Coinbase信息泄露或致4亿美元损失：KYC制度成黑客“金矿”？

撰文：Fairy，ChainCatcher

近日，Coinbase因内部安全隐患导致用户信息泄露，预计损失可能高达1.8亿至4亿美元。这一事件再次引发了业界对KYC（了解你的客户）制度的争议。

今年4月初，我们曾报道Coinbase用户频遭精准诈骗，年度损失或将达到3亿美元。如今，更多真相逐渐浮出水面。

昨日，Coinbase披露核心细节称，黑客通过收买海外客服人员，窃取了不到1%活跃用户的个人信息。遮掩已久的内部安全问题终于暴露在公众视线中。

荣耀未散，危机却至

就在Coinbase因被纳入标普500指数而迎来利好消息不到一周后，安全丑闻接踵而至，导致其股价日内下挫7.2%。

四月初，The Block联合创始人Mike Dudas曾收到Coinbase通知，称其账户遭到员工违规访问，当时已引发外界对内部数据权限管理的担忧。（相关阅读：一年损失3亿美元，Coinbase用户频遭精准诈骗，背后竟藏“内鬼”泄露信息？）

而根据Coinbase昨日发布的公告，事件全貌得以首次披露：犯罪分子通过收买海外客服人员，复制了不到1%月活用户的数据，并试图冒充官方实施诈骗。黑客甚至向Coinbase索要2000万美元封口费，但遭到拒绝。Coinbase随即悬赏同额奖金，追缉并定罪幕后主使。

与此同时，Coinbase是否虚报用户数量的问题也被推上风口浪尖。美国证券交易委员会（SEC）正调查其注册文件中提到的「1亿验证用户」这一关键数据。尽管首席法务官Paul Grewal回应称此事属于上届政府遗留调查，且相关信息已充分披露，但Coinbase仍难以摆脱舆论压力。

Coinbase还能信吗？

作为一家以「安全合规」为核心卖点的上市加密交易所，Coinbase正面临前所未有的信任危机。敏感数据外泄、社工诈骗风险激增以及潜在的监管处罚，无疑对其形象造成了沉重打击。

根据公告内容，黑客窃取的信息几乎覆盖了用户的完整KYC档案，包括姓名、地址、电话、电邮、身份证件图像，甚至部分银行账户信息。这些信息一旦落入不法分子手中，不仅为后续的社工攻击、钓鱼邮件和资金盗窃提供了「精准弹药」，还可能被转售于暗网，形成长期隐患。

针对此次事件，Coinbase承诺全额赔偿因受骗而向攻击者转账的用户，并展开系统性修复，强化客服权限管理。此外，公司计划在美国新增客服中心以提升监管能力，并加大对潜在威胁检测、自动响应和攻击模拟测试的投入。

尽管这些举措显示出Coinbase「正面迎战」的态度，但能否真正遏制风险并重新赢得用户信任，仍需时间和实际成效来验证。

KYC争议重燃

此次数据泄露事件将KYC制度的争议再次推向台前。多位行业领袖纷纷发声，围绕以下三个问题展开反思：

「隐私交换安全」是否值得？

Nansen CEO Alex Svanevik直言，KYC制度要求用户提交大量敏感信息，如身份证件、护照、水电账单等，但现实中却「几乎没有真正的罪犯被抓住」。

Casa钱包CEO Nick Neuman表示：「这就是我们不采集KYC的原因。」在他看来，KYC只会给黑客提供更多攻击途径。

制度漏洞加剧用户风险

平台收集用户敏感信息，若缺乏相应的保护能力，反而会将用户置于更大风险之中。Wintermute CEO Evgeny Gaevoy强调，Coinbase并未及时披露信息泄露事件，正是「我们所处愚蠢又荒谬的KYC/AML体制的阴暗面」。他认为，这套制度「为地缘政治与执法提供了便利，却牺牲了公民隐私，还给企业施加了沉重负担，使犯罪分子更容易进行勒索、绑架和诈骗」。

信息蜜罐，还要继续加码？

DeFiance Capital创始人Arthur在X平台发文表示，如果最终Coinbase平台变成用户重要信息的蜜罐，那么没有理由要求不断加强KYC。

对加密行业而言，当「合规」成为强制收集用户敏感信息的理由时，平台是否已准备好承担随之而来的数据安全责任？这场围绕KYC的讨论并非首次出现，但这次的现实案例让争议显得更加尖锐：监管合规与用户隐私之间的张力，正在成为加密行业无法回避的一道难题。

合规是通往主流市场的门票，但也是数据安全的炼金石。它不仅考验技术实力，更拷问平台的责任感与治理水平。

这是一条没有回头的路，也是一场注定漫长而艰难的修行。

前路漫漫，任重而道远。