每月安全投入数百万仍被攻破：Coinbase数据泄露暴露行业防御悖论

Coinbase（美国最大加密货币交易所）2025年5月数据泄露事件背景

2025年5月11日，Coinbase收到一封匿名威胁者的主动来信。对方声称掌握其客户敏感信息，并索要2000万美元赎金。

在剖析此次入侵前，值得玩味的是：这家每月投入数百万美元维护网络安全的上市公司为何会沦陷。早在今年2月，区块链调查员ZachXBT就报告涉及Coinbase用户的盗窃案激增。他归咎于平台激进的冒险模型，并指出Coinbase未能阻止每年因社会工程诈骗造成的3亿美元损失。

ZachXBT在X平台分享的数据表显示，仅2024年12月至2025年1月期间用户就损失了6500万美元。他特别强调实际损失可能更严重——因其数据仅来源于链上盗窃的直接私信举报，未包含他无法调取的Coinbase客服工单及警方报案记录。

对网络犯罪分子窃取敏感信息的担忧在5月11日成为现实——Coinbase发布博客公告，确认账户余额、身份证件图像、电话号码、家庭住址及部分隐藏的银行信息在此次数据泄露中遭窃。

5月21日，同一威胁者通过THORChain将约4250万美元从比特币兑换为以太币。他们利用以太坊交易输入数据写下"L bozo"（意为"可悲的失败者"），并附上NBA球员詹姆斯·沃西抽雪茄的恶搞视频，显然在嘲讽ZachXBT。该调查员随后在其Telegram频道标记了这条挑衅信息。

事件经过：Coinbase数据泄露时间线

2025年Coinbase数据泄露并非典型的加密货币黑客攻击（如利用智能合约或区块链漏洞），而更像一起传统IT安全事件，涉及内部人员操纵、企业间谍活动和勒索企图。

以下是事件发展的详细过程：

1. 内部人员招募与信息窃取开始

为窃取Coinbase数据，未知网络攻击者开始招募部分Coinbase海外客服人员（驻印度）。这些内应收受贿赂，泄露客户敏感数据及内部文档，尤其是客服与账户管理系统相关的内容。被盗信息原计划用于后续针对用户的冒充诈骗。

2. 安全检测与员工解雇

Coinbase内部安全团队最终发现涉事员工的可疑活动，迅速将其解雇，并通知受影响用户。尽管仅69,461个账户（占用户总量极小部分）遭波及，但因泄露的个人数据深度极高，事件影响重大。

3. 勒索邮件威胁（2025年5月11日）

Coinbase收到匿名邮件，发件人声称掌握内部系统细节及个人身份信息（PII）。后续提交至美国证券交易委员会（SEC）的8-K文件证实该威胁属实。

4. Coinbase拒绝支付2000万美元赎金（2025年5月14日）

Coinbase未屈服于勒索，反而主动反击：向执法部门报案、公开披露事件，并悬赏2000万美元征集线索以抓捕攻击者，将防守转为进攻。

5. 事件公开披露与用户通知

提交SEC文件后，Coinbase迅速公开确认泄露事件，阐明攻击范围和性质，并向缅因州总检察长办公室提交数据泄露通知，正式声明受影响用户数为69,461人。

这一时间线展现了加密货币公司如何以透明态度、强硬抵抗和大胆反制应对网络勒索企图，或将为行业应对网络犯罪威胁树立新范式。

2025年Coinbase数据泄露事件中哪些信息遭窃？

根据Coinbase发布的通告信，攻击者窃取这些信息是为了策划社会工程攻击。他们盗取的数据能使其在受害者面前显得可信，从而诱骗受害者转移资金。

Coinbase详细说明了威胁分子获取的信息范围及其未能触及的领域：

攻击者获取的信息

• 姓名、地址、电话及电子邮箱

• 政府身份证件图像（如驾照、护照）

• 部分隐藏的社会安全号（仅显示末四位）

• 账户数据（余额快照及交易记录）

• 部分隐藏的银行账号及部分银行账户标识符

• 有限的企业数据（包括客服人员可查阅的文档、培训材料及通讯记录）

攻击者未能获取的信息

• 登录凭证或双重验证码

• 私钥

• Coinbase Prime账户访问权限

• 任何转移或访问客户资金的能力

• 任何Coinbase或客户热钱包/冷钱包的访问权限

Coinbase应对2025年数据泄露事件的措施

为应对2025年的数据泄露事件，Coinbase实施了一套全面策略，旨在减轻损害、支持受影响用户并加强其安全基础设施。

Coinbase采取的关键措施包括：

拒绝支付赎金

Coinbase拒绝了攻击者2000万美元的赎金要求，转而设立2000万美元悬赏基金，用于奖励能促成逮捕和定罪责任人的线索。

用户赔偿

公司承诺对因数据泄露受骗而转账的用户进行赔偿。预计补救和赔偿成本在1.8亿至4亿美元之间。

防盗保护服务

为所有受影响用户提供为期一年的免费信用监控和身份保护服务，包括：信用监测、100万美元保险赔付政策、身份恢复服务，以及暗网监控（用于检测个人信息是否出现在非法网络平台）。

加强用户保护措施

受影响账户在进行大额提现时需额外身份验证，并强制弹出防诈骗警示，以防止进一步的社会工程攻击。

强化客服运营

Coinbase正在美国新建客服中心，并在所有办公点实施更严格的安全控制和监控，以防范内部威胁。

与执法部门合作

公司正与美国及国际执法机构紧密合作。涉事内部人员已被解雇并移交刑事起诉。

保持透明度与沟通

Coinbase在确认泄露后立即通知受影响用户，并持续提供事件进展及应对措施的更新。

这些措施体现了Coinbase对用户保护的承诺，以及其应对网络安全挑战的积极态度。

如何防范类似Coinbase的数据泄露事件

在加密货币平台发生大规模数据泄露后，用户应采取主动防护措施避免遭受社会工程攻击。以下提供具体防护建议：

警惕冒充者索要敏感信息

数据泄露后，诈骗分子常伪装成客服或安全人员。他们可能以各种理由诱骗您将资金转入其提供的钱包地址，或套取敏感信息。请牢记：任何情况下都不可向此类冒充者透露密码、双重验证(2FA)代码或助记词。正规交易所绝不会要求用户将加密货币转入所谓"新钱包"或"安全钱包"。

启用钱包地址白名单功能

部分交易所提供该功能，可将提现限制在您完全掌控的预设地址范围内。即使账户遭入侵，也能有效阻止未经授权的转账。

强化双重验证机制

建议使用硬件安全密钥或可信认证应用作为2FA工具。避免依赖短信验证，因其易受SIM卡劫持攻击。

谨慎处理陌生通讯

若接到自称交易所人员的来电，要求提供安全凭证或操作转账，请立即挂断。切勿通过陌生短信/邮件回复个人信息。

先冻结后核查原则

发现任何可疑情况，应立即通过官方APP或平台冻结账户，并通过正规渠道向客服举报。

保持安全信息同步

定期查阅加密货币服务商发布的安全通告，及时识别并规避新型诈骗手段。