撰稿：Jaleel 加六，BlockBeats

在最近的用戶數據泄漏事件上，Coinbase 處理得很聰明。就像它作為加密第一股，且是第一家也是唯一一家進入了 S&P 500 的企業應有的身份一樣優雅。

出於禮貌，作者本人已經表達完了對 Coinbase 基本的 respect。接下來，是時候把這家公司狠狠地掛在「恥辱柱」上了。

5 月 8 日，加密偵探 ZachXBT 在個人頻道發文，明確表示：又有 4500 萬美元從 Coinbase 用戶那裏被「社交工程」騙走。而在過去幾個月，他所追蹤到的同類案件，金額已高達九位數。騙子慣用的套路是冒充 Coinbase 客服打電話或發郵件給用戶，然後一步步誘導用戶點進僞裝成官網的釣魚鏈接，再將資金轉入騙子錢包。

有人說，用戶被社會工程騙了，跟 Coinbase 有什麼關係？「平台不是政府監管部門，怎麼能阻止用戶點進釣魚郵箱呢？」

首先，其他主要交易平台並未如此大規模地出現相似的詐騙問題。其次，一直有不少受害者反映，詐騙犯不僅準確說出了他們的賬戶餘額和交易時間，甚至能拿出他們的身份證照片，「一切都太真實了」。

一切都直指：Coinbase 泄漏了數據。

我們再來看 Coinbase 自己說的。5 月 14 日提交給 SEC 披露的 8-K 文件顯示，Coinbase 在 2025 年 1 月就通過安全系統發現，部分海外客服代表在「無業務需要」的情況下，訪問了用戶的完整身份信息。

再看 5 月 20 日 Coinbase 向緬因州總檢察長辦公室提交的報告，數據泄露事件發生的時間更早，是在 2024 年 12 月 26 日。

緬因州報告顯示，違規發生日期是 2024 年 12 月 26 日，而發現漏洞日期是 2025 年 5 月 11 日

但公布事件經過的時間是 5 月 15 日，其官網的公告顯示：犯罪分子瞄準了 Coinbase 海外的客服人員，用現金從內部人員手裏買到了用戶數據。這些數據包括姓名、地址、電話、電子郵件、政府身份證明圖像（如駕照、護照）、賬戶餘額快照和交易記錄等。

也就是說，數據早在冬天就被偷了，但現在春天都已經結束了，Coinbase 纔在納入標普 500 的關鍵時刻，被迫開始正面處理這個「房間裏的大象」，發了通告稱收到了黑客勒索郵件正式披露事件。

據 Coinbase 自己所說，他們在發現異常訪問後解僱了相關人員並加強了安全監控。但在這五個月內，Coinbase 唯一做出的「用戶溝通」是在 3 月底發出一封含糊不清、不痛不癢的郵件，稱某員工「可能違規」查看了賬戶記錄：

「我們檢測到有跡象表明，一名 Coinbase 員工可能以不符合內部政策的方式，查看了少量 Coinbase 客戶的賬戶記錄，其中包括您的賬戶。」

The Block 聯合創始人 Mike Dudas 此前在 X 上披露自己收到了一封來自 Coinbase 令人不安的郵件

除此之外，我們再也沒看到過更多官方公開披露的信息，以及更進一步的事件調查。

更「精彩」的來了。

就在 5 月 15 日，也就是正式公告數據泄漏的當天，有個新的 Coinbase 用戶協議正式生效了。

這份協議，堪稱 Coinbase 的「自我保護盾」。拋開其他長篇大論的「障眼法」內容，裏面有兩個關鍵條款（9.9 和 9.10 兩條）：禁止任何形式的集體訴訟（Class Action Waiver）；強制所有用戶必須在紐約法院獨立提起訴訟。

為什麼選紐約？因為紐約州有一條對企業極其有利的規定：如果合同中寫明所有爭議需在紐約法院解決，且涉案金額超過 100 萬美元，法院不能以「換個更方便地點」拒絕受理。同時，紐約南區法院是金融案件的集中地，審判經驗豐富，Coinbase 和 SEC 的訴訟也正是在這裏打響的。

此外，據公開報道，儘管 Coinbase 從 2021 年起轉為「遠程優先」公司，但在今年舊金山新擬議的辦公室落地之前，紐約 One Madison 是 Coinbase 在美國最大的辦公場所，已簽署 11 年租約，面積為舊址的兩倍。

在這種背景下，即便你和成千上萬的用戶一樣受害，也必須「單槍匹馬」遠赴紐約自費起訴。

協議是在 4 月 11 日更新，5 月 15 日生效的，這和數據泄漏披露時間幾乎無縫銜接。如此「精準踩點」的合約變更，可謂是「迨天之未陰雨，徹彼桑土，綢繆束薪」——Coinbase 未雨綢繆的前瞻性堪比諸葛孔明。

