原文作者:Jaleel 加六,BlockBeats
在最近的用户数据泄漏事件上,Coinbase 处理得很聪明。就像它作为加密第一股,且是第一家也是唯一一家进入了 S&P 500 的企业应有的身份一样优雅。
出于礼貌,作者本人已经表达完了对 Coinbase 基本的 respect。接下来,是时候把这家公司狠狠地挂在「耻辱柱」上了。
5 月 8 日,加密侦探 ZachXBT 在个人频道发文,明确表示:又有 4500 万美元从 Coinbase 用户那里被「社交工程」骗走。而在过去几个月,他所追踪到的同类案件,金额已高达九位数。骗子惯用的套路是冒充 Coinbase 客服打电话或发邮件给用户,然后一步步诱导用户点进伪装成官网的钓鱼链接,再将资金转入骗子钱包。
有人说,用户被社会工程骗了,跟 Coinbase 有什么关系?「平台不是政府监管部门,怎么能阻止用户点进钓鱼邮箱呢?」
首先,其他主要交易平台并未如此大规模地出现相似的诈骗问题。其次,一直有不少受害者反映,诈骗犯不仅准确说出了他们的账户余额和交易时间,甚至能拿出他们的身份证照片,「一切都太真实了」。
一切都直指:Coinbase 泄漏了数据。
我们再来看 Coinbase 自己说的。5 月 14 日提交给 SEC 披露的 8-K 文件显示,Coinbase 在 2025 年 1 月就通过安全系统发现,部分海外客服代表在「无业务需要」的情况下,访问了用户的完整身份信息。
再看 5 月 20 日 Coinbase 向缅因州总检察长办公室提交的报告,数据泄露事件发生的时间更早,是在 2024 年 12 月 26 日。
缅因州报告显示,违规发生日期是 2024 年 12 月 26 日,而发现漏洞日期是 2025 年 5 月 11 日
但公布事件经过的时间是 5 月 15 日,其官网的公告显示:犯罪分子瞄准了 Coinbase 海外的客服人员,用现金从内部人员手里买到了用户数据。这些数据包括姓名、地址、电话、电子邮件、政府身份证明图像(如驾照、护照)、账户余额快照和交易记录等。
也就是说,数据早在冬天就被偷了,但现在春天都已经结束了,Coinbase 才在纳入标普 500 的关键时刻,被迫开始正面处理这个「房间里的大象」,发了通告称收到了黑客勒索邮件正式披露事件。
据 Coinbase 自己所说,他们在发现异常访问后解雇了相关人员并加强了安全监控。但在这五个月内,Coinbase 唯一做出的「用户沟通」是在 3 月底发出一封含糊不清、不痛不痒的邮件,称某员工「可能违规」查看了账户记录:
「我们检测到有迹象表明,一名 Coinbase 员工可能以不符合内部政策的方式,查看了少量 Coinbase 客户的账户记录,其中包括您的账户。」
The Block 联合创始人 Mike Dudas 此前在 X 上披露自己收到了一封来自 Coinbase 令人不安的邮件
除此之外,我们再也没看到过更多官方公开披露的信息,以及更进一步的事件调查。
更「精彩」的来了。
就在 5 月 15 日,也就是正式公告数据泄漏的当天,有个新的 Coinbase用户协议正式生效了。
这份协议,堪称 Coinbase 的「自我保护盾」。抛开其他长篇大论的「障眼法」内容,里面有两个关键条款(9.9 和 9.10 两条):禁止任何形式的集体诉讼(Class Action Waiver);强制所有用户必须在纽约法院独立提起诉讼。
为什么选纽约?因为纽约州有一条对企业极其有利的规定:如果合同中写明所有争议需在纽约法院解决,且涉案金额超过 100 万美元,法院不能以「换个更方便地点」拒绝受理。同时,纽约南区法院是金融案件的集中地,审判经验丰富,Coinbase 和 SEC 的诉讼也正是在这里打响的。
此外,据公开报道,尽管 Coinbase 从 2021 年起转为「远程优先」公司,但在今年旧金山新拟议的办公室落地之前,纽约 One Madison 是 Coinbase 在美国最大的办公场所,已签署 11 年租约,面积为旧址的两倍。
在这种背景下,即便你和成千上万的用户一样受害,也必须「单枪匹马」远赴纽约自费起诉。
