每經(jīng)記者｜蔡鼎    每經(jīng)編輯｜蘭素英    

美東時(shí)間5月15日（周四），全美最大的加密貨幣交易所Coinbase披露稱，網(wǎng)絡(luò)犯罪分子賄賂了其海外客服人員竊取客戶數(shù)據(jù)，以實(shí)施社會(huì)工程攻擊。

根據(jù)Coinbase的初步估算，這次事件可能帶來的費(fèi)用和客戶賠償總額在1.8億美元至4億美元之間。Coinbase在文件中表示，“由于公司目前仍在進(jìn)行調(diào)查，因此事件的全部影響尚未確定。”另外，執(zhí)法部門已介入調(diào)查此事。

這是自今年2月份Bybit遭遇史上最大規(guī)模的黑客攻擊以來，全球又一知名加密貨幣交易所發(fā)生安全漏洞。受此影響，Coinbase周四大跌7.2%，市值一個(gè)交易日內(nèi)蒸發(fā)48億美元。

而且，此次數(shù)據(jù)泄露事件發(fā)生之際，正值Coinbase即將被納入標(biāo)普500指數(shù)之際，這一變動(dòng)將于5月19日交易開始前生效。

亞洲數(shù)字資產(chǎn)金融服務(wù)集團(tuán)Hashkey Group首席分析師丁肇飛對《每日經(jīng)濟(jì)新聞》記者指出，此次事件暴露了加密貨幣交易所面臨的多重安全挑戰(zhàn)，尤其是在內(nèi)部信任體系建設(shè)和新技術(shù)應(yīng)用方面。

他指出，（交易所）內(nèi)部信任體系方面，需落實(shí)“最小權(quán)限原則”，高敏感數(shù)據(jù)須獨(dú)立存儲(chǔ)并多重授權(quán)。另外，交易所需要探索更先進(jìn)的隱私保護(hù)技術(shù)，“例如，通過AI分析員工和用戶的行為模式。”

圖片來源：視覺中國-VCG41N1309760279

Coinbase自曝?cái)?shù)據(jù)泄露，損失或高達(dá)4億美元！市值一日蒸發(fā)48億美元 

當(dāng)?shù)貢r(shí)間5月15日，Coinbase公開披露了一起嚴(yán)重的數(shù)據(jù)泄露事件。

該公司在提交給美國證監(jiān)會(huì)（SEC）的文件中稱，其于5月11日收到一封郵件，發(fā)件人稱已獲取部分Coinbase客戶賬戶信息及其他內(nèi)部文件。被泄露的數(shù)據(jù)包括姓名和聯(lián)系方式、部分社會(huì)安全號(hào)碼和銀行賬戶識(shí)別信息、政府身份證照片，以及某些公司和賬戶數(shù)據(jù)。

Coinbase沒有透露有多少客戶信息被訪問，僅表示受影響的用戶數(shù)量不到總用戶的1%。公司預(yù)計(jì)，此次事件將導(dǎo)致1.8億至4億美元的損失，主要用于客戶賠償、系統(tǒng)修復(fù)和安全加固等方面。Coinbase承諾將全額賠償受影響用戶的損失，并已與執(zhí)法部門展開合作，追查攻擊者的身份。

令人震驚的是，Coinbase表示，網(wǎng)絡(luò)犯罪分子還賄賂了其海外客服人員竊取客戶數(shù)據(jù)，以實(shí)施社會(huì)工程攻擊。其目標(biāo)是收集一份可以聯(lián)系的客戶名單，同時(shí)假裝是Coinbase，欺騙客戶交出加密貨幣。

該公司在一篇博客文章中稱，“網(wǎng)絡(luò)犯罪分子賄賂并招募了一群海外客服人員，竊取Coinbase客戶數(shù)據(jù)以協(xié)助社會(huì)工程攻擊。這些內(nèi)部人員濫用對客戶支持系統(tǒng)的訪問權(quán)限，竊取了一小部分客戶的賬戶數(shù)據(jù)。沒有密碼、私鑰或資金泄露，Coinbase Prime賬戶也未受影響。對那些被騙向攻擊者轉(zhuǎn)款的客戶，我們將賠償其損失。”

而后，網(wǎng)絡(luò)犯罪分子要求Coinbase支付2000萬美元的比特幣贖金，否則將公開這些數(shù)據(jù)。對此，Coinbase表示拒絕，同時(shí)提供了2000萬美元的獎(jiǎng)勵(lì)，以獲取有關(guān)犯罪者的信息。

受此影響，Coinbase周四大跌7.2%，市值一個(gè)交易日內(nèi)蒸發(fā)48億美元。截至發(fā)稿，Coinbase股價(jià)盤前上漲1.48%。

《每日經(jīng)濟(jì)新聞》記者注意到，此次數(shù)據(jù)泄露事件發(fā)生之際，正值Coinbase即將迎來一項(xiàng)里程碑式的成就。

5月13日，根據(jù)標(biāo)普道瓊斯指數(shù)公司的新聞稿，Coinbase將被納入標(biāo)普500指數(shù)，這一變動(dòng)將于5月19日交易開始前生效。而在這一消息公布前，Coinbase宣布計(jì)劃以29億美元收購全球最大的比特幣和以太坊期權(quán)交易所Deribit，這是加密貨幣行業(yè)歷史上最重要的收購之一。