這一點也引發了技術安全研究員Molly White 的質疑，但 Coinbase 首席執行官 Brian Armstrong 回應這是「陰謀論」。但當 Molly White 進一步追問「為什麼 Coinbase 花了一個多月才向 SEC 披露此次數據違規？上市公司發現重大網絡安全事件時，理應在四個工作日內進行披露。」Brian Armstrong 便不再回應她了。

與此同時，彭博社援引知情人士稱：在過去五個月內，黑客通過賄賂足夠多的 Coinbase 客服代表，實現了對用戶信息的「按需訪問」。甚至在公告發布前幾天的星期三，黑客仍在訪問這些數據。但這個說法被 Coinbase 首席安全官 Philip Martin 反駁了。

Coinbase 目前的說辭大意是：「我們發現有員工不當訪問了數據，並開除了相關人員，但我們當時並不知道數據已經泄漏出去。直到 5 月收到黑客勒索郵件，我們才意識到問題的嚴重性。」

其中自我開脫的成分有多少？讓我們來看看在 Coinbase 修改了協議、封堵集體訴訟入口的五個多月裏，同時「視而不見」了多少來自社區、安全研究者的提醒、質疑和警告。

打開 Reddit 的 Coinbase 論壇，從 1 月開始就有大量用戶報告賬戶被盜、社工詐騙頻發，老外用戶飽受折磨：「我在六個月前就懷疑客服是內鬼了。五次工單，全都草草結案。沒人聯繫我，沒人解釋發生了什麼」、「我幾乎相信了，因為我啱啱提取的金額接近他們發短信告訴我的金額」、「他們能驗證我的全名、賬戶金額、上次登入設備，一切都太自然和真實了……」

面對無數來自社區的提醒，Coinbase 卻嚴格遵守了三體世界的來信「不要回答、不要回答、不要回答」。

如果你要為其辯解說 Coinbase 可能和亞洲人一樣不逛 Reddit 看不到社區經歷的一切，那推特上那些大 KOL、安全研究者的持續提醒他們肯定是能看見的吧。

在推特上擁有 86 萬粉絲的幣圈最強偵探 ZachXBT 在 2 月初就指出，僅去年底至今年初，就有超過 6500 萬美元因社工攻擊被盜。3 月底他再次發聲稱，過去兩周又有 4600 萬美元被盜。他不止一次直指：Coinbase 不作為。

還有 MetaMask 安全負責人、資深鏈上調查員 Taylor Monahan，幾乎每周在 Twitter 上公開批評 Coinbase，不斷嘗試將證據交給他們的安全和支持團隊，而 Coinbase 的「高級調查主管」早在 2024 年底就把她拉黑了。

Taylor Monahan 還直接揭露：Coinbase 大規模外包了客服工作給印度的第三方服務商 TaskUs。早在 2025 年 1 月 11 日，Coinbase 大規模裁員開除了 300 多名印度客服，理由就是「盜竊」與「違規操作」。隨後辦公室遷到古爾岡城市，但內部數據泄露依然頻繁發生，於是 3 月和 4 月又發生了新一波的「裁員」。

對於 Coinbase 口中的那句「我們直到 5 月 11 日才知道」，她毫不留情地諷刺道：「這將是一場非常‘有趣’的表演——看他們怎麼裝作完全不知道，直到勒索郵件來了」、「最有可能的說辭就是：‘這不算重大泄露，不需要披露。’」

有些諷刺的是，在 Coinbase 高管否認、推脫、冷處理的同時，反倒是一些 Reddit 用戶和受害者，開始自發性地組織出「錦衣衛」，找到了一些騙子的蛛絲馬跡。

一位用戶名為 Scammer-fight-back 的用戶和自己的整個團隊與騙子展開「對線」，他們多次打電話給這些騙子、錄音、保存信息。最終他們追蹤到：這些騙子多數來自英國曼徹斯特，辦公在同一個小辦公室裏，用本地口音冒充 Coinbase 客服，一邊套取信息，一邊完成詐騙流程。

另一位網友 dyfedavalon 也有相同的看法：「這是一家來自英國的大型詐騙團伙，規模和範圍很大，能力很強」、「我打電話回去找那些騙子，結果是同一羣人。他們這行真的做得太溜了」、「我和他們聊了很多次，他們以為我是受害者，但我是英國人，所以能聽出和調侃他們的英國口音。他們後來直接請求我別再打電話騷擾他們。」

