Coinbase 多事之秋：用户个资外泄恐赔4 亿美元善后、SEC 调查是否跨大用户数

美国加密货币交易所 Coinbase 昨日传出，有骇客收买海外客服人员，盗取用户身份资料后发动社交工程诈骗，更进一步勒索 2,000 万美元比特币。Coinbase 拒绝支付赎金，反设下同额悬赏追缉幕后黑手，据估计需支付 1.8 至 4 亿美元进行补偿与善后处理，引发外界对其的资安疑虑。

Coinbase 客服遭收买泄漏用户个资，初估赔偿近 4 亿美元

Coinbase 在 5 月 15 日向美国证交会 (SEC) 提交的文件中坦承，海外客户服务人员遭骇客金钱利诱，违法泄漏客户资料，包括地址、电话、电子信箱、身分证件等敏感资讯，成为社交工程诈骗的利器。

该公司至今仍未明确指出事件的发生时间与受害人数，仅在声明中写道：「此次资料外泄影响 Coinbase 每月活跃交易用户的约 1%。」

对此，外界普遍估计该事件或衍生 1.8 亿至 4 亿美元的支出，主要用于用户赔偿及系统修复作业：

该金额仍不包含可能的诉讼、保险理赔或潜在追回资产的结果，实际成本仍有变动空间。

拒付千万美元赎金，Coinbase 同额悬赏追缉骇客

Coinbase 声明指出，骇客在掌握资料后，曾试图以用户个资为交换条件，向 Coinbase 勒索价值 2,000 万美元的比特币。Coinbase 不仅拒绝支付，反而主动开出相同金额的悬赏，向全球悬赏揪出幕后黑手，也成了加密产业史上最高金额的追缉赏金纪录。

Coinbase 执行长 Brian Armstrong 也录制影片强调：「公司已报案并与执法机关合作，同时将启动针对受害用户的补偿机制。」

遭外泄资料并未包含用户的密码、私钥或 Coinbase Prime 的帐户资讯，资金也未受损。

Coinbase 强化内控，将客服移出高风险地区

针对严重资安疑虑，Coinbase 资安长 Philip Martin 表示，涉案客服全数位于印度，并已在事发后随即遭到解雇；并强调未来将更专注于用户资料保护，并提升员工训练与审查机制：

我们将全面检讨内部资料控管与客户服务流程，并考虑设置海外客服中心，以避免类似事件重演。

他补充，「未来将针对客服接触的权限范围进行限制，并引入更多监控措施以防止滥用。」

ZachXBT 早警告：社交诈骗横行，Coinbase 危机意识薄弱

早在今年 2 月，链上侦探 ZachXBT 就曾对此发出警告，近期 Coinbase 用户在短短两个月内，就因社交工程诈骗损失超过 6,500 万美元，整年损失可能高达 3 亿美元，批评 Coinbase 未能采取足够措施保护用户：

这些攻击者多伪装成官方的来电、电邮及网站，要求用户验证帐户安全，以诱导被害者转移资产至谎称是「Coinbase 安全钱包」的诈骗地址。

(诈骗重灾区？ZachXBT 踢爆 Coinbase 反应迟钝，放任用户遭骗逾 6 千万美元)

此事一出，加密社群也纷纷反应有收到来自冒充 Coinbase 官方的诈骗联络。

SEC 重启调查，质疑 Coinbase 为了上市夸大用户数

除了资安危机，Coinbase 近日更遭 SEC 针对其 2021 年上市期间是否夸大用户数展开调查。纽约时报报导，SEC 正检视当时 Coinbase 在注册文件中声称拥有超过 1 亿名「已验证用户」的说法，该数据后来在 2023 年被停止披露。

Coinbase 法务长 Paul Grewal 认为，「这起调查是『前朝政府时代的延续』，不应再继续下去。」

所谓「已验证用户」包含所有注册帐户、非托管钱包用户与合作伙伴，但该统计方式已不再反映实际活跃用户状况，因此改为揭露「每月活跃交易用户」数据。

风暴未止，Coinbase 面临信任与监管双重考验

Coinbase 对此次资安事件的揭露与反应，获得社群与媒体两极评价。一方面，用户与业界人士肯定其拒绝妥协与主动通报的举措；另一方面，也有不少声音批评 Coinbase 未即时向用户说明资料外泄风险。

