Coinbase資料外洩暴露用戶資訊，引發對中心化加密貨幣安全的擔憂

Coinbase因一名內部員工主導的資料外洩事件，且被隱瞞數月，已在加密社群引爆強烈撻伐。此事件不僅突顯美國交易量最大加密貨幣交易所在內部安全上的重大漏洞，更再度喚起外界對中心化平台託管風險、身份資料集中等問題的關注。

這起外洩事件涉及未經授權存取和洩漏大量敏感用戶資訊，包括政府核發的證件、實體地址及聯絡方式，使受害者易受高度針對性的釣魚和冒充詐騙攻擊。事件據稱早於一月即發生，直到五月Coinbase才通知用戶，批評者認為延遲通報導致連串詐騙案件，暴露出公司治理的系統性問題。

不同於一般遭受外部駭客攻擊的加密貨幣交易所外洩，本事件來自內部。據網安專家透露，一名Coinbase客戶服務員工獲取了大量客戶資料，並疑似在暗網售賣，利用公司內部權限管理的漏洞。

雖然本次受影響人數僅為Coinbase「不到1%」的每月活躍用戶，但由於洩漏資訊高度敏感，影響依然嚴重。受外洩資料包含真實姓名、加密錢包地址、政府證件影像、電話號碼及住址，這些元數據足以策劃高風險釣魚，甚至進行人身勒索。

這起內部外洩事件常被拿來與傳統金融機構劣跡相較，但在加密領域，由於區塊鏈資產的去識別性以及鏈上轉帳不可逆，更顯其嚴重性。

用戶後續：詐騙猖獗與現實恐懼

2024年初，就在公司公開承認外洩之前，已有Coinbase數據被盜用進行冒充詐騙的報導浮現。受害人描述，釣魚攻擊極具針對性，甚至假冒Coinbase客服誘騙用戶交出一次性密碼或授權惡意交易。

據稱，一名受害者QwQiao（某加密公司客服專員）詳述了一次高度仿造Coinbase流程的詐騙歷程，他表示詐騙者誇稱靠類似操作一天就獲得700萬美元。

法律及網安專家警告，這次外洩風波不僅止於資產盜竊。金融科技律師Ariel Givner回報單日就有五人聯繫她，擔憂家人安危。隱私工具Rotki的創辦人Lefteris Karapetsas也指出，真實身份數據合併錢包地址日益成為「致命組合」。

此事揭示出加密合規架構中反覆出現的問題：KYC（認識你的客戶）政策往往要求用戶交出足夠辨識個人身份的資料，使這些成為黑客覬覦重點。一旦中心化機構控管不當，風險遠超帳戶被盜層次。

Coinbase延遲公布激怒用戶

外界最不滿的焦點之一即公開通報時機。資安研究人員與業內人士稱，Coinbase早於2025年一月已知悉外洩，卻直到五月陸續有報導出現才通知用戶。

加密分析師Duo Nine特別點出這段時間落差，稱數月以來大量Coinbase用戶被冒充詐騙攻擊，終因這筆資料外洩而有了解釋：「Coinbase用戶資產不斷被掏空，現在我們終於知道原因。」

Web3知名分析師Adam Cochran則批評Coinbase總是聚焦於資金損失，卻忽略資料外洩本身。他質疑：「沒有任何KYC/AML政策要求將這種敏感資訊開放給客服人員。」

回應揭露Coinbase內部缺乏分權權限管控（RBAC）體制，否則一般員工不應得以存取這類機密資料。

集中託管成焦點：ETF結構與單點故障疑慮

Coinbase外洩案同時將目光引向其在加密ETF基礎設施中的關鍵地位。Coinbase目前為美國獲批的11檔比特幣現貨ETF中的8檔，以及9檔以太幣ETF中的8檔提供託管服務，並負責交易執行、市場監控，已成為機構加密產業價值鏈中的關鍵一環。

作為美國合規市場的主要入口，Coinbase的運營風險不僅波及散戶，也牽連ETF發行商與資產管理人。評論者如Eleanor Terret形容Coinbase是「潛在單點故障」，全市場高度倚賴同一託管方令風險集中尤為堪憂。

隨機構資本湧入加密ETF，任何託管不穩的徵兆皆可能引來監管檢視，甚至導致平臺間連鎖性系統風險。

黑市信號：外洩僅為大規模數據出售一部分

情報來源指稱，Coinbase數據為暗網正流通的一組多達1800萬筆資料外洩的一部分。某黑市清單已用1萬美元兜售超過43.2萬名Coinbase用戶完整身份資料，足以用於冒充、SIM卡劫持甚至上門敲詐。

網安人員相信，Coinbase外洩內容包含：

• 全名與電郵地址
• 實體郵寄地址
• 帳戶綁定電話號碼
• KYC文件提交（證件、帳單）
• 關聯加密錢包地址

攻擊者經常將這些資料與鏈上活動交叉比對，以鎖定高價值目標。某些案例中，詐騙甚至進一步升級到實體威脅。近期一宗巴黎加密高管家屬綁架未遂案（案件尚在調查中），更使數位身份安全討論日益迫切。

Coinbase機構角色使應對更為棘手

截至發稿時，Coinbase尚未公布事件詳細分析，受影響用戶總數亦未透明。公司最後一次聲明僅提及追回被盜資金，對資料治理政策、內部員工監控或KYC儲存架構則語焉不詳。

對依賴其服務的機構與ETF發行商而言，缺乏透明度導致風險評估困難。雖然金融科技個別外洩不罕見，本案特殊之處在於：

• 涉及內鬼
• 通報嚴重延遲
• 洩漏資料本身涵蓋PII與加密資訊
• Coinbase於合規產品基礎設施的壟斷地位

金融服務公司早受GDPR、加州消費者隱私法（CCPA）等嚴格規範，及美國新興聯邦法案監管。未來數月Coinbase的應對是否符合法規，仍待檢驗。

更大爭論：加密產業的中心化弱點

這起事件正在激化產業內有關去中心化理念與中心化基礎建設矛盾的辯論。

雖然以太坊、比特幣及Solana等協議層仍維持去中心化，但多數用戶實際接觸加密貨幣時，經過的是中心化中介，如交易所、託管方與各類平台，累積大量KYC合規數據。

一旦這些數據遭洩，主鏈透明對比鏈下黑盒的不對稱性，立即成為巨大資安破口。

正如加密交易員Bob Loukas所說：「你明知掌控這些人人覬覦的資料，卻讓客服批量存取，真不可思議。」

這事件成為Web3生態身份數據中心化風險的最佳範例，也為監管、開發者與投資人敲響警鐘。

未來如何發展？

Coinbase資料外洩後續，可能在多個面向持續發展：

• 法律：用戶可能根據不同法域、損害證明發起集體訴訟
• 監管：美、歐監管機構可能對Coinbase KYC作業及通報制度展開調查
• 技術：機構合作方或重新評估Coinbase基礎設施，特別是ETF託管安全
• 輿論：公眾對中心化交易所/託管信心動搖，推動自主管理與去中心化身份方案關注

隨著加密產業走向主流、吸引傳統金融進場，外界對數據合規、營運透明度及事件通報標準要求勢必提高。Coinbase本次內鬼洩密事件，提醒我們去中心化金融仍繫於信任與中心化機構，這份信任十分脆弱。