社会工程骗局导致Coinbase用户损失6500万美元，实际金额或更高

过去两个月内，Coinbase用户报告称账户限制数量激增。这一现象被认为与公司现行的积极风险模型及持续的社会工程骗局密切相关。

知名链上研究员Zachxbt指出，Coinbase领导层在处理盗窃地址未及时上报、支持响应迟缓以及威胁应对不足等问题上存在责任。相比之下，Kraken和Binance等竞争对手在类似问题上的表现更为出色。

Coinbase的安全危机

据化名研究员Zachxbt与另一位名为“Tanuki42”的研究员共同发现，在2024年12月至2025年1月期间，通过社会工程骗局从Coinbase用户手中窃取的资金至少达到6500万美元。

他们的研究发现基于链上数据分析和受害者直接提供的报告，表明实际损失可能更高，因为这些数据并未涵盖Coinbase内部或执法机构尚未披露的案件。

此类骗局通常涉及攻击者伪装成Coinbase客服人员，利用伪造的电话号码和电子邮件获取受害者信任，并借助私人数据库中的个人数据实施诈骗。受害者被诱导将资金转移到欺诈性白名单地址。

其中一起案件涉及高达85万美元的损失，被盗资金与其他25名受害者的资产被合并至一个名为“Coinbase-Hold.eth”的地址。Zachxbt批评了Coinbase的风险模型和客户安全措施，称其未能有效阻止每年因欺诈造成的超过3亿美元损失。

领导不作为与支持薄弱

除猖獗的社会工程骗局外，Zachxbt还透露Coinbase曾发生多起未公开披露的安全事件。例如，用于税务软件的旧API密钥遭到泄露，这些密钥本应仅具有只读权限；此外，近期还出现了一个允许验证代码发送至任意邮箱地址的漏洞，无论该邮箱是否与账户相关联。

2023年，Coinbase Commerce平台被盗1590万美元，而威胁行为者更是在短短数小时内通过Coinbase洗白了BTCTURK黑客攻击中窃取的3800万美元。研究人员指出，这些问题的根本原因在于Coinbase在安全和客户响应方面的系统性失败。

与盗窃相关的地址往往在合规工具中延迟数周才被标记，这为欺诈检测留下了巨大漏洞。同时，受害者经常面临无效的客户支持服务，几乎没有后续跟进，而公司在非美国时区的服务中断也对全球24/7市场造成了严重影响。

Zachxbt补充道，Kraken、OKX和Binance等竞争对手在风险管理方面表现得更加高效，而Coinbase未能针对低级别的美国威胁行为者采取果断行动，其运营安全性堪忧。他强调，核心问题源于领导层决策失误，而非个别员工。

“随着每月有数千万用户被骗，Coinbase亟需进行紧急改革。其他主要交易所并未出现如此严重的诈骗面板。尽管部分责任在于受害者，但要求普通用户尤其是老年人了解电子邮件或电话欺骗的技术细节是不现实的。”