Coinbase 資訊洩露或致 4 億美元損失，KYC 反成黑客金礦？

作者：Fairy，ChainCatcher

編輯：TB，ChainCatcher

"預計此次事件的損失約為 1.8 億至 4 億美元。"

一紙政審終究是擋不住社工攻擊….

4 月初，我們曾報導Coinbase 用戶頻遭精準詐騙，年度損失可能高達 3 億美元。如今，真相正逐漸浮出水面。

昨日，Coinbase 披露核心細節，黑客通過收買海外客服人員，竊取了少於 1% 活躍用戶的個人信息。遮掩已久的內部安全隱患，終於暴露在陽光下。

榮耀未散，危機 卻 至

在衝上標普 500 的利好消息不到一周，Coinbase安全醜聞便接踵而至，股價隨即轉跌，日內下挫 7.2%。

四月初，The Block 聯合創始人 Mike Dudas 就曾接到 Coinbase 通知，稱其賬戶遭員工違規訪問，彼時內部數據權限管理已引發擔憂。（相關閱讀：一年損失 3 億美元，Coinbase 用戶頻遭精準詐騙，背後竟藏"內鬼"洩露信息？）

而Coinbase 昨日的公告，首次披露了事件全貌：海外客服人員遭犯罪分子收買，複製了不到 1% 月活用戶的數據，試圖冒充官方實施詐騙。黑客試圖敲詐 Coinbase，索要 2000 萬美元封口費。Coinbase 拒絕支付，並反向懸賞同額獎金，追緝並定罪幕後主使。

與此同時，Coinbase 是否虛報用戶數量的問題也被推上台面。SEC 正調查其在註冊文件中披露的"1 億驗證用戶"這一關鍵數據，而該指標早在兩年後被悄然停用。儘管其首席法務官 Paul Grewal 回應稱，這屬上屆政府的遺留調查，相關信息也已充分披露，然而，內憂外患之下，Coinbase再次成為輿論焦點。

Coinbase 還 能信嗎？

Coinbase 的可信度正遭受前所未有的考驗。對於一家以"安全合規"為核心賣點的上市加密交易所來說，敏感數據外洩、社工詐騙風險激增以及潛在的監管處罰，無疑是一次多線"打臉"。

從 Coinbase 公告披露的內容來看，黑客所竊取的信息幾乎覆蓋了用戶的完整 KYC 檔案：包括姓名、地址、電話、電郵、身份證件圖像，甚至還有部分銀行賬戶信息。這類信息落入不法分子之手，除了對後續的社工攻擊、釣魚郵件和資金盜竊提供了"精準彈藥"，還可能被轉售於暗網，形成長期隱患。

再看Coinbase 的應對措施，Coinbase 承諾將全額賠償因本次事件受騙而向攻擊者轉賬的用戶，並針對安全漏洞展開系統性修復。強化客服權限管理，在美國新增客服中心以提升監管能力。同時，Coinbase 也將內部加大對潛在威脅檢測、自動響應和攻擊模擬測試的投入。

這些舉措雖然是亡羊補牢，但也釋放出Coinbase "正面迎戰"的態度。這一系列補救措施能否真正遏制風險、重新贏得投資者與用戶的信任，還需時間與實際成效來驗證。

KYC 争议重燃

KYC 的初衷是反洗錢、反恐融資，但在現實操作中，它也成為用戶隱私最集中的信息庫。Coinbase 此次數據洩露事件，將KYC制度的爭議再次推至台前。

在這場風波中，多個項目創始人和 CEO 紛紛發聲，圍繞三個問題展開了反思：

1. "隱私交換安全"是否值得？

Nansen CEO Alex Svanevik 直言，KYC 制度要求用戶提交大量敏感信息，如身份證件、護照、水電賬單等，但現實中卻"幾乎沒有真正的罪犯被抓住"。

Casa 錢包 CEO Nick Neuman 表示："這就是我們不採集 KYC 的原因。"在他看來，KYC 只會給黑客提供更多攻擊途徑。

2. 制度漏洞加劇用戶風險

平台收集用戶敏感信息，若缺乏相應的保護能力，反而會將用戶置於更大風險之中。Wintermute CEO Evgeny Gaevoy 強調，Coinbase 並未及時披露信息洩露事件，正是"我們所處愚蠢又荒謬的 KYC/AML 體制的陰暗面"。他認為，這套制度"為地緣政治與執法提供了便利，卻犧牲了公民隱私，還給企業施加了沉重負擔，使犯罪分子更容易進行勒索、綁架和詐騙。

3. 信息蜜罐，還要繼續加碼？

DeFiance Capital 創始人 Arthur 在 X 平台發文表示，Coinbase 真的需要解決他們的問題，如果最終 Coinbase 平台變成用戶重要信息的蜜罐，沒有理由要求不斷 KYC。

對加密行業而言，當"合規"成為強制收集用戶敏感信息的理由時，平台是否已準備好承擔隨之而來的數據安全責任？這場圍繞 KYC 的討論並非首次出現，但這次的現實案例讓爭議顯得更加尖銳：監管合規與用戶隱私之間的張力，正在成為加密行業無法回避的一道難題。

合規是通往主流的門票，但也是數據安全的煉金石。它不僅考驗技術實力，更拷問平台的責任感與治理水平。

這是一條沒有回頭的路，也是一場注定漫長而艱難的修行。

前路漫漫，任重而道遠。