作者:Fairy,ChainCatcher
编辑:TB,ChainCatcher
“预计此次事件的损失约为 1.8 亿至 4 亿美元。”
一纸政审终究是挡不住社工攻击....
4 月初,我们曾报道Coinbase 用户频遭精准诈骗,年度损失可能高达 3 亿美元。如今,真相正逐渐浮出水面。
昨日,Coinbase 披露核心细节,黑客通过收买海外客服人员,窃取了少于 1% 活跃用户的个人信息。遮掩已久的内部安全隐患,终于暴露在阳光下。
荣耀未散,危机却至
在冲上标普 500 的利好消息不到一周,Coinbase安全丑闻便接踵而至,股价随即转跌,日内下挫 7.2%。
四月初,The Block 联合创始人 Mike Dudas 就曾接到 Coinbase 通知,称其账户遭员工违规访问,彼时内部数据权限管理已引发担忧。(相关阅读:一年损失 3 亿美元,Coinbase 用户频遭精准诈骗,背后竟藏“内鬼”泄露信息?)
而Coinbase 昨日的公告,首次披露了事件全貌:海外客服人员遭犯罪分子收买,复制了不到 1% 月活用户的数据,试图冒充官方实施诈骗。黑客试图敲诈 Coinbase,索要 2000 万美元封口费。Coinbase 拒绝支付,并反向悬赏同额奖金,追缉并定罪幕后主使。
与此同时,Coinbase 是否虚报用户数量的问题也被推上台面。SEC 正调查其在注册文件中披露的“1 亿验证用户”这一关键数据,而该指标早在两年后被悄然停用。尽管其首席法务官 Paul Grewal 回应称,这属上届政府的遗留调查,相关信息也已充分披露,然而,内忧外患之下,Coinbase再次成为舆论焦点。
Coinbase还能信吗?
Coinbase 的可信度正遭受前所未有的考验。对于一家以“安全合规”为核心卖点的上市加密交易所来说,敏感数据外泄、社工诈骗风险激增以及潜在的监管处罚,无疑是一次多线“打脸”。
从 Coinbase 公告披露的内容来看,黑客所窃取的信息几乎覆盖了用户的完整 KYC 档案:包括姓名、地址、电话、电邮、身份证件图像,甚至还有部分银行账户信息。这类信息落入不法分子之手,除了对后续的社工攻击、钓鱼邮件和资金盗窃提供了“精准弹药”,还可能被转售于暗网,形成长期隐患。
再看Coinbase 的应对措施,Coinbase 承诺将全额赔偿因本次事件受骗而向攻击者转账的用户,并针对安全漏洞展开系统性修复。强化客服权限管理,在美国新增客服中心以提升监管能力。同时,Coinbase 也将内部加大对潜在威胁检测、自动响应和攻击模拟测试的投入。
这些举措虽然是亡羊补牢,但也释放出Coinbase “正面迎战”的态度。这一系列补救措施能否真正遏制风险、重新赢得投资者与用户的信任,还需时间与实际成效来验证。
KYC 争议重燃
KYC 的初衷是反洗钱、反恐融资,但在现实操作中,它也成为用户隐私最集中的信息库。Coinbase 此次数据泄露事件,将KYC制度的争议再次推至台前。
在这场风波中,多个项目创始人和 CEO 纷纷发声,围绕三个问题展开了反思:
- “隐私交换安全”是否值得?
Nansen CEO Alex Svanevik 直言,KYC 制度要求用户提交大量敏感信息,如身份证件、护照、水电账单等,但现实中却“几乎没有真正的罪犯被抓住”。
Casa 钱包 CEO Nick Neuman 表示:“这就是我们不采集 KYC 的原因。”在他看来,KYC 只会给黑客提供更多攻击途径。
- 制度漏洞加剧用户风险
平台收集用户敏感信息,若缺乏相应的保护能力,反而会将用户置于更大风险之中。Wintermute CEO Evgeny Gaevoy 强调,Coinbase 并未及时披露信息泄露事件,正是“我们所处愚蠢又荒谬的 KYC/AML 体制的阴暗面”。他认为,这套制度“为地缘政治与执法提供了便利,却牺牲了公民隐私,还给企业施加了沉重负担,使犯罪分子更容易进行勒索、绑架和诈骗。
- 信息蜜罐,还要继续加码?
DeFiance Capital 创始人 Arthur 在 X 平台发文表示,Coinbase 真的需要解决他们的问题,如果最终 Coinbase 平台变成用户重要信息的蜜罐,没有理由要求不断 KYC。
对加密行业而言,当“合规”成为强制收集用户敏感信息的理由时,平台是否已准备好承担随之而来的数据安全责任?这场围绕 KYC 的讨论并非首次出现,但这次的现实案例让争议显得更加尖锐:监管合规与用户隐私之间的张力,正在成为加密行业无法回避的一道难题。
合规是通往主流的门票,但也是数据安全的炼金石。它不仅考验技术实力,更拷问平台的责任感与治理水平。
这是一条没有回头的路,也是一场注定漫长而艰难的修行。
前路漫漫,任重而道远。
