原文作者: Jaleel 加六,BlockBeats
在最近的用戶資料外洩事件上,Coinbase 處理得很聰明。就像它作為加密第一股,也是第一家也是唯一一家進入了SP 500 的企業應有的身份一樣優雅。
出於禮貌,作者本人已經表達了對Coinbase 基本的respect。接下來,是時候把這家公司狠狠地掛在「恥辱柱」上了。
5 月8 日,加密偵探ZachXBT 在個人頻道發文,明確表示:又有4,500 萬美元從Coinbase 用戶那裡被「社交工程」騙走。而在過去幾個月,他所追蹤的同類案件,金額已高達九位數。騙子慣用的套路是冒充Coinbase 客服打電話或發郵件給用戶,然後一步步誘導用戶點進偽裝成官網的釣魚鏈接,再將資金轉入騙子錢包。
有人說,用戶被社會工程騙了,跟Coinbase 有什麼關係? 「平台不是政府監管部門,怎麼能阻止用戶點進釣魚郵箱呢?」
首先,其他主要交易平台並未如此大規模地出現相似的詐騙問題。其次,一直有不少受害者反映,詐騙犯不僅準確地說出了他們的帳戶餘額和交易時間,甚至能拿出他們的身份證照片,「一切都太真實了」。
一切都指向:Coinbase 洩漏了資料。
我們再來看Coinbase 自己說的。 5 月14 日提交給SEC 披露的8-K 文件顯示,Coinbase 在2025 年1 月就透過安全系統發現,部分海外客服代表在「無業務需求」的情況下,存取了用戶的完整身分資訊。
再來看5 月20 日Coinbase 向緬因州總檢察長辦公室提交的報告,資料外洩事件發生的時間更早,是在2024 年12 月26 日。
緬因州報告顯示,違規發生日期是2024 年12 月26 日,而發現漏洞日期是2025 年5 月11 日
但公佈事件經過的時間是5 月15 日,其官網的公告顯示:犯罪者瞄準了Coinbase 海外的客服人員,用現金從內部人員手中買到了用戶數據。這些資料包括姓名、地址、電話、電子郵件、政府身分證明影像(如駕照、護照)、帳戶餘額快照和交易記錄等。
也就是說,數據早在冬天就被偷了,但現在春天都已經結束了,Coinbase 才在納入標普500 的關鍵時刻,被迫開始正面處理這個「房間裡的大象」,發了通告稱收到了黑客勒索郵件正式披露事件。
據Coinbase 自己所說,他們在發現異常訪問後解雇了相關人員並加強了安全監控。但在這五個月內,Coinbase 唯一做出的「用戶溝通」是在3 月底發出一封含糊不清、不痛不癢的郵件,稱某員工「可能違規」查看了帳戶記錄:
「我們檢測到有跡象表明,一名Coinbase 員工可能以不符合內部政策的方式,查看了少量Coinbase 客戶的帳戶記錄,其中包括您的帳戶。」
The Block 聯合創辦人Mike Dudas 先前在X 上披露自己收到了一封來自Coinbase 令人不安的郵件
除此之外,我們再也沒看到更多官方公開披露的信息,以及更進一步的事件調查。
更「精彩」的來了。
就在5 月15 日,也就是正式公告資料外洩的當天,有新的Coinbase用戶協議正式生效了。
這份協議,堪稱Coinbase 的「自我保護盾」。撇開其他長篇大論的「障眼法」內容,裡面有兩個關鍵條款(9.9 和9.10 兩條):禁止任何形式的集體訴訟(Class Action Waiver);強制所有使用者必須在紐約法院獨立提起訴訟。
為什麼選紐約?因為紐約州有一條對企業極為有利的規定:如果合約中寫明所有爭議需在紐約法院解決,且涉案金額超過100 萬美元,法院不能以「換個更方便地點」拒絕受理。同時,紐約南區法院是金融案件的集中地,審判經驗豐富,Coinbase 和SEC 的訴訟也正是在這裡打響的。
此外,據公開報道,儘管Coinbase 從2021 年起轉為「遠端優先」公司,但在今年舊金山新擬議的辦公室落地之前,紐約One Madison 是Coinbase 在美國最大的辦公場所,已簽署11 年租約,面積為舊址的兩倍。
在這種背景下,即便你和成千上萬的用戶一樣受害,也必須「單槍匹馬」遠赴紐約自費起訴。
