据《彭博》于9月19日的报道,黑客组织 Scattered Spider 的核心成员诺亚·厄本(Noah Urban)近期透露,该团体曾在 2023 年初通过钓鱼攻击成功渗透加密货币交易所 Crypto.com,并导致部分用户个人信息外泄。然而,这一事件此前从未对外披露,外界怀疑 Crypto.com 有意隐瞒,引发了对其透明度的质疑。
这一报导直接打击 Crypto.com 积极营造的安全形象。该平台此前与特朗普媒体科技集团达成 64.2 亿美元的数字资产金库合作,其旗下社交平台 Truth Social 已整合 CRO 代币。此外,Crypto.com 还传出计划进入体育博彩和政治预测市场。
18岁黑客入侵Crypto.com 员工通讯软体帐户
报道指出,Scattered Spider 是一个由青少年主导的黑客组织,18 岁的厄本被视为关键人物。该组织擅长社会工程学,常冒充 IT 安全人员,诱使目标泄露敏感数据。在 2023 年初的行动中,他们通过钓鱼手法获取了一名 Crypto.com 员工的账户,继而导致少量用户个人身份信息(PII)被泄露。这起攻击发生在他们成功入侵通讯平台 Twilio 之后,并利用从 209 家企业窃取的客户验证码和访问凭证,进一步锁定了 Crypto.com 员工。
报道还追溯了厄本的黑客经历。他 15 岁时便在 Minecraft 游戏社区中接触 SIM 卡交换技术,并凭借低沉嗓音和社交技巧骗过电信公司员工。疫情期间,由于学校停课,他扩展了犯罪网络,甚至用加密货币收入购买奢侈品,包括 3.5 万美元的镶钻劳力士手表和价值 8 万美元的稀有 Minecraft 用户名。
Crypto.com CEO回应:否认隐瞒
针对上述报道,Crypto.com CEO亲自于X发帖回应,指公司在 2023 年确实检测到针对员工的钓鱼攻击,并在数小时内成功控制,事件只影响到“极少数用户”的信息,资金从未面临风险。公司强调,已按照规定在美国全国多州许可系统(NMLS)提交了数据安全事件通知,并向相关监管机构备案,否认存在隐瞒行为。
ZachXBT 早于8月已点名批评 Crypto.com
Bad news: Your team covered up a breach that impacted the personal information of your users pic.twitter.com/1xqmJyqm5i
— ZachXBT (@zachxbt) September 21, 2025
尽管公司作出澄清,但外界仍质疑其是否主动通知受影响用户,以及备案细节是否公开。知名区块链分析师 ZachXBT 更是在 X 平台批评 Crypto.com,称其“掩盖了涉及用户信息外泄的事件”。
Crypto[.]com also had a massive incident they covered up in the past that they never made public. (I’m just not allowed to leak details rn)
— ZachXBT (@zachxbt) August 26, 2025
值得一提的是,在《彭博》相关报导未刊出之际,早于8月时,ZachXBT 发文直接点名Crypto.com 过去曾掩盖过一起重大事件,但从未公开过,而自己则不被“允许”透露细节,相当耐人寻味。