，而 Coinbase 的“高級調查主管”早在 2024 年底就把她拉黑了。

Taylor Monahan 也直接揭露：Coinbase 大規模外包了客服工作給印度的第三方服務商 TaskUs。早在 2025 年 1 月 11 日，Coinbase 大規模裁員開除了 300 多名印度客服，理由就是「竊盜」與「違規操作」。隨後辦公室遷到古爾岡城市，但內部資料外洩依然頻繁發生，於是 3 月和 4 月又發生了新一波的「裁員」。

對於 Coinbase 口中的那句「我們直到 5 月 11 日才知道」，她毫不留情地諷刺道：「這將是一場非常『有趣』的表演——看他們怎麼裝作完全不知道，直到勒索郵件來了」、「最有可能的說詞」的表演——看他們怎麼裝作完全不知道，直到勒索來了」、「最有可能的說詞」就是：『這不算（p>p>

Ap> Coinbase 高層否認、推脫、冷處理的同時，反倒是一些 Reddit 用戶和受害者，開始自發性地組織出「錦衣衛」，找到了一些騙子的蛛絲馬跡。

一位用戶名為 Scammer-fight-back 的用戶和自己的整個團隊與騙子展開“對線”，他們多次打電話給這些騙子、錄音、保存信息。最後他們追蹤：這些騙子多數來自英國曼徹斯特，辦公在同一個小辦公室裡，用本地口音冒充 Coinbase 客服，一邊套取訊息，一邊完成詐騙流程。

另一位網友 dyfedavalon也有相同的看法：「這是一家來自英國的大型詐騙團夥，規模和範圍很大，能力很強」、「我打電話回去找那些騙子，結果是同一群人。他們這行真的做得太溜了」、「我和他們聊了很多次，他們以為我是受害者，但我是英國人，所以我能聽到和調侃」他們的英國口音。 MetaMask 安全負責人 Taylor Monahan 的調查資訊顯示：Coinbase 外包的第三方印度服務商 TaskUs 內部員工是在 Telegram 上與駭客接頭的，每筆出售用戶郵箱、手機號碼、2FA 資訊的交易收取費用約 1 萬美金，這些錢透過 PayPal 或銀行帳戶直接打入個人名下。

圖源 Taylor Monahan

至於為什麼有人願意冒這麼大風險洩密？ Taylor 分享了更多從這些「印度黑奴」內部流出的內容，直指 TaskUs 的真實工作狀態：廁所不讓上，吃飯時間要靠搶，交付量不夠就會被管理層集體冷處理；壓力大得離譜，生病請假都會被記成‘曠工’，工資直接扣；因為培訓沒跟上節奏，就被直接當場開除。

「這是我職業生涯做過最糟糕的決定。HR 根本不站在你這邊，你哪怕哭著投訴都沒人管你。最後連經驗證明都拿不到，因為他們要求我賠償『訓練成本』」有員工這樣寫道。

Coinbase 外包公司 TaskUs 前員工的抱怨，圖源 Taylor Monahan

萬美元，印度外包客服僅 3,600–4,800 美元/年。也就是說，一名美國客服的薪資能找出至少 15 個印度外包客服。

以 300 個外包職位算，Coinbase 在這裡一年就能節省 1800 萬美元。這還不包括辦公場地、社保、加班費、技術支援等隱性成本節省。

而值得一提的是，根據彭博社記者的調查，Coinbase 為 CEO Brian Armstrong 支付一年的個人安保費用是 620 萬美元。 Coinbase 首席法務長 Paul Grewal，也就是應對 4 億美元駭客事件和 SEC 用戶資料調查的總負責人，去年總薪酬超過了 820 萬美元。

光是 CEO 一年的安保費用和首席法務官的薪資，就可能比 Coinbase 整個平台用戶的安保費用都多了。

目前事件受影響的使用者不乏一些知名人士。根據彭博社報道知情人士透露，紅杉資本合夥人與他的數據管理合夥人 Roelof Coinsbase 是受害者之一透露，紅杉資本管理人的數據地址個人資料相關的其他敏感帳號資訊。

還有 67 歲的 Ed Suman，這位在藝術界從事近二十年，並參與過傑夫·昆斯《氣球狗》雕塑等藝術品製作的知名藝術家，在今年初遭遇假冒 Coinbase 客服騙局，損失超過 200 萬美元加密貨幣。

Coinbase 目前也收到了多起訴訟，用戶指控該公司對其個人資料處理不當。此外，Coinbase 的這項做法也引起了監管機構的注意。例如，俄勒岡州總檢察長辦公室已對 Coinbase 提起訴訟，指控其違反了州證券法，並質疑其用戶協議中的仲裁和集體訴訟豁免條款的合法性。

根據 Elliptic 數據，這次事件的賠償和處置成本達 4 億美元，躋身加密史上第八大安全事故。這次攻擊並沒有「熱錢包被駭」這種戲劇性場面，也沒有「合約漏洞」這類技術複雜性，而是發生在最基礎、最日常、最被忽視的一環：KYC 數據。

但現實是，Coinbase 很可能不會受到太嚴重的實質懲罰。

美國法律中似乎並沒有因意外資料外洩而遭受嚴厲處罰的先例。與資料濫用有關的最有名訴訟案是 Facebook，因為他們違反自己簽署的「未經用戶同意不會與第三方共享用戶資料」的承諾，但這與 Coinbase 面對的情況略有不同。

Coinbase 的事件更接近「資料被內部人員洩露給外部駭客」，屬於資料存取權限被濫用與外包管理不當，應該夠不上系統性隱私欺詐，且損失有限，Coinbase 也表示會賠付。

更重要的是，Coinbase 是一家市值超過 600 億美元的公司，也是加密產業唯一進了標普 500 指數的交易平台，擁有豐富的政策關係、深厚的資本資源。

在這次美國大選中，Coinbase 及其高層向共和黨候選人提供了數千萬美元的捐款，並被認為在多項立法遊說中發揮重要作用。而 SEC 撤銷對 Coinbase 的訴訟，一度認為是與 Coinbase 的政治捐款有關。

一切都指出， Coinbase 將會安然度過這場風暴。而未來，Coinbase 還會活得很好，甚至可能越來越好。

歡迎加入律動 BlockBeats 官方社群：

Telegram 訂閱群：https://t.me/theblockbeats

Telegram 交流群：https://t.me/BlockBeats_App

Twitter 官方帳號：https://twitter.com/BlockBeatsAsia