作祟的「内鬼」和「装聋作哑」5个月的Coinbase

原文作者： Jaleel 加六 ，BlockBeats

在最近的用户数据泄漏事件上，Coinbase 处理得很聪明。就像它作为加密第一股，且是第一家也是唯一一家进入了 S&P 500 的企业应有的身份一样优雅。

出于礼貌，作者本人已经表达完了对 Coinbase 基本的 respect。接下来，是时候把这家公司狠狠地挂在「耻辱柱」上了。

5 月 8 日，加密侦探 ZachXBT 在个人频道发文，明确表示：又有 4500 万美元从 Coinbase 用户那里被「社交工程」骗走。而在过去几个月，他所追踪到的同类案件，金额已高达九位数。骗子惯用的套路是冒充 Coinbase 客服打电话或发邮件给用户，然后一步步诱导用户点进伪装成官网的钓鱼链接，再将资金转入骗子钱包。

有人说，用户被社会工程骗了，跟 Coinbase 有什么关系？「平台不是政府监管部门，怎么能阻止用户点进钓鱼邮箱呢？」

首先，其他主要交易平台并未如此大规模地出现相似的诈骗问题。其次，一直有不少受害者反映，诈骗犯不仅准确说出了他们的账户余额和交易时间，甚至能拿出他们的身份证照片，「一切都太真实了」。

一切都直指：Coinbase 泄漏了数据。

我们再来看 Coinbase 自己说的。5 月 14 日提交给 SEC 披露的 8-K 文件 显示，Coinbase 在 2025 年 1 月就通过安全系统发现，部分海外客服代表在「无业务需要」的情况下，访问了用户的完整身份信息。

再看 5 月 20 日 Coinbase 向 缅因州总检察长办公室提交的报告 ，数据泄露事件发生的时间更早，是在 2024 年 12 月 26 日。

缅因州报告显示，违规发生日期是 2024 年 12 月 26 日，而发现漏洞日期是 2025 年 5 月 11 日

但公布事件经过的时间是 5 月 15 日，其 官网的公告显示 ：犯罪分子瞄准了 Coinbase 海外的客服人员，用现金从内部人员手里买到了用户数据。这些数据包括姓名、地址、电话、电子邮件、政府身份证明图像（如驾照、护照）、账户余额快照和交易记录等。

也就是说，数据早在冬天就被偷了，但现在春天都已经结束了，Coinbase 才在纳入标普 500 的关键时刻，被迫开始正面处理这个「房间里的大象」，发了通告称收到了黑客勒索邮件正式披露事件。

据 Coinbase 自己所说，他们在发现异常访问后解雇了相关人员并加强了安全监控。但在这五个月内，Coinbase 唯一做出的「用户沟通」是在 3 月底发出一封含糊不清、不痛不痒的邮件，称某员工「可能违规」查看了账户记录：

「我们检测到有迹象表明，一名 Coinbase 员工可能以不符合内部政策的方式，查看了少量 Coinbase 客户的账户记录，其中包括您的账户。」

The Block 联合创始人 Mike Dudas 此前在 X 上披露自己收到了一封来自 Coinbase 令人不安的邮件

除此之外，我们再也没看到过更多官方公开披露的信息，以及更进一步的事件调查。

更「精彩」的来了。

就在 5 月 15 日，也就是正式公告数据泄漏的当天，有个新的 Coinbase 用户协议 正式生效了。

这份协议，堪称 Coinbase 的「自我保护盾」。抛开其他长篇大论的「障眼法」内容，里面有两个关键条款（9.9 和 9.10 两条）：禁止任何形式的集体诉讼（Class Action Waiver）；强制所有用户必须在纽约法院独立提起诉讼。

为什么选纽约？因为纽约州有一条对企业极其有利的规定：如果合同中写明所有争议需在纽约法院解决，且涉案金额超过 100 万美元，法院不能以「换个更方便地点」拒绝受理。同时，纽约南区法院是金融案件的集中地，审判经验丰富，Coinbase 和 SEC 的诉讼也正是在这里打响的。

此外，据公开报道，尽管 Coinbase 从 2021 年起转为「远程优先」公司，但在今年旧金山新拟议的办公室落地之前，纽约 One Madison 是 Coinbase 在美国最大的办公场所，已签署 11 年租约，面积为旧址的两倍。