协议是在 4 月 11 日更新, 5 月 15 日生效的,这和数据泄漏披露时间几乎无缝衔接。如此「精准踩点」的合约变更,可谓是「迨天之未阴雨,彻彼桑土,绸缪束薪」——Coinbase 未雨绸缪的前瞻性堪比诸葛孔明。
这一点也引发了技术安全研究员Molly White 的质疑,但 Coinbase 首席执行官 Brian Armstrong 回应这是「阴谋论」。但当 Molly White 进一步追问「为什么 Coinbase 花了一个多月才向 SEC 披露此次数据违规?上市公司发现重大网络安全事件时,理应在四个工作日内进行披露。」Brian Armstrong 便不再回应她了。
与此同时,彭博社援引知情人士称:在过去五个月内,黑客通过贿赂足够多的 Coinbase 客服代表,实现了对用户信息的「按需访问」。甚至在公告发布前几天的星期三,黑客仍在访问这些数据。但这个说法被 Coinbase 首席安全官 Philip Martin 反驳了。
Coinbase 目前的说辞大意是:「我们发现有员工不当访问了数据,并开除了相关人员,但我们当时并不知道数据已经泄漏出去。直到 5 月收到黑客勒索邮件,我们才意识到问题的严重性。」
其中自我开脱的成分有多少?让我们来看看在 Coinbase 修改了协议、封堵集体诉讼入口的五个多月里,同时「视而不见」了多少来自社区、安全研究者的提醒、质疑和警告。
打开 Reddit 的 Coinbase 论坛,从 1 月开始就有大量用户报告账户被盗、社工诈骗频发,老外用户饱受折磨:「我在六个月前就怀疑客服是内鬼了。五次工单,全都草草结案。没人联系我,没人解释发生了什么」、「我几乎相信了,因为我刚刚提取的金额接近他们发短信告诉我的金额」、「他们能验证我的全名、账户金额、上次登录设备,一切都太自然和真实了……」
面对无数来自社区的提醒,Coinbase 却严格遵守了三体世界的来信「不要回答、不要回答、不要回答」。
如果你要为其辩解说 Coinbase 可能和亚洲人一样不逛 Reddit 看不到社区经历的一切,那推特上那些大 KOL、安全研究者的持续提醒他们肯定是能看见的吧。
在推特上拥有 86 万粉丝的币圈最强侦探 ZachXBT 在 2 月初就指出,仅去年底至今年初,就有超过 6500 万美元因社工攻击被盗。3 月底他再次发声称,过去两周又有 4600 万美元被盗。他不止一次直指:Coinbase 不作为。
还有 MetaMask 安全负责人、资深链上调查员 Taylor Monahan,几乎每周在 Twitter 上公开批评 Coinbase,不断尝试将证据交给他们的安全和支持团队,而 Coinbase 的「高级调查主管」早在 2024 年底就把她拉黑了。
Taylor Monahan 还直接揭露:Coinbase 大规模外包了客服工作给印度的第三方服务商 TaskUs。早在 2025 年 1 月 11 日,Coinbase 大规模裁员开除了 300 多名印度客服,理由就是「盗窃」与「违规操作」。随后办公室迁到古尔冈城市,但内部数据泄露依然频繁发生,于是 3 月和 4 月又发生了新一波的「裁员」。
对于 Coinbase 口中的那句「我们直到 5 月 11 日才知道」,她毫不留情地讽刺道:「这将是一场非常『有趣』的表演——看他们怎么装作完全不知道,直到勒索邮件来了」、「最有可能的说辞就是:『这不算重大泄露,不需要披露。』」
有些讽刺的是,在 Coinbase 高管否认、推脱、冷处理的同时,反倒是一些 Reddit 用户和受害者,开始自发性地组织出「锦衣卫」,找到了一些骗子的蛛丝马迹。
一位用户名为 Scammer-fight-back 的用户和自己的整个团队与骗子展开「对线」,他们多次打电话给这些骗子、录音、保存信息。最终他们追踪到:这些骗子多数来自英国曼彻斯特,办公在同一个小办公室里,用本地口音冒充 Coinbase 客服,一边套取信息,一边完成诈骗流程。
另一位网友 dyfedavalon 也有相同的看法:「这是一家来自英国的大型诈骗团伙,规模和范围很大,能力很强」、「我打电话回去找那些骗子,结果是同一群人。他们这行真的做得太溜了」、「我和他们聊了很多次,他们以为我是受害者,但我是英国人,所以能听出和调侃他们的英国口音。他们后来直接请求我别再打电话骚扰他们。」