Wintermute 执行长 Evgeny Gaevoy 就对此在 X 上表示：

Coinbase 没能更早揭露这起事件，是我们当前这种荒谬的 KYC/AML 体制下的黑暗面。

这起资安事件与数据调查案件不仅重创 Coinbase 的声誉，也再次暴露出加密产业在「中心化客服」与「用户资料保护」之间的结构性问题。

面对 SEC 的监管压力与用户信任危机，Coinbase 能否透过悬赏追缉与补偿机制挽回信任，将是其能否维持市场领导地位的关键考验。

节目《60分钟》对跨国犯罪集团活动进行深入调查，采访美国官员对于马斯克带领的 DOGE 效率部是否有帮助到政府节省到近 1650 亿美元的看法，同时影片揭露中国骇客如何使用生成 AI 窃取美国人的脸孔和个资，盗取美国公民的社安金、社会福利金，甚至灾害救助金。以下为 60 Minutes 影片内容重点整理。

美国政府问责局表示欢迎 DOGE 揭露诈欺行为让公众注意

任职于美国政府问责局 (Government Accountability Office) 的 Linda Miller 表示她欢迎 DOGE 揭露美国纳税义务人的个资和财产被跨国诈骗组织骗走的讯息。 Linda Miller 在问责局工作十多年，专门负责追踪纳税人的钱是如何被花掉和滥用，她甚至还撰写了防止联邦计划诈欺的手册。

政府问责局去年发布了一份报告，估计联邦政府每年因诈欺损失高达 5,210 亿美元，但 Miller 相信真实的数字会更高，她认为政府每年损失金额高达 5500 亿到 7500 亿美元，许多人以为诈欺就是盗取残疾福利或是粮食卷等社会福利的少数人行为，但真实情况是，大多数的美国公民受害者被大型犯罪组织窃取身份，让骇客和犯罪集团从中牟利，而非只是单一犯罪者的行为。

美国人的社安卡号个资在暗网买得到

Brian Vren 为联邦调查局网路部门的负责人，他说数位犯罪集团几乎可以把每一个美国人的社会安全号码放在暗网上出售，包括个人身份资料、姓名、出生日期、地址，社会安全号码等隐私资料都可以在暗网上找到并可被购买。而且据称每件只卖两块美元。

申请灾难救助的灾民身份被冒用

目前网路诈骗行为当中，最容易被牺牲的就是一些等待灾难救助的人，当某个地区或是国家发生灾难时，诈团就会盯上那些最需要帮助的灾民，盗用他们的身份申请补助，等到真正的灾民预备帮自己申请补助时，才发现他们的身份早被冒用，补助金已被诈团骗走，生活陷入困境。威尔金斯夫妇在洛杉矶野火天灾中幸存，他们向联邦紧急事务局 (FEMA) 申请灾难援助，却发现他们的 FEMA 帐户个资已经被骇入修改，他们的帐户也被冻结，不只是他们，其他灾民也发生同样问题。

AP41 中国骇客组织窃取美国人个资在暗网兜售

网路智慧型犯罪者利用 AI 深伪通过美国政府的身份查核，60 Minutes 的影片当中看到一个男人在拿出身份证试图通过摄影机的影片认证，他举起驾驶执照时，隐约可以看到半张中国男子的脸，甚至还听到有人在说著中文。联邦调查局发布消息称这个犯罪组织为 AP 41 Group ，怀疑他们帮外国政府工作，于 2021 年， API 至少对六个美国州政府进行了高度复杂的骇客攻击，透过窃取美国人的个资牟利，然后诈欺美国政府发放的退税、失业金、福利金和补助，将这些收益通过空壳公司洗白之后，把钱输出回中国。

DOGE 政府效率部产生作用了吗？白宫肯定作为

当 60 Ｍinutes 的主持人问资深雇员 Linda Miller ，DOGE 有无帮忙美国政府节省到预算时，她语带保留的表示绝对欢迎 DOGE 和马斯克的帮助，但她认为诈欺为跨国犯罪组织进行的绵密策划，无需跟政治挂钩。

白宫发言人 Harrison Fields 表示 DOGE 在提高数据准确性和简化联邦政府内部流程方面发挥了重要作用。透过机构间的资料共享，各部门正在合作识别诈欺行为并防止犯罪分子剥削辛勤工作的美国纳税人，因为有 DOGE 团队，诈欺者将被司法部追究责任。