Coinbase 信息泄露或致 4 亿美元损失，KYC 反成黑客金矿？

作者：Fairy，ChainCatcher

编辑：TB，ChainCatcher

“预计此次事件的损失约为 1.8 亿至 4 亿美元。”

一纸政审终究是挡不住社工攻击....

4 月初，我们曾报道Coinbase 用户频遭精准诈骗，年度损失可能高达 3 亿美元。如今，真相正逐渐浮出水面。

昨日，Coinbase 披露核心细节，黑客通过收买海外客服人员，窃取了少于 1% 活跃用户的个人信息。遮掩已久的内部安全隐患，终于暴露在阳光下。

在冲上标普 500 的利好消息不到一周，Coinbase安全丑闻便接踵而至，股价随即转跌，日内下挫 7.2%。

四月初，The Block 联合创始人 Mike Dudas 就曾接到 Coinbase 通知，称其账户遭员工违规访问，彼时内部数据权限管理已引发担忧。（相关阅读： 一年损失 3 亿美元，Coinbase 用户频遭精准诈骗，背后竟藏“内鬼”泄露信息？ ）

而Coinbase 昨日的公告，首次披露了事件全貌：海外客服人员遭犯罪分子收买，复制了不到 1% 月活用户的数据，试图冒充官方实施诈骗。黑客试图敲诈 Coinbase，索要 2000 万美元封口费。Coinbase 拒绝支付，并反向悬赏同额奖金，追缉并定罪幕后主使。

与此同时，Coinbase 是否虚报用户数量的问题也被推上台面。SEC 正调查其在注册文件中披露的“1 亿验证用户”这一关键数据，而该指标早在两年后被悄然停用。尽管其首席法务官 Paul Grewal 回应称，这属上届政府的遗留调查，相关信息也已充分披露，然而，内忧外患之下，Coinbase再次成为舆论焦点。

Coinbase 的可信度正遭受前所未有的考验。对于一家以“安全合规”为核心卖点的上市加密交易所来说，敏感数据外泄、社工诈骗风险激增以及潜在的监管处罚，无疑是一次多线“打脸”。

从 Coinbase 公告披露的内容来看，黑客所窃取的信息几乎覆盖了用户的完整 KYC 档案：包括姓名、地址、电话、电邮、身份证件图像，甚至还有部分银行账户信息。这类信息落入不法分子之手，除了对后续的社工攻击、钓鱼邮件和资金盗窃提供了“精准弹药”，还可能被转售于暗网，形成长期隐患。

再看Coinbase 的应对措施，Coinbase 承诺将全额赔偿因本次事件受骗而向攻击者转账的用户，并针对安全漏洞展开系统性修复。强化客服权限管理，在美国新增客服中心以提升监管能力。同时，Coinbase 也将内部加大对潜在威胁检测、自动响应和攻击模拟测试的投入。

这些举措虽然是亡羊补牢，但也释放出Coinbase “正面迎战”的态度。这一系列补救措施能否真正遏制风险、重新赢得投资者与用户的信任，还需时间与实际成效来验证。

KYC 的初衷是反洗钱、反恐融资，但在现实操作中，它也成为用户隐私最集中的信息库。Coinbase 此次数据泄露事件，将KYC制度的争议再次推至台前。

在这场风波中，多个项目创始人和 CEO 纷纷发声，围绕三个问题展开了反思：

Nansen CEO Alex Svanevik 直言，KYC 制度要求用户提交大量敏感信息，如身份证件、护照、水电账单等，但现实中却“几乎没有真正的罪犯被抓住”。

Casa 钱包 CEO Nick Neuman 表示：“这就是我们不采集 KYC 的原因。”在他看来，KYC 只会给黑客提供更多攻击途径。

平台收集用户敏感信息，若缺乏相应的保护能力，反而会将用户置于更大风险之中。Wintermute CEO Evgeny Gaevoy 强调，Coinbase 并未及时披露信息泄露事件，正是“我们所处愚蠢又荒谬的 KYC/AML 体制的阴暗面”。他认为，这套制度“为地缘政治与执法提供了便利，却牺牲了公民隐私，还给企业施加了沉重负担，使犯罪分子更容易进行勒索、绑架和诈骗。

DeFiance Capital 创始人 Arthur 在 X 平台发文表示，Coinbase 真的需要解决他们的问题，如果最终 Coinbase 平台变成用户重要信息的蜜罐，没有理由要求不断 KYC。

对加密行业而言，当“合规”成为强制收集用户敏感信息的理由时，平台是否已准备好承担随之而来的数据安全责任？这场围绕 KYC 的讨论并非首次出现，但这次的现实案例让争议显得更加尖锐：监管合规与用户隐私之间的张力，正在成为加密行业无法回避的一道难题。

合规是通往主流的门票，但也是数据安全的炼金石。它不仅考验技术实力，更拷问平台的责任感与治理水平。

这是一条没有回头的路，也是一场注定漫长而艰难的修行。

前路漫漫，任重而道远。