一宗 Coinbase 資料外洩事件疑由內部員工發起並隱藏數月,刺激加密貨幣圈猛烈批評。事件不僅揭示了美國最大加密貨幣交易所的內部安全漏洞,還再次引發對中心化平台託管及身份資料集中風險的廣泛憂慮。
是次外洩 涉及未經授權存取及洩露用戶敏感資料,包括政府簽發的身份證、實際住址和聯絡資料,使受影響用戶暴露於高階釣魚詐騙及冒充襲擊風險。據報,事件早於一月已發生,但 Coinbase 直至五月才通知用戶,這段延誤令批評者質疑是否導致連串針對性騙案,亦暴露公司管治機制的系統性缺失。
與一般由外部黑客入侵的交易所資料外洩不同,這次事故是內部引致。據資安消息人士透露,一名 Coinbase 客服員工未經授權取得大批客戶資料,疑將其售賣到暗網並利用公司內部權限漏洞。
是次外洩 reportedly 影響 “ 少於 1% ” 的 Coinbase 月活躍用戶,但因牽涉資料極為敏感,因此損害嚴重。外洩資料包括真名、加密錢包住址、政府證件圖像、電話號碼及住址等,這些元數據足以令黑客發動精密釣魚甚至實體勒索行動。
這宗內部事故令人聯想到傳統金融機構過往類似事件,但於加密貨幣領域衝擊更大,因區塊鏈資產根本建立於偽名性及鏈上不可逆交易特性。
用戶反應:詐騙橫行、現實安全憂慮
早於 2024 年初,已陸續有利用被盜 Coinbase 資料進行冒充詐騙的報告,遠早於官方承認洩漏。受害者形容攻擊極具針對性,冒充 Coinbase 客服人員,誘使用戶交出一次性密碼或授權惡意交易。
一名披露個案的受害者 QwQiao(某加密企業客服專員)分享了一宗模仿 Coinbase 操作極為真實的詐騙經歷,幾乎上當。他指攻擊者聲稱單日已從此類騙案撈取 700 萬美元。
法律及網絡安全專家警告,這次外洩不僅僅是金錢損失。金融科技律師 Ariel Givner 表示,同日收到五宗查詢,受害人擔心家人安全。以私隱工具 Rotki 創辦人 Lefteris Karapetsas 為例,他指出真實身份及錢包地址合併是「致命組合」。
事件凸顯了加密業長期存在的合規問題:KYC 規定要求用戶交出大量個人資料(PII),成為黑客覬覦的高價標的。一旦中心化機構防護失效,受害者風險遠不止帳戶被盜。
Coinbase 延遲披露引爆公眾憤怒
事件另一眾矢之的焦點在於披露時間延誤。業界情報指 Coinbase 早於 2025 年 1 月便已知悉,但直到 5 月才陸續有用戶被通知。
加密分析師 Duo Nine 指出披露時間的矛盾,質疑數月的釣魚案現已找到源頭:「一直以來都有人被冒充凍結資產,現時終於解惑。」
Web3 分析師 Adam Cochran 則批評 Coinbase 側重於資金損失而忽略資料外洩本質。他質疑支持員工可存取用戶敏感 KYC 資料的合理性:「根本無任何 KYC/AML 規定需令客服人員有咁深層資料存取權。」
此等安排反映公司欠缺嚴格的角色分級存取控管(RBAC),未能防止下級員工查看極敏感資料。
中心化託管焦點:ETF 依賴與單點失效風險
Coinbase 資料洩漏同時引起外界關注其在 ETF 結構中的主導地位。現時 Coinbase 為 8 隻美國獲批現貨比特幣 ETF 及 8 隻以太坊 ETF 擔任託管人,同時提供交易執行與市場監察服務,成為機構級加密價值鏈的關鍵節點。
作為美國受規管加密市場的重要閘口,Coinbase 的營運風險現已涉獵散戶、ETF 發行商及資產管理公司。評論人 Eleanor Terret 指 Coinbase 地位形同「單點失效」,多人多產品高度依賴單一託管機構。
伴隨 ETF 吸納資金湧入,一旦有託管不穩信號,或會觸發監管機構關注,甚至引發跨平台連鎖風險。
黑市動向:外洩屬大規模數據包一部分
威脅情報機構指這次 Coinbase 資料疑屬於一個流通於暗網的 1800 萬筆紀錄巨型數據包之中。當中一則黑市刊登以 1 萬美元叫賣逾 43.2 萬 Coinbase 用戶紀錄,內容包括完整身份檔案,足以發動冒充、劫 SIM 或實體勒索。
資訊安全專家認為,Coinbase 資料集包括:
- 全名及電郵地址
- 實體郵寄地址
- 帳號連結電話
- KYC 文件(身份證明/水電單)
- 關聯錢包地址
攻擊者經常將上述資料與鏈上交易交叉比對以鎖定高值目標。有案件顯示勒索已升級至實體威脅。最近一宗巴黎加密高管家族綁架未遂事件令網上身份安全議題更受關注。
機構角色令回應更複雜
截稿時,Coinbase 未有對事件作詳盡公報,亦未確認受影響用戶總數。公司僅稱正積極追回盜取資金,對數據管治、內部監察及 KYC 儲存結構未予明確交代。
依賴 Coinbase 的 ETF 發行商及機構投資者因資訊不足,風險評估工作備受挑戰。雖然金融科技行業偶有資料外洩,但是次事件的特點在於:
- 內部人員涉案
- 披露延誤長達數月
- 外洩內容涵蓋 PII 敏感資訊及加密資產
- Coinbase 在監管產品中角色舉足輕重
金融服務公司早已受制於 GDPR、加州消費者私隱法(CCPA)及各類美國聯邦新法。Coinbase 是否合規處理今次外洩,未來數月或面臨考驗。
更大反思:加密世界的中心化弱點
Coinbase 事故引發業界反思,中心化基建依賴如何與去中心化精神衝突。
儘管以太坊、比特幣、Solana 等網絡協議層面去中心化,絕大多數用戶卻經中心化第三方——如交易所及託管平台——使用,加上這些平台聚積大量 KYC 合規用戶資料。
一旦這些數據集遭竊,鏈上透明與鏈下不透明的安全落差突顯。
正如加密交易員 Bob Loukas 所言:「大家都知你坐擁最多人爭奪的數據,你竟然容許客服批量存取。實在不能接受。」
這事件為 Web3 生態身份數據中心化風險提供鮮活案例,警惕監管方、開發者及投資者。
後續發展?
Coinbase 資料外洩的影響預料會在多方面浮現:
- 法律:不同司法區可能有集體訴訟,須視損害證據而定。
- 監管:美國及歐盟當局或調查 Coinbase KYC 操作及通報機制。
- 技術:機構合作夥伴或重新審視其基建,特別是 ETF 託管角色。
- 市場信心:中心化交易所及託管信任進一步動搖,自託管及去中心化身份工具料增關注。
隨著加密貨幣逐漸獲主流金融機構青睞,市場亦開始對數據治理、透明度及披露提出更高要求。Coinbase 內鬼洩密一事正好警示大家,去中心化金融之路仍嚴重依賴中心化信任,而這種信任堪虞易碎。