Coinbase 信息泄露或致 4 亿美元损失，KYC 反成黑客金矿？

作者：Fairy，ChainCatcher

编辑：TB，ChainCatcher

“预计此次事件的损失约为 1.8 亿至 4 亿美元。”

一纸政审终究是挡不住社工攻击....

4 月初，我们曾报道Coinbase 用户频遭精准诈骗，年度损失可能高达 3 亿美元。如今，真相正逐渐浮出水面。

昨日，Coinbase 披露核心细节，黑客通过收买海外客服人员，窃取了少于 1% 活跃用户的个人信息。遮掩已久的内部安全隐患，终于暴露在阳光下。

荣耀未散，危机却至

在冲上标普 500 的利好消息不到一周，Coinbase安全丑闻便接踵而至，股价随即转跌，日内下挫 7.2%。

四月初，The Block 联合创始人 Mike Dudas 就曾接到 Coinbase 通知，称其账户遭员工违规访问，彼时内部数据权限管理已引发担忧。（相关阅读：一年损失 3 亿美元，Coinbase 用户频遭精准诈骗，背后竟藏“内鬼”泄露信息？）

而Coinbase 昨日的公告，首次披露了事件全貌：海外客服人员遭犯罪分子收买，复制了不到 1% 月活用户的数据，试图冒充官方实施诈骗。黑客试图敲诈 Coinbase，索要 2000 万美元封口费。Coinbase 拒绝支付，并反向悬赏同额奖金，追缉并定罪幕后主使。

与此同时，Coinbase 是否虚报用户数量的问题也被推上台面。SEC 正调查其在注册文件中披露的“1 亿验证用户”这一关键数据，而该指标早在两年后被悄然停用。尽管其首席法务官 Paul Grewal 回应称，这属上届政府的遗留调查，相关信息也已充分披露，然而，内忧外患之下，Coinbase再次成为舆论焦点。

Coinbase还能信吗？

Coinbase 的可信度正遭受前所未有的考验。对于一家以“安全合规”为核心卖点的上市加密交易所来说，敏感数据外泄、社工诈骗风险激增以及潜在的监管处罚，无疑是一次多线“打脸”。

从 Coinbase 公告披露的内容来看，黑客所窃取的信息几乎覆盖了用户的完整 KYC 档案：包括姓名、地址、电话、电邮、身份证件图像，甚至还有部分银行账户信息。这类信息落入不法分子之手，除了对后续的社工攻击、钓鱼邮件和资金盗窃提供了“精准弹药”，还可能被转售于暗网，形成长期隐患。

再看Coinbase 的应对措施，Coinbase 承诺将全额赔偿因本次事件受骗而向攻击者转账的用户，并针对安全漏洞展开系统性修复。强化客服权限管理，在美国新增客服中心以提升监管能力。同时，Coinbase 也将内部加大对潜在威胁检测、自动响应和攻击模拟测试的投入。

这些举措虽然是亡羊补牢，但也释放出Coinbase “正面迎战”的态度。这一系列补救措施能否真正遏制风险、重新赢得投资者与用户的信任，还需时间与实际成效来验证。

KYC 争议重燃

KYC 的初衷是反洗钱、反恐融资，但在现实操作中，它也成为用户隐私最集中的信息库。Coinbase 此次数据泄露事件，将KYC制度的争议再次推至台前。

在这场风波中，多个项目创始人和 CEO 纷纷发声，围绕三个问题展开了反思：

1. “隐私交换安全”是否值得？

Nansen CEO Alex Svanevik 直言，KYC 制度要求用户提交大量敏感信息，如身份证件、护照、水电账单等，但现实中却“几乎没有真正的罪犯被抓住”。

Casa 钱包 CEO Nick Neuman 表示：“这就是我们不采集 KYC 的原因。”在他看来，KYC 只会给黑客提供更多攻击途径。

2. 制度漏洞加剧用户风险

 平台收集用户敏感信息，若缺乏相应的保护能力，反而会将用户置于更大风险之中。Wintermute CEO Evgeny Gaevoy 强调，Coinbase 并未及时披露信息泄露事件，正是“我们所处愚蠢又荒谬的 KYC/AML 体制的阴暗面”。他认为，这套制度“为地缘政治与执法提供了便利，却牺牲了公民隐私，还给企业施加了沉重负担，使犯罪分子更容易进行勒索、绑架和诈骗。

3. 信息蜜罐，还要继续加码？

 DeFiance Capital 创始人 Arthur 在 X 平台发文表示，Coinbase 真的需要解决他们的问题，如果最终 Coinbase 平台变成用户重要信息的蜜罐，没有理由要求不断 KYC。

对加密行业而言，当“合规”成为强制收集用户敏感信息的理由时，平台是否已准备好承担随之而来的数据安全责任？这场围绕 KYC 的讨论并非首次出现，但这次的现实案例让争议显得更加尖锐：监管合规与用户隐私之间的张力，正在成为加密行业无法回避的一道难题。

合规是通往主流的门票，但也是数据安全的炼金石。它不仅考验技术实力，更拷问平台的责任感与治理水平。

这是一条没有回头的路，也是一场注定漫长而艰难的修行。

前路漫漫，任重而道远。