ZachXBT 揭 Coinbase 资安防护缺失：用户 2 个月内遭窃 6,500 万美元

知名链上侦探 ZachXBT 爆料指出，过去两个月内（去年 12 月至今年 1 月），Coinbase 用户因社交工程诈骗损失超过 6,500 万美元，而这个数字很可能只是「冰山一角」，因为他统计的数据并未涵盖向 Coinbase 客服或警方报案的受害者。 

根据 ZachXBT 揭露，诈骗集团利用从私人资料库窃取的个资精心设局，先是让受害者误以为自己的 Coinbase 帐户遭到多次未经授权的登入尝试，随后又伪造了一封几可乱真、内含虚假案件编号的 Coinbase 官方信件，指示受害者将资金转移至特定的 Coinbase 钱包，以及在白名单中添加可疑地址，最终导致资产被盗走。

ZachXBT 指出，这些诈骗手法已经高度产业化：

诈骗集团几乎 1 比 1 复制出冒充 Coinbase 官网的钓鱼网站，并透过假冒的 Email 信箱发送各种钓鱼信件，甚至在 Telegram 上贩售这类诈骗工具。

Coinbase 放任骗徒横行？

ZachXBT 直接点名 Coinbase 安全机制漏洞百出，未能有效防堵诈骗，导致越来越多用户沦为肥羊，每月损失金额动辄数千万美元。

其他主流交易所并未出现这种专门为诈骗设计的工具，Coinbase 必须尽速采取行动。

更令人震惊的是，ZachXBT 揭露，这些诈骗集团使用的钱包地址长期未被 Coinbase 举报，即便资金窃取行为已持续数周，至今仍逍遥法外。他补充说：

一名 Coinbase 员工甚至在 X 上建议用户「不要使用 VPN，以免被标记为可疑行为」，但这与诈骗集团的运作逻辑完全相反，因为只有诈骗集团才会主动封锁 VPN 使用者，避免目标受害者察觉异状。

ZachXBT 直批 Coinbase「根本没搞清楚问题所在」。

ZachXBT 提出 3 大安全建议

为了防止更多用户受害，ZachXBT 呼吁 Coinbase 应立即强化防诈机制，并提出以下 3 点改善方案：

1. 让 KYC 认证用户可选择是否输入电话号码，避免个资成为社交工程攻击的破口；

2. 增设「新手帐号模式」，限制刚入场的用户进行提领，降低诈骗风险；

3. 强化社群教育与风险提示，提高用户对各种诈骗手法的警觉心。