在过去的两个月里,Coinbase,这个美国最大的加密货币交易所,正面临用户因安全漏洞而遭受的重大经济损失。根据区块链调查员ZachXBT的报告,至少6500万美元在2024年12月至2025年1月期间被盗。这一事件引发了公众对Coinbase安全性及其应对网络诈骗能力的广泛讨论。 据ZachXBT的描述,近几个月来,许多Coinbase用户在社交媒体上抱怨他们的账户突然被限制,而这正是由于Coinbase内部的风险模型过于激进,未能有效防止用户每年因社会工程诈骗损失超过3亿美元。 这一波诈骗的共同特点是采用网络钓鱼邮件、伪造客服电话和欺诈性网站,攻击者通过这些方式诱导受害者在虚假网站上输入登录凭证,或者转账到诈骗钱包。在资金转移后,攻击者会迅速通过跨链桥接和混合服务洗钱,使得资金几乎无法追踪或追回。
ZachXBT的调查显示,攻击者使用的诈骗手法非常复杂,心理操控手段高明。他们通常通过电话或伪造邮件联系受害者,声称其账户存在安全问题,要求受害者迅速采取行动以保护资金。在此过程中,受害者被直接引导到仿冒Coinbase界面的网站,输入账户信息,最终向诈骗地址转账。 一名受害者的损失特别引人注目,他在一次诈骗中损失了约85万美元,资金去向发现与另外25名受害者的损失地址相关。此外,另一名用户在交换Coinbase的Wrapped Bitcoin(cbBTC)时也损失了110个cbBTC,金额达1150万美元。 尽管网络安全专家早有警告,Coinbase却似乎未能有效执行适当的对策,使得用户暴露于日益发展的网络威胁之中。
许多受害者在试图联系客户支持时遭遇了帮助迟缓和响应不及时的情况,部分案例被忽视了好几周。许多用户反映,他们所获得的回应往往是千篇一律的Generic回复,或干脆得不到回应。 为了应对这一严峻的安全挑战,一些专家和用户开始呼吁Coinbase采取紧急的安全改革措施。ZachXBT提出了几条建设性的建议,包括: a) 对经过KYC认证的高级用户,可选择不使用手机号码而用Authenticator应用或安全密钥。 b) 为初学者和老年用户推出不允许提现的特殊账户类型。 c) 加强用户教育,通过博客文章、实时事件响应以及主动的诈骗侦测来提高安全意识。
使用模拟手段的诈骗犯常常利用Coinbase的安全功能进行操作,使受害者在不知不觉中将恶意地址列入白名单,或在“支持”验证他们账户安全的名义下执行转账操作。然后,他们会迅速将资金转移到其他链上进行交易,从而掩盖轨迹,逃避追踪。 Coinbase虽然在平台上进行了一些改进,例如提供稳定币的上下文转移和与SEC进行法律斗争,但这些措施未能有效解决日益加剧的社会工程诈骗问题。 除了内部安全防护措施,应当采取更为严格的法律行动来打击网络犯罪分子,努力追查美国境内的网络威胁行为者,并对提供犯罪所需数据的服务进行打击。 在此情况下,Coinbase必须重新审视其安全策略,并采取必要的措施来保护其用户资产的安全。网络诈骗正在增多,如何进一步提升用户的安全防护意识和技术手段,已经成为亟待解决的问题。
只有通过不断完善安全措施,提高用户识别和防范诈骗的能力,Coinbase才能重新赢得用户的信任,并在不可小觑的竞争环境中立于不败之地。