詐騙重災區?ZachXBT踢爆Coinbase反應遲鈍,放任用戶遭騙逾6千萬美元

1 月 前

鏈上偵探 ZachXBT 揭露,Coinbase 用戶們在短短兩個月內因詐騙損失金額高達 6,500 萬美元,批評 Coinbase 未能採取足夠措施保護用戶,甚至可能加劇詐騙風險,建議 Coinbase 採取更強硬的安全措施,並對詐騙分子提起法律行動。

(ZachXBT 揭露北韓駭客犯罪網路,佯裝開發者滲透團隊再捲款:月收 50 萬美元)

Coinbase 用戶年度損失或達 3 億美元

根據 ZachXBT 與另一名調查員 Tanuki42 的調查,他們共同審查了 Coinbase 的提款記錄,並透過社群平台的私訊與區塊鏈數據追蹤,收集社群回報的詐騙案件,結果顯示在短短兩個月內,Coinbase 用戶們已經損失了 6,500 萬美元。

1/ Over the past few months I imagine you have seen many Coinbase users complain on X about their accounts suddenly being restricted.

This is the result of aggressive risk models and Coinbase’s failure to stop its users losing $300M+ per year to social engineering scams. pic.twitter.com/PjtX7vmjqc

— ZachXBT (@zachxbt) February 3, 2025

他坦言,具體金額難以估計,每年損失總額更可能高達 3 億美元:

這個數字可能只是冰山一角,因為我們無法獲得 Coinbase 官方客服記錄或警方報告中的相關數據。

(Coinbase 營運大改版?執行長 Armstrong 重整上幣流程,孫宇晨:有失公正)

剖析詐騙手法:假冒 Coinbase 官方行騙

ZachXBT 發現,大部分案件主要都是透過假冒 Coinbase 客服行騙,手法如下:

  • 偽造官方來電與個資竊取:詐騙者使用技術偽造 Coinbase 官方電話號碼致電受害者,並透過暗網或其他非法管道獲取受害者的個人資訊,使對話更具可信度。

  • 謊稱帳戶異常以製造恐慌:詐騙者聲稱偵測到多次未經授權的登入嘗試,需要受害者立即驗證帳戶安全性。

  • 偽造 Coinbase 官方郵件:受害者隨後會收到假冒 Coinbase 官方格式的電子郵件,內含虛假「案件編號」。

  • 誘導受害者轉移資產:詐騙者要求受害者將資金轉移至「Coinbase 安全錢包」,並將一個惡意地址授權為白名單,以確保帳戶安全。

他指出,詐騙集團甚至能夠完美複製 Coinbase 網站介面,透過後台系統發送假消息與指令給受害者,讓受害者難以察覺異常:

這些詐騙網站架設工具甚至遍佈 Telegram 的黑市中,被以低價出售,從而助長了詐騙行為。

(聯合國:東南亞犯罪集團擁抱 AI,Telegram 成洗錢詐騙主要平台)

Coinbase 反應慢半拍、甚至隱匿資安漏洞?

另外,ZachXBT 也批評 Coinbase 未能有效應對詐騙問題,甚至在多起安全事件中徒增風險:

  • VPN 政策反而幫助詐騙集團:Coinbase 曾呼籲用戶「避免使用 VPN」,以免被系統標記為可疑帳戶,然而詐騙者反而藉此封鎖 VPN 連線至釣魚網站,讓受害者無法察覺異常。

  • 內部安全漏洞、Coinbase 未主動公開:Coinbase 曾發生舊版 API 金鑰遭駭客入侵竊取事件,但官方從未公開承認;部分帳戶甚至存在能將驗證碼發送至未綁定電子郵件的漏洞,提高詐騙風險。

ZachXBT 爆料 Coinbase 過往內部安全事件
  • Coinbase 未及時標記詐騙地址:Coinbase 未能即時將詐騙錢包地址列入黑名單,導致同一批詐騙集團能夠持續運作數週。

  • 客服人力匱乏、用戶求助無門:受害者反映 Coinbase 客服人力及能力都不足,回報後的案件後續也無人跟進或通知。而 24 小時在線的宣稱也淪為口號,在美國辦公時間外,用戶幾乎無法與其取得聯繫。

Zach 提出 5 大改善建議

針對 Coinbase 當前的安全問題,ZachXBT 提出以下建議:

  1. 讓用戶得以透過驗證器而非手機號碼驗證:由於電話號碼一直是駭客的攻擊目標,應讓用戶改用「身份驗證器 (Authenticator)」或「安全金鑰 (Security Key)」作為驗證身份手段,其次才是電話號碼。

  2. 為新手等高風險用戶設立保護機制:設立新手或年長者帳戶模式,必要時限制其提款功能,以降低詐騙風險。

  3. 強化社群教育及風險警示:定期發佈詐騙報告及案例並加強風控機制,讓用戶能夠識別潛在風險。

  4. 起訴美國本土詐騙集團:對於國內詐騙者採取法律行動,以震懾犯罪分子。

  5. 對詐騙工具提供商提起訴訟:對 TLOxp 及 TransUnion 提起法律訴訟,這些資料被詐騙者用來蒐集個資進行社交工程攻擊。

(美日韓三國聯合聲明警告:北韓加密駭客威脅升級,需共同防範)

ZachXBT:Coinbase 需採取行動、樹立榜樣

最後,ZachXBT 也向 Coinbase 呼籲,該平台用戶每個月都在承受數千萬美元的詐騙損失,然而該交易所目前並沒有採取實質行動:

雖然受害者需要對自己的資產負責,但期待老年用戶能夠完全理解電子郵件與電話詐騙的細節是不合理的。作為一家擁有數千萬用戶的大型交易所,Coinbase 有責任採取更嚴格的安全措施,而不是繼續忽視問題。

他強調,Coinbase 的市場地位與資源,完全有能力改變現狀並成為業界標竿。然而,面對多起指控與建議,Coinbase 至今仍未作出具體回應。

這篇文章 詐騙重災區?ZachXBT踢爆Coinbase反應遲鈍,放任用戶遭騙逾6千萬美元 最早出現於 鏈新聞 ABMedia

閱讀完整文章