協議是在4 月11 日更新, 5 月15 日生效的,這和資料外洩揭露時間幾乎無縫銜接。如此「精準踩點」的合約變更,可謂是「迨天之未陰雨,徹彼桑土,綢繆束薪」-Coinbase 未雨綢繆的前瞻性堪比諸葛孔明。
這一點也引發了技術安全研究員Molly White的質疑,但Coinbase 執行長Brian Armstrong 回應這是「陰謀論」。但當Molly White 進一步追問「為什麼Coinbase 花了一個多月才向SEC 披露此資料違規?上市公司發現重大網路安全事件時,理應在四個工作天內進行揭露。」Brian Armstrong 便不再回應她了。
同時,彭博社引述知情人士表示:在過去五個月內,駭客透過賄賂足夠多的Coinbase 客服代表,實現了對用戶資訊的「按需存取」。甚至在公告發布前幾天的星期三,駭客仍在存取這些資料。但這個說法被Coinbase 首席安全長Philip Martin 反駁了。
Coinbase 目前的說辭大意是:「我們發現有員工不當訪問了數據,並開除了相關人員,但我們當時並不知道數據已經洩漏出去。直到5 月收到黑客勒索郵件,我們才意識到問題的嚴重性。」
其中自我開脫的成分有多少?讓我們來看看在Coinbase 修改了協議、封鎖集體訴訟入口的五個多月裡,同時「視而不見」了多少來自社區、安全研究者的提醒、質疑和警告。
打開Reddit 的Coinbase 論壇,從1月開始就有大量用戶報告帳戶被盜、社工詐騙頻發,老外用戶飽受折磨:“我在六個月前就懷疑客服是內鬼了。五次工單,全都草草結案。沒人聯繫我,沒人解釋發生了什麼”、“我幾乎相信了,因為我剛剛提取的金額接近他們發短信告訴我的金額”、“他們能驗證我上次的全名設備”
面對無數來自社群的提醒,Coinbase 卻嚴格遵守了三體世界的來信「不要回答、不要回答、不要回答」。
如果你要為其辯解說Coinbase 可能和亞洲人一樣不逛Reddit 看不到社群經歷的一切,那麼推特上那些大KOL、安全研究者的持續提醒他們肯定是能看見的吧。
在推特上擁有86 萬粉絲的幣圈最強偵探ZachXBT 在2 月初就指出,光是去年底至今年初,就有超過6,500 萬美元因社工攻擊而被盜。 3 月底他再次發出聲稱,過去兩週又有4,600 萬美元被盜。他不只一次直指:Coinbase 不作為。
還有MetaMask 安全負責人、資深鏈上調查員Taylor Monahan,幾乎每週在Twitter 上公開批評Coinbase,不斷嘗試將證據交給他們的安全和支援團隊,而Coinbase 的「高級調查主管」早在2024 年底就把她拉黑了。
Taylor Monahan 也直接揭露:Coinbase 大規模外包了客服工作給印度的第三方服務商TaskUs。早在2025 年1 月11 日,Coinbase 大規模裁員開除了300 多名印度客服,理由就是「竊盜」與「違規操作」。隨後辦公室遷到古爾岡城市,但內部資料外洩依然頻繁發生,於是3 月和4 月又發生了新一波的「裁員」。
對於Coinbase 口中的那句「我們直到5 月11 日才知道」,她毫不留情地諷刺道:「這將是一場非常『有趣』的表演——看他們怎麼裝作完全不知道,直到勒索郵件來了」、「最有可能的說辭就是:『這不算重大洩露,不需要披露。』」
有些諷刺的是,在Coinbase 高層否認、推脫、冷處理的同時,反倒是一些Reddit 用戶和受害者,開始自發性地組織出「錦衣衛」,找到了一些騙子的蛛絲馬跡。
一位用戶名為Scammer-fight-back 的用戶和自己的整個團隊與騙子展開“對線”,他們多次打電話給這些騙子、錄音、保存資訊。最後他們追蹤:這些騙子多數來自英國曼徹斯特,辦公在同一個小辦公室裡,用本地口音冒充Coinbase 客服,一邊套取訊息,一邊完成詐騙流程。
另一位網友dyfedavalon 也有相同的看法:「這是一家來自英國的大型詐騙團夥,規模和範圍很大,能力很強」、「我打電話回去找那些騙子,結果是同一群人。他們這行真的做得太溜了」、「我和他們聊了很多次,他們以為我是受害者,但我是英國人,所以後來能聽出他們的口音。