在这种背景下，即便你和成千上万的用户一样受害，也必须「单枪匹马」远赴纽约自费起诉。

协议是在 4 月 11 日更新， 5 月 15 日生效的，这和数据泄漏披露时间几乎无缝衔接。如此「精准踩点」的合约变更，可谓是「迨天之未阴雨，彻彼桑土，绸缪束薪」——Coinbase 未雨绸缪的前瞻性堪比诸葛孔明。

这一点也引发了技术安全研究员 Molly White 的质疑，但 Coinbase 首席执行官 Brian Armstrong 回应这是「阴谋论」。但当 Molly White 进一步追问「为什么 Coinbase 花了一个多月才向 SEC 披露此次数据违规？上市公司发现重大网络安全事件时，理应在四个工作日内进行披露。」Brian Armstrong 便不再回应她了。

与此同时，彭博社援引知情人士称：在过去五个月内，黑客通过贿赂足够多的 Coinbase 客服代表，实现了对用户信息的「按需访问」。甚至在公告发布前几天的星期三，黑客仍在访问这些数据。但这个说法被 Coinbase 首席安全官 Philip Martin 反驳了。

Coinbase 目前的说辞大意是：「我们发现有员工不当访问了数据，并开除了相关人员，但我们当时并不知道数据已经泄漏出去。直到 5 月收到黑客勒索邮件，我们才意识到问题的严重性。」

其中自我开脱的成分有多少？让我们来看看在 Coinbase 修改了协议、封堵集体诉讼入口的五个多月里，同时「视而不见」了多少来自社区、安全研究者的提醒、质疑和警告。

打开 Reddit 的 Coinbase 论坛，从 1 月开始就有大量用户报告账户被盗、社工诈骗频发，老外用户饱受折磨：「我在六个月前就怀疑客服是内鬼了。五次工单，全都草草结案。没人联系我，没人解释发生了什么」、「我几乎相信了，因为我刚刚提取的金额接近他们发短信告诉我的金额」、「他们能验证我的全名、账户金额、上次登录设备，一切都太自然和真实了……」

面对无数来自社区的提醒，Coinbase 却严格遵守了三体世界的来信「不要回答、不要回答、不要回答」。

如果你要为其辩解说 Coinbase 可能和亚洲人一样不逛 Reddit 看不到社区经历的一切，那推特上那些大 KOL、安全研究者的持续提醒他们肯定是能看见的吧。

在推特上拥有 86 万粉丝的币圈最强侦探 ZachXBT 在 2 月初就指出，仅去年底至今年初，就有超过 6500 万美元因社工攻击被盗。3 月底他再次发声称，过去两周又有 4600 万美元被盗。他不止一次直指：Coinbase 不作为。

还有 MetaMask 安全负责人、资深链上调查员 Taylor Monahan，几乎每周在 Twitter 上公开批评 Coinbase，不断尝试将证据交给他们的安全和支持团队，而 Coinbase 的「高级调查主管」早在 2024 年底就把她拉黑了。

Taylor Monahan 还 直接揭露 ：Coinbase 大规模外包了客服工作给印度的第三方服务商 TaskUs。早在 2025 年 1 月 11 日，Coinbase 大规模裁员开除了 300 多名印度客服，理由就是「盗窃」与「违规操作」。随后办公室迁到古尔冈城市，但内部数据泄露依然频繁发生，于是 3 月和 4 月又发生了新一波的「裁员」。

对于 Coinbase 口中的那句「我们直到 5 月 11 日才知道」，她毫不留情地讽刺道：「这将是一场非常『有趣』的表演——看他们怎么装作完全不知道，直到勒索邮件来了」、「最有可能的说辞就是：『这不算重大泄露，不需要披露。』」

有些讽刺的是，在 Coinbase 高管否认、推脱、冷处理的同时，反倒是一些 Reddit 用户和受害者，开始自发性地组织出「锦衣卫」，找到了一些骗子的蛛丝马迹。

一位用户名为 Scammer-fight-back 的用户和自己的整个团队与骗子展开「对线」，他们多次打电话给这些骗子、录音、保存信息。最终他们追踪到：这些骗子多数来自英国曼彻斯特，办公在同一个小办公室里，用本地口音冒充 Coinbase 客服，一边套取信息，一边完成诈骗流程。

另一位网友 dyfedavalon 也有相同的看法：「这是一家来自英国的大型诈骗团伙，规模和范围很大，能力很强」、「我打电话回去找那些骗子，结果是同一群人。他们这行真的做得太溜了」、「我和他们聊了很多次，他们以为我是受害者，但我是英国人，所以能听出和调侃他们的英国口音。他们后来直接请求我别再打电话骚扰他们。」

