链上侦探 ZachXBT 揭露,Coinbase 用户们在短短两个月内因诈骗损失金额高达 6,500 万美元,批评 Coinbase 未能采取足够措施保护用户,甚至可能加剧诈骗风险,建议 Coinbase 采取更强硬的安全措施,并对诈骗分子提起法律行动。
(ZachXBT 揭露北韩骇客犯罪网路,佯装开发者渗透团队再卷款:月收 50 万美元)
Table of Contents
ToggleCoinbase 用户年度损失或达 3 亿美元
根据 ZachXBT 与另一名调查员 Tanuki42 的调查,他们共同审查了 Coinbase 的提款记录,并透过社群平台的私讯与区块链数据追踪,收集社群回报的诈骗案件,结果显示在短短两个月内,Coinbase 用户们已经损失了 6,500 万美元。
1/ Over the past few months I imagine you have seen many Coinbase users complain on X about their accounts suddenly being restricted.
This is the result of aggressive risk models and Coinbase’s failure to stop its users losing $300M+ per year to social engineering scams. pic.twitter.com/PjtX7vmjqc
— ZachXBT (@zachxbt) February 3, 2025
他坦言,具体金额难以估计,每年损失总额更可能高达 3 亿美元:
这个数字可能只是冰山一角,因为我们无法获得 Coinbase 官方客服记录或警方报告中的相关数据。
(Coinbase 营运大改版?执行长 Armstrong 重整上币流程,孙宇晨:有失公正)
剖析诈骗手法:假冒 Coinbase 官方行骗
ZachXBT 发现,大部分案件主要都是透过假冒 Coinbase 客服行骗,手法如下:
伪造官方来电与个资窃取:诈骗者使用技术伪造 Coinbase 官方电话号码致电受害者,并透过暗网或其他非法管道获取受害者的个人资讯,使对话更具可信度。
谎称帐户异常以制造恐慌:诈骗者声称侦测到多次未经授权的登入尝试,需要受害者立即验证帐户安全性。
伪造 Coinbase 官方邮件:受害者随后会收到假冒 Coinbase 官方格式的电子邮件,内含虚假「案件编号」。
诱导受害者转移资产:诈骗者要求受害者将资金转移至「Coinbase 安全钱包」,并将一个恶意地址授权为白名单,以确保帐户安全。
他指出,诈骗集团甚至能够完美复制 Coinbase 网站介面,透过后台系统发送假消息与指令给受害者,让受害者难以察觉异常:
这些诈骗网站架设工具甚至遍布 Telegram 的黑市中,被以低价出售,从而助长了诈骗行为。
(联合国:东南亚犯罪集团拥抱 AI,Telegram 成洗钱诈骗主要平台)
Coinbase 反应慢半拍、甚至隐匿资安漏洞?
另外,ZachXBT 也批评 Coinbase 未能有效应对诈骗问题,甚至在多起安全事件中徒增风险:
VPN 政策反而帮助诈骗集团:Coinbase 曾呼吁用户「避免使用 VPN」,以免被系统标记为可疑帐户,然而诈骗者反而借此封锁 VPN 连线至钓鱼网站,让受害者无法察觉异常。
内部安全漏洞、Coinbase 未主动公开:Coinbase 曾发生旧版 API 金钥遭骇客入侵窃取事件,但官方从未公开承认;部分帐户甚至存在能将验证码发送至未绑定电子邮件的漏洞,提高诈骗风险。
Coinbase 未及时标记诈骗地址:Coinbase 未能即时将诈骗钱包地址列入黑名单,导致同一批诈骗集团能够持续运作数周。
客服人力匮乏、用户求助无门:受害者反映 Coinbase 客服人力及能力都不足,回报后的案件后续也无人跟进或通知。而 24 小时在线的宣称也沦为口号,在美国办公时间外,用户几乎无法与其取得联系。
Zach 提出 5 大改善建议
针对 Coinbase 当前的安全问题,ZachXBT 提出以下建议:
让用户得以透过验证器而非手机号码验证:由于电话号码一直是骇客的攻击目标,应让用户改用「身份验证器 (Authenticator)」或「安全金钥 (Security Key)」作为验证身份手段,其次才是电话号码。
为新手等高风险用户设立保护机制:设立新手或年长者帐户模式,必要时限制其提款功能,以降低诈骗风险。
强化社群教育及风险警示:定期发布诈骗报告及案例并加强风控机制,让用户能够识别潜在风险。
起诉美国本土诈骗集团:对于国内诈骗者采取法律行动,以震慑犯罪分子。
对诈骗工具提供商提起诉讼:对 TLOxp 及 TransUnion 提起法律诉讼,这些资料被诈骗者用来搜集个资进行社交工程攻击。
(美日韩三国联合声明警告:北韩加密骇客威胁升级,需共同防范)
ZachXBT:Coinbase 需采取行动、树立榜样
最后,ZachXBT 也向 Coinbase 呼吁,该平台用户每个月都在承受数千万美元的诈骗损失,然而该交易所目前并没有采取实质行动:
虽然受害者需要对自己的资产负责,但期待老年用户能够完全理解电子邮件与电话诈骗的细节是不合理的。作为一家拥有数千万用户的大型交易所,Coinbase 有责任采取更严格的安全措施,而不是继续忽视问题。
他强调,Coinbase 的市场地位与资源,完全有能力改变现状并成为业界标竿。然而,面对多起指控与建议,Coinbase 至今仍未作出具体回应。
风险提示
加密货币投资具有高度风险,其价格可能波动剧烈,您可能损失全部本金。请谨慎评估风险。
文章声明:以上内容(如有图片或视频亦包括在内)除非注明,否则均为谈天说币原创文章,转载或复制请以超链接形式并注明出处。