還有前文提到的MetaMask 安全負責人Taylor Monahan 的調查資料顯示:Coinbase 外包的第三方印度服務商TaskUs 內部員工是在Telegram 上與駭客接頭的,每筆出售用戶郵箱、手機號碼、2FA 資訊的交易收取費用約1 萬美金,這些錢透過PayPal 或銀行帳戶直接打入個人名下。
圖源Taylor Monahan
至於為什麼有人願意冒這麼大風險洩密呢? Taylor 分享了更多從這些「印度黑奴」內部流出的內容,直指TaskUs 的真實工作狀態:廁所不讓上,吃飯時間要靠搶,交付量不夠就會被管理層集體冷處理;壓力大得離譜,生病請假都會被記成‘曠工’,工資直接扣;因為培訓沒跟上節奏,就被直接當場開除。
「這是我職業生涯做過最糟糕的決定。HR 根本不站在你這邊,你哪怕哭著投訴都沒人管你。最後連經驗證明都拿不到,因為他們要求我賠償‘培訓成本’」有員工這樣寫道。
Coinbase 外包公司TaskUs 前員工的抱怨,圖源Taylor Monahan
根據Glassdoor、Indeed 等多個平台數據:Coinbase 本地客服年薪6-7 萬美元,印度外包客服僅3,600 – 4,800 美元/年。也就是說,一名美國客服的薪資能找到至少15 個印度外包客服。
以300 個外包職缺算,Coinbase 在這裡一年就能省下1800 萬美元。這還不包括辦公場地、社保、加班費、技術支援等隱性成本節省。
而值得一提的是,根據彭博社記者的調查,Coinbase 為CEO Brian Armstrong 支付一年的個人保全費用是620 萬美元。 Coinbase 首席法務長Paul Grewal,也就是應對4 億美元駭客事件和SEC 用戶資料調查的總負責人,去年總薪酬超過了820 萬美元。
光是CEO 一年的安保費用和首席法務官的薪資,就可能比Coinbase 整個平台用戶的安保費用都多了。
目前事件受影響的用戶不乏一些知名人士。根據彭博社通報知情人士透露,紅杉資本管理合夥人Roelof Botha 是受害者之一,他因此被盜的資料包括電話號碼、地址以及與其Coinbase 個人資料相關的其他敏感帳戶資訊。
還有67 歲的Ed Suman,這位在藝術界從事近二十年,並參與過傑夫·昆斯《氣球狗》雕塑等藝術品製作的知名藝術家,在今年初遭遇假冒Coinbase 客服騙局,損失超過200 萬美元加密貨幣。
Coinbase 目前也收到了多起訴訟,用戶指控該公司對其個人資料處理不當。此外,Coinbase 的這項做法也引起了監管機構的注意。例如,俄勒岡州總檢察長辦公室已對Coinbase 提起訴訟,指控其違反了州證券法,並質疑其用戶協議中的仲裁和集體訴訟豁免條款的合法性。
根據Elliptic 數據,這次事件的賠償和處置成本達4 億美元,躋身加密史上第八大安全事故。這次攻擊並沒有「熱錢包被駭」這種戲劇性場面,也沒有「合約漏洞」這類技術複雜性,而是發生在最基礎、最日常、最被忽視的一環:KYC 數據。
但現實是,Coinbase 很可能不會受到太嚴重的實質懲罰。
美國法律中似乎並沒有因意外資料外洩而遭受嚴厲處罰的先例。與資料濫用有關的最有名訴訟案是Facebook,因為他們違反自己簽署的「未經用戶同意不會與第三方共享用戶資料」的承諾,但這與Coinbase 面對的情況略有不同。
Coinbase 的事件更接近「資料被內部人員洩露給外部駭客」,屬於資料存取權限被濫用與外包管理不當,應該夠不上系統性隱私欺詐,且損失有限,Coinbase 也表示會賠付。
更重要的是,Coinbase 是一家市值超過600 億美元的公司,也是加密產業唯一進了標普500 指數的交易平台,擁有豐富的政策關係、深厚的資本資源。
在這次美國大選中,Coinbase 及其高層向共和黨候選人提供了數千萬美元的捐款,並被認為在多項立法遊說中發揮重要作用。而SEC 撤銷對Coinbase 的訴訟,一度認為是與Coinbase 的政治捐款有關。
一切都指出, Coinbase 將會安然度過這場風暴。而未來,Coinbase 還會活得很好,甚至可能越來越好。