在上周的財(cái)報(bào)電話會(huì)議上，Coinbase CEO Brian Armstrong表示，希望在未來5至10年內(nèi)將Coinbase打造成“全球第一的金融服務(wù)應(yīng)用程序”。Oppenheimer分析師隨后將其對Coinbase的目標(biāo)價(jià)預(yù)測從269美元上調(diào)至293美元。

但此次攻擊暴露了Coinbase在內(nèi)部安全管理方面的漏洞。此外，Coinbase還面臨美國證券交易委員會(huì)（SEC）的調(diào)查，涉及其在2021年上市前披露的用戶增長指標(biāo)“已驗(yàn)證用戶”數(shù)據(jù)的準(zhǔn)確性。

加密貨幣安全如何保障？

過去多年，加密貨幣生態(tài)系統(tǒng)遭受了無數(shù)的黑客攻擊，這些攻擊常常導(dǎo)致毀滅性的損失。早期的交易所特別脆弱，因?yàn)榘踩胧┫鄬Ρ∪酰一A(chǔ)設(shè)施不夠健全。隨著行業(yè)的成熟，黑客們調(diào)整了他們的策略，針對智能合約、錢包和去中心化金融（DeFi）平臺(tái)中的弱點(diǎn)。這種戰(zhàn)術(shù)的演變凸顯了網(wǎng)絡(luò)犯罪分子和安全專業(yè)人員之間的持續(xù)軍備競賽。

例如，2014年的Mt.Gox交易所崩盤事件，當(dāng)時(shí)黑客利用系統(tǒng)漏洞進(jìn)行“雙花攻擊”，盜取交易所存儲(chǔ)的價(jià)值4.73億美元的比特幣，暴露了中心化交易所的存儲(chǔ)和管理缺陷；2018年年初，日本最大的數(shù)字貨幣交易機(jī)構(gòu)之一Coincheck遭遇黑客攻擊，導(dǎo)致其損失5.34億美元的虛擬資產(chǎn)。

研究公司Chainanalysis的一份報(bào)告顯示，2024年全年，全球被盜的加密貨幣資金總額就達(dá)到22億美元。

今年2月下旬，全球知名加密貨幣交易所Bybit遭遇史上最大規(guī)模的黑客攻擊，分析師估計(jì)此次損失接近15億美元，超過了2021年P(guān)oly Network遭受的6.11億美元盜竊，成為加密貨幣行業(yè)歷史上最大的盜竊事件。

北大法學(xué)院國際經(jīng)濟(jì)碩士俞文秀曾指出，對于虛擬貨幣發(fā)行人來說，提供交易和服務(wù)平臺(tái)的安全風(fēng)險(xiǎn)主要來源于三方面——外部的黑客襲擊、內(nèi)部人員或內(nèi)外勾結(jié)的虛擬破壞，以及計(jì)算機(jī)系統(tǒng)本身出現(xiàn)的故障。而此次Coinbase的漏洞便是典型的內(nèi)外勾結(jié)。

Hashkey Group首席分析師丁肇飛對《每日經(jīng)濟(jì)新聞》記者指出，從內(nèi)部信任體系的角度看，此次Coinbase事件凸顯了內(nèi)部人員賄賂導(dǎo)致數(shù)據(jù)泄露的風(fēng)險(xiǎn)：“無論是技術(shù)崗位還是非技術(shù)崗位的所有層級(jí)員工，都必須嚴(yán)格遵循‘最小權(quán)限原則’。尤其是高敏感度數(shù)據(jù)，如客戶身份證照片、社會(huì)安全號(hào)碼等，必須與賬戶操作數(shù)據(jù)嚴(yán)格隔離，訪問需經(jīng)過多重授權(quán)流程。此外，交易所還需建立實(shí)時(shí)行為監(jiān)控機(jī)制，自動(dòng)識(shí)別異常訪問行為，并定期審計(jì)權(quán)限使用情況，確保沒有被濫用或擴(kuò)大。”

從技術(shù)層面看，丁肇飛認(rèn)為，此次泄露涉及客戶身份證照片、社保號(hào)等高敏感信息，傳統(tǒng)的冷熱錢包分離和多重簽名等安全措施在應(yīng)對新型社會(huì)工程攻擊時(shí)顯得力不從心。因此，交易所需要探索更先進(jìn)的隱私保護(hù)技術(shù)。

“傳統(tǒng)安全措施仍然是基礎(chǔ)，但需要與更動(dòng)態(tài)、更智能的安全策略結(jié)合。例如，通過AI分析員工和用戶的行為模式，可以識(shí)別潛在的社會(huì)工程攻擊跡象，尤其是在客服與用戶的交互中，盡早發(fā)現(xiàn)并阻止可能的釣魚行為。同時(shí)，動(dòng)態(tài)身份驗(yàn)證機(jī)制結(jié)合用戶行為、生物識(shí)別等多因素驗(yàn)證方式，可以有效提高身份驗(yàn)證的安全性。”丁肇飛對記者補(bǔ)充道。

免責(zé)聲明：本文內(nèi)容與數(shù)據(jù)僅供參考，不構(gòu)成投資建議，使用前請核實(shí)。據(jù)此操作，風(fēng)險(xiǎn)自擔(dān)。

封面圖片來源：視覺中國-VCG41N1309760279