Coinbase 公開披露因賄賂事件導致數據洩漏,令用戶個人資料被盜用,引發法律壓力不斷升級。交易所公布這次洩漏以及相關二千萬美元勒索案僅48小時內,至少已接獲六宗聯邦訴訟,原訴人批評公司疏忽、內部管控差劣,以及處理事故善後不力。
這些法律訴訟於5月15日至16日期間在紐約和加州聯邦法院提出,指 Coinbase 基本的資料保護責任失守,回應遲緩、零碎,而該平台本已受美國證券交易委員會(SEC)監察。
訴訟指責平台系統性失效,令威脅者能賄賂客服代表,非法進入 Coinbase 內部系統。原訴人認為,這宗事件反映平台安全結構的更廣泛漏洞——對於日漸高風險的中心化加密貨幣交易所來說,這些問題恐怕並非 Coinbase 專有。
按照 Coinbase 自行披露,事件由網絡犯罪份子以 Telegram 向多位支援人員行賄,交換進入後台管理工具的權限而起。Coinbase 已證實涉事在印度的支援人員已遭解僱,但內部追責範圍仍未明朗。
據報,攻擊者成功取得並外流的用戶資料包括:
- 姓名、電郵、電話號碼
- 住址
- 社會安全號碼最後四位數
- 身份證明(如護照、駕照)
- 賬戶中繼資料(結餘及交易紀錄)
公司於5月15日披露,四天前曾接獲2000萬美元贖金勒索,暗示事件由被突破到公開有時間延遲。用戶與法律觀察者認為,這延誤令受影響人士更難即時凍結賬戶或監控信用記錄,加重損失風險。
訴訟集中於疏忽與保安不足
所有針對 Coinbase 的訴訟皆指平台未能落實和維持足夠的保安措施,保障敏感用戶資料。
其中一宗由 Paul Bender 在紐約提告,指 Coinbase「未有採取合理保障」,令數百萬用戶承受「嚴重且持續風險」。控狀亦批評公司溝通策略表現「不足、零碎而且遲緩」。
原訴人強調風險遠不僅止於金錢損失。與虛擬貨幣錢包遭盜或代幣被竊不同,個人身份證明文件一旦外洩,將無法回收或更改,等同受害者面對長遠的身份盜竊、網絡釣魚和金融詐騙威脅。
另有訴訟加入「不當得益」指控,指 Coinbase 沒有投放足夠資源於保安,卻因用戶數據與活動而獲利。
在加州提出的另一宗訴訟更進一步,要求 Coinbase 刪除旗下全部敏感用戶資料、進行第三方系統審計,以及全面檢討數據儲存和存取政策。
所有訴訟均要求金錢賠償及強制性救濟,但法律程序是否集中處理或將持續多久仍未明。
行業啟示:內部人風險及中心化問題
Coinbase 事件及隨後一連串訴訟,引發關於加密貨幣中心化基建風險的關鍵討論。去中心化金融(DeFi)旨在減少中介角色,但如 Coinbase 等交易所仍必須持有不僅是數碼資產,還包括符合法規所需的完整用戶身份資料(KYC/AML)。
這龐大的數據庫令中心化交易所成為網絡罪犯的首選目標。但這次事件並不源於先進的軟體漏洞攻擊,而是因為社交工程與內部人員操縱——這種威脅往往難以僅用代碼預防和偵測。
隨着美國本土現貨比特幣及以太坊 ETF 數目攀升,Coinbase 的機構角色亦日趨重要。該公司現為大部分 SEC 核准加密 ETF 的託管人。這種中心化再增加結構性風險。
金融記者 Eleanor Terret 指出:「如果 Coinbase 連自己內部系統都保護不當,整個建立於其上的 ETF 架構都隨時有危機。」
SEC 關注及財務衝擊
除訴訟外,Coinbase 亦向 SEC 申報預計與用戶賠償和事故應對相關的成本將介乎1億8千萬至4億美元。雖然公司拒絕向黑客支付贖金,但已承諾會彌補因資料被盜而誤發加密貨幣給騙徒的用戶。
同時,SEC 亦調查指 Coinbase 於2021年財報誤報用戶指標的新指控,使公司監管挑戰進一步加劇。
資料外洩公佈當日,Coinbase 股價(COIN)下跌7%,至244美元。不過翌日即反彈9%,反映投資者或已預計其長遠恢復力——或已習慣加密股波動。
安全模式備受檢視
Coinbase 的內部存取控制成為重點審視。業內人士批評,不應讓客服人員直接看到用戶完整身份資料。
一位美國受監管加密平台前合規主管表示:「讓客服隨意存取全套 KYC 資料、且缺乏加密記錄或分層授權,根本無合理理由,非常危險。」
針對變革的呼聲不限於 Coinbase,業界普遍建議要:
- 最小化內部對敏感資料的存取
- 實施嚴格職責分級權限管理
- 所有數據存取均以加密方式記錄在案
- 用零知識證明或加密標記進行客服驗證
- 用戶可完全掌握誰、何時查閱其資料
這些措施往往耗費高昂且操作複雜,但隨法律及聲譽代價增加,交易所或難有選擇。
用戶面臨真實世界風險
除抽象法律爭拗外,受影響 Coinbase 用戶其實面對切身危機。法律專家警告,被洩資料——尤其身份證明及住址——可用於冒開新信用額度、詐冒受害者進行財務交易,甚至構成人身威脅。
金融科技律師 Ariel Givner 表示,確已接獲用戶來信,擔心不僅失財,更憂人身安全。加密資產結餘加上詳細個人資料,為騙案帶來高度風險。
此外,近期圈內對人身暴力的擔憂亦上升。年初巴黎一宗案件中,有加密高管家人遭綁架未遂。若資料外洩與財富狀況結合,類似事件更易發生。
中心化交易所信任危機
Coinbase 洩密事件突顯整個加密行業的矛盾:交易所為服務規模化及符合法規不斷中心化,但也變得更脆弱。
長久以來,去中心化的討論都集中於區塊鏈或共識協議。但對大多數用戶而言,接觸加密經濟的第一步與末端其實就是中心化交易所。當平台自身成為風險源,全行業也受連累。
一系列對 Coinbase 的訴訟有望成為拐點,推動交易所改革內部流程、注重數據最小化以及重新構思 KYC 資料保管模式。
未來若無實變,普通用戶只能寄望中心化平台自行守規,面對過度授權的客服及落後於新型金融產品的內部政策。
結語
Coinbase 傳出多宗訴訟,不僅公司層面危機,更是中心化加密營運及合規導向安全模式風險的實例。透過內部賄賂讀取資料,將加密風險提升至新層次,單靠公關回應或部分補償難以化解。
Coinbase 能否成功應對這些法律指控,關鍵或在於內部政策細節、披露時間及用戶保護機制。
但無論結果如何,這次事件已促成行業反思:加密平台如何管理身份、存取及信任——在這個世界裡,最大威脅往往來自企業防火牆之內。