還有前文提到的 MetaMask 安全負責人 Taylor Monahan 的調查信息顯示：Coinbase 外包的第三方印度服務商 TaskUs 內部員工是在 Telegram 上與黑客接頭的，每筆出售用戶郵箱、手機號、2FA 信息的交易收取費用約 1 萬美金，這些錢通過 PayPal 或銀行賬戶直接打入個人名下。

圖源 Taylor Monahan

至於為什麼有人願意冒這麼大風險泄密？Taylor 分享了更多從這些「印度黑奴」內部流出的內容，直指 TaskUs 的真實工作狀態：廁所不讓上，喫飯時間要靠搶，交付量不夠就會被管理層集體冷處理；壓力大得離譜，生病請假都會被記成‘曠工’，工資直接扣；因為培訓沒跟上節奏，就被直接當場開除。

「這是我職業生涯做過最糟糕的決定。HR 根本不站在你這邊，你哪怕哭着投訴都沒人管你。最後連經驗證明都拿不到，因為他們要求我賠償‘培訓成本’」有員工這樣寫道。

Coinbase 外包公司 TaskUs 前員工的抱怨，圖源 Taylor Monahan

根據 Glassdoor、Indeed 等多個平台數據：Coinbase 本地客服年薪 6-7 萬美元，印度外包客服僅為 3600–4800 美元/年。也就是說，一名美國客服的薪資能找至少 15 個印度外包客服。

按 300 個外包崗位算，Coinbase 在這裏一年就能節省 1800 萬美元。這還不包括辦公場地、社保、加班費、技術支持等隱性成本節省。

而值得一提的是，據彭博社記者的調查，Coinbase 為 CEO Brian Armstrong 支付一年的個人安保費用是 620 萬美元。Coinbase 首席法務官 Paul Grewal，也就是應對 4 億美元黑客事件和 SEC 用戶數據調查的總負責人，去年總薪酬超過了 820 萬美元。

光是 CEO 一年的安保費用和首席法務官的薪資，就可能比 Coinbase 整個平台用戶的安保費用都多了。

目前事件受影響的用戶不乏一些知名人士。據彭博社報道知情人士透露，紅杉資本管理合夥人 Roelof Botha 是受害者之一，他因此被盜的數據包括電話號碼、地址以及與其 Coinbase 個人資料相關的其他敏感賬戶信息。

還有 67 歲的 Ed Suman，這位在藝術界從事近二十年，並參與過傑夫·昆斯《氣球狗》雕塑等藝術品製作的知名藝術家，在今年初遭遇假冒 Coinbase 客服騙局，損失超過 200 萬美元加密貨幣。

Coinbase 目前也收到了多起訴訟，用戶指控該公司對其個人數據處理不當。此外，Coinbase 的這一做法也引起了監管機構的關注。例如，俄勒岡州總檢察長辦公室已對 Coinbase 提起訴訟，指控其違反了州證券法，並質疑其用戶協議中的仲裁和集體訴訟豁免條款的合法性。

根據 Elliptic 數據，這次事件的賠償和處置成本達 4 億美元，躋身加密史上第八大安全事故。這次攻擊並沒有「熱錢包被黑」這種戲劇性場面，也沒有「合約漏洞」這類技術複雜性，而是發生在最基礎、最日常、最被忽視的一環：KYC 數據。

但現實是，Coinbase 很可能不會受到太嚴重的實質懲罰。

美國法律中似乎並沒有因意外數據泄露而遭受嚴厲處罰的先例。與數據濫用有關的最有名訴訟案是 Facebook，因為他們違反自己簽署的「未經用戶同意不會與第三方共享用戶數據」的承諾，但這與 Coinbase 面對的情況略有不同。

Coinbase 的事件更接近於「數據被內部人員泄露給外部黑客」，屬於數據訪問權限被濫用與外包管理不當，應該夠不上系統性隱私欺詐，且損失有限，Coinbase 也表示會賠付。

更重要的是，Coinbase 是一家市值超過 600 億美元的公司，也是加密行業唯一一家進了標普 500 指數的交易平台，擁有豐富的政策關係、深厚的資本資源。

在這一次美國大選中，Coinbase 及其高管向共和黨候選人提供了數千萬美元的捐款，並被認為在多項立法遊說中發揮重要作用。而 SEC 撤銷對 Coinbase 的訴訟，也被一度認為是與 Coinbase 的政治捐款有關。

一切都指出， Coinbase 將會安然度過這場風暴。而未來，Coinbase 還會活得很好，甚至可能越來越好。

歡迎加入律動 BlockBeats 官方社羣：

Telegram 訂閱羣：https://t.me/theblockbeats

Telegram 交流羣：https://t.me/BlockBeats_App

Twitter 官方賬號：https://twitter.com/BlockBeatsAsia