还有前文提到的 MetaMask 安全负责人 Taylor Monahan 的调查信息显示:Coinbase 外包的第三方印度服务商 TaskUs 内部员工是在 Telegram 上与黑客接头的,每笔出售用户邮箱、手机号、2FA 信息的交易收取费用约 1 万美金,这些钱通过 PayPal 或银行账户直接打入个人名下。
图源 Taylor Monahan
至于为什么有人愿意冒这么大风险泄密?Taylor 分享了更多从这些「印度黑奴」内部流出的内容,直指 TaskUs 的真实工作状态:厕所不让上,吃饭时间要靠抢,交付量不够就会被管理层集体冷处理;压力大得离谱,生病请假都会被记成『旷工』,工资直接扣;因为培训没跟上节奏,就被直接当场开除。
「这是我职业生涯做过最糟糕的决定。HR 根本不站在你这边,你哪怕哭着投诉都没人管你。最后连经验证明都拿不到,因为他们要求我赔偿『培训成本』」有员工这样写道。
Coinbase 外包公司 TaskUs 前员工的抱怨,图源 Taylor Monahan
根据 Glassdoor、Indeed 等多个平台数据:Coinbase 本地客服年薪 6-7 万美元,印度外包客服仅为 3600 – 4800 美元/年。也就是说,一名美国客服的薪资能找至少 15 个印度外包客服。
按 300 个外包岗位算,Coinbase 在这里一年就能节省 1800 万美元。这还不包括办公场地、社保、加班费、技术支持等隐性成本节省。
而值得一提的是,据彭博社记者的调查,Coinbase 为 CEO Brian Armstrong 支付一年的个人安保费用是 620 万美元。Coinbase 首席法务官 Paul Grewal,也就是应对 4 亿美元黑客事件和 SEC 用户数据调查的总负责人,去年总薪酬超过了 820 万美元。
光是 CEO 一年的安保费用和首席法务官的薪资,就可能比 Coinbase 整个平台用户的安保费用都多了。
目前事件受影响的用户不乏一些知名人士。据彭博社报道知情人士透露,红杉资本管理合伙人 Roelof Botha 是受害者之一,他因此被盗的数据包括电话号码、地址以及与其 Coinbase 个人资料相关的其他敏感账户信息。
还有 67 岁的 Ed Suman,这位在艺术界从事近二十年,并参与过杰夫·昆斯《气球狗》雕塑等艺术品制作的知名艺术家,在今年初遭遇假冒 Coinbase 客服骗局,损失超过 200 万美元加密货币。
Coinbase 目前也收到了多起诉讼,用户指控该公司对其个人数据处理不当。此外,Coinbase 的这一做法也引起了监管机构的关注。例如,俄勒冈州总检察长办公室已对 Coinbase 提起诉讼,指控其违反了州证券法,并质疑其用户协议中的仲裁和集体诉讼豁免条款的合法性。
根据 Elliptic 数据,这次事件的赔偿和处置成本达 4 亿美元,跻身加密史上第八大安全事故。这次攻击并没有「热钱包被黑」这种戏剧性场面,也没有「合约漏洞」这类技术复杂性,而是发生在最基础、最日常、最被忽视的一环:KYC 数据。
但现实是,Coinbase 很可能不会受到太严重的实质惩罚。
美国法律中似乎并没有因意外数据泄露而遭受严厉处罚的先例。与数据滥用有关的最有名诉讼案是 Facebook,因为他们违反自己签署的「未经用户同意不会与第三方共享用户数据」的承诺,但这与 Coinbase 面对的情况略有不同。
Coinbase 的事件更接近于「数据被内部人员泄露给外部黑客」,属于数据访问权限被滥用与外包管理不当,应该够不上系统性隐私欺诈,且损失有限,Coinbase 也表示会赔付。
更重要的是,Coinbase 是一家市值超过 600 亿美元的公司,也是加密行业唯一一家进了标普 500 指数的交易平台,拥有丰富的政策关系、深厚的资本资源。
在这一次美国大选中,Coinbase 及其高管向共和党候选人提供了数千万美元的捐款,并被认为在多项立法游说中发挥重要作用。而 SEC 撤销对 Coinbase 的诉讼,也被一度认为是与 Coinbase 的政治捐款有关。
一切都指出, Coinbase 将会安然度过这场风暴。而未来,Coinbase 还会活得很好,甚至可能越来越好。