还有前文提到的 MetaMask 安全负责人 Taylor Monahan 的调查信息显示：Coinbase 外包的第三方印度服务商 TaskUs 内部员工是在 Telegram 上与黑客接头的，每笔出售用户邮箱、手机号、2FA 信息的交易收取费用约 1 万美金，这些钱通过 PayPal 或银行账户直接打入个人名下。

图源 Taylor Monahan

至于为什么有人愿意冒这么大风险泄密？Taylor 分享了更多从这些「印度黑奴」内部流出的内容，直指 TaskUs 的真实工作状态：厕所不让上，吃饭时间要靠抢，交付量不够就会被管理层集体冷处理；压力大得离谱，生病请假都会被记成『旷工』，工资直接扣；因为培训没跟上节奏，就被直接当场开除。

「这是我职业生涯做过最糟糕的决定。HR 根本不站在你这边，你哪怕哭着投诉都没人管你。最后连经验证明都拿不到，因为他们要求我赔偿『培训成本』」有员工这样写道。

Coinbase 外包公司 TaskUs 前员工的抱怨，图源 Taylor Monahan

根据 Glassdoor、Indeed 等多个平台数据：Coinbase 本地客服年薪 6-7 万美元，印度外包客服仅为 3600 – 4800 美元/年。也就是说，一名美国客服的薪资能找至少 15 个印度外包客服。

按 300 个外包岗位算，Coinbase 在这里一年就能节省 1800 万美元。这还不包括办公场地、社保、加班费、技术支持等隐性成本节省。

而值得一提的是，据彭博社记者的调查，Coinbase 为 CEO Brian Armstrong 支付一年的个人安保费用是 620 万美元。Coinbase 首席法务官 Paul Grewal，也就是应对 4 亿美元黑客事件和 SEC 用户数据调查的总负责人，去年总薪酬超过了 820 万美元。

光是 CEO 一年的安保费用和首席法务官的薪资，就可能比 Coinbase 整个平台用户的安保费用都多了。

目前事件受影响的用户不乏一些知名人士。据彭博社 报道 知情人士透露，红杉资本管理合伙人 Roelof Botha 是受害者之一，他因此被盗的数据包括电话号码、地址以及与其 Coinbase 个人资料相关的其他敏感账户信息。

还有 67 岁的 Ed Suman，这位在艺术界从事近二十年，并参与过杰夫·昆斯《气球狗》雕塑等艺术品制作的知名艺术家，在今年初遭遇假冒 Coinbase 客服骗局，损失超过 200 万美元加密货币。

Coinbase 目前也收到了多起诉讼，用户指控该公司对其个人数据处理不当。此外，Coinbase 的这一做法也引起了监管机构的关注。例如，俄勒冈州总检察长办公室已对 Coinbase 提起诉讼，指控其违反了州证券法，并质疑其用户协议中的仲裁和集体诉讼豁免条款的合法性。

根据 Elliptic 数据，这次事件的赔偿和处置成本达 4 亿美元，跻身加密史上第八大安全事故。这次攻击并没有「热钱包被黑」这种戏剧性场面，也没有「合约漏洞」这类技术复杂性，而是发生在最基础、最日常、最被忽视的一环：KYC 数据。

但现实是，Coinbase 很可能不会受到太严重的实质惩罚。

美国法律中似乎并没有因意外数据泄露而遭受严厉处罚的先例。与数据滥用有关的最有名诉讼案是 Facebook，因为他们违反自己签署的「未经用户同意不会与第三方共享用户数据」的承诺，但这与 Coinbase 面对的情况略有不同。

Coinbase 的事件更接近于「数据被内部人员泄露给外部黑客」，属于数据访问权限被滥用与外包管理不当，应该够不上系统性隐私欺诈，且损失有限，Coinbase 也表示会赔付。

更重要的是，Coinbase 是一家市值超过 600 亿美元的公司，也是加密行业唯一一家进了标普 500 指数的交易平台，拥有丰富的政策关系、深厚的资本资源。

在这一次美国大选中，Coinbase 及其高管向共和党候选人提供了数千万美元的捐款，并被认为在多项立法游说中发挥重要作用。而 SEC 撤销对 Coinbase 的诉讼，也被一度认为是与 Coinbase 的政治捐款有关。

一切都指出， Coinbase 将会安然度过这场风暴。而未来，Coinbase 还会活得很好，甚至可能越来越好。

原文链接