Coinbase惊现「内鬼」？3亿美元诈骗案背后，用户数据遭精准泄露

原文标题：《一年损失 3 亿美元，Coinbase 用户频遭精准诈骗，背后竟藏「内鬼」泄露信息？》

原文作者：Fairy，ChainCatcher

「您好，这里是 Coinbase 安全团队，检测到您的账户存在异常登录……」

电话那头的声音专业而急促，甚至能准确报出你的姓名、注册邮箱和最近交易记录。你会选择立即挂断，还是按照「客服」指引，一步步将资金转入所谓的「安全钱包」？

近日，多个 Coinbase 用户接连被骗，损失金额惊人。仅 3 月份，被盗资金已超 4600 万美元，每年 Coinbase 用户因社交工程诈骗造成的损失更是高达 3 亿美元。

然而，这些黑客究竟是如何精准锁定目标的？他们为何能获取用户个人信息？这场安全危机，或许比想象中更加严重。

诈骗猖獗，钓鱼攻击产业化

3 月 28 日，链上侦探 ZachXBT 披露，过去两周内，发生多起疑似 Coinbase 用户遭受诈骗的案件，使 3 月被盗资金总额超过 4600 万美元。

事实上，这类诈骗早已有迹可循。早在 2 月初，ZachXBT 就曾揭露，2024 年 12 月至 2025 年 1 月期间，Coinbase 用户因类似手法损失高达 6500 万美元，这一数字让 Coinbase 面临着每年超 3 亿美元的社交工程诈骗危机。

跟据 ZachXBT 的分析，诈骗手法已形成一条成熟的产业链：

1、诈骗者冒充 Coinbase 官方

诈骗者使用伪造的电话号码拨打受害者电话，并利用用户个人信息获取信任。他们声称用户账户存在未经授权的登录尝试，诱导受害者配合安全验证。

2、发送钓鱼邮件

诈骗者发送伪造的 Coinbase 邮件，包含假冒的案例编号（Case ID）。

3、引导用户转账

诈骗者要求受害者将资金转入 Coinbase Wallet，并将诈骗地址列入白名单，声称这是一种账户安全验证方式。

4、克隆 Coinbase 网站

诈骗者创建几乎 1:1 复制的 Coinbase 钓鱼网站，并通过伪造邮件和 Telegram 诈骗面板向受害者发送不同的操作提示。

除此之外，据 Cointelegraph 报道，近期多个加密货币用户还收到了冒充 Coinbase 和 Gemini 的诈骗邮件。这类邮件通常声称因监管要求，用户必须过渡到自托管钱包，并设定 4 月 1 日为最后期限，以制造紧迫感。

邮件内提供了下载 Coinbase Wallet 或 Gemini Wallet 的链接，并附上预生成的恢复短语。一旦用户使用这些短语创建新钱包并转移资产，资金便会被诈骗者瞬间清空。

内部数据访问问题浮出水面

社交工程诈骗的核心在于精准的信息获取，而在 Coinbase 用户被骗案件中，攻击者似乎掌握了受害者的个人信息，包括电话、电子邮件地址、交易记录等。这引发了一个关键问题：这些数据究竟是如何落入诈骗分子手中的？

昨日，The Block 联合创始人 Mike Dudas 在 X 平台称自己收到了来自 Coinbase 的一封邮件。这封邮件内容令人不安，直指内部数据访问问题。邮件中写道：

「我们写信通知您，我们检测到有迹象表明，一名 Coinbase 员工可能以不符合内部政策的方式，查看了少量 Coinbase 客户的账户记录，其中包括您的账户。」

虽然邮件中称，「您的资产仍然安全，您的 Coinbase 账户未遭到破坏」，并且强调目前没有证据表明数据泄露至外部，但这封邮件却给用户发出了一个明确的警告：内部数据的访问问题已经被确认，且并非孤立事件。

Dudas 表示，这解释了那些假冒 Coinbase 发送的钓鱼邮件和电话。

然而，数据泄露范围存疑，或涉及更广泛的用户。社区用户 @ghaiankur 表示：「我在 Coinbase 上没有任何资金，而且从未使用过。但我还是因为有账户而收到了这些邮件，这可能不仅仅是针对几个目标账户，而是整个数据库。」

数据泄露成行业隐患

不仅是 Coinbase，其他交易平台似乎也面临着类似的内部安全隐患。

Dudas 分享邮件后，加密交易员 Jordan Fish（@Cobie）爆料称，加密交易平台 Kraken 也最近遭遇了类似攻击。他推测：「这可能是攻击者的策略——渗透客服团队，从内部窃取用户数据。」

与此同时，3 月 27 日，暗网新闻网站 Dark Web Informer 披露，一名代号为 AKM69 的黑客声称，掌握了加密交易平台 Gemini 大量用户的私人信息。该数据库包含 100,000 条记录，其中涉及美国用户的全名、电子邮件、电话号码和位置信息，甚至还包括一些新加坡和英国用户的数据。