ZachXBT:Coinbase资安防护缺失、用户2个月内遭窃6500万
知名链上侦探ZachXBT爆料指出,过去两个月内(去年12月至今年1月),Coinbase用户因社交工程诈骗损失超过6,500万美元,而这个数字很可能只是“冰山一角”,因为他统计的数据并未涵盖向Coinbase客服或警方报案的受害者。
根据ZachXBT揭露,诈骗集团利用从私人资料库窃取的个资精心设局,先是让受害者误以为自己的Coinbase帐户遭到多次未经授权的登入尝试,随后又伪造了一封几可乱真、内含虚假案件编号的Coinbase官方信件,指示受害者将资金转移至特定的Coinbase钱包,以及在白名单中添加可疑地址,最终导致资产被盗走。
ZachXBT指出,这些诈骗手法已经高度产业化:“诈骗集团几乎1比1复制出冒充Coinbase官网的钓鱼网站,并透过假冒的Email信箱发送各种钓鱼信件,甚至在Telegram上贩售这类诈骗工具。”
Coinbase放任骗徒横行?
ZachXBT直接点名Coinbase安全机制漏洞百出,未能有效防堵诈骗,导致越来越多用户沦为肥羊,每月损失金额动辄数千万美元。
“其他主流交易所并未出现这种专门为诈骗设计的工具,Coinbase必须尽速采取行动。”
更令人震惊的是,ZachXBT揭露,这些诈骗集团使用的钱包地址长期未被Coinbase举报,即便资金窃取行为已持续数周,至今仍逍遥法外。他补充说:“一名Coinbase员工甚至在X上建议用户“不要使用VPN,以免被标记为可疑行为”,但这与诈骗集团的运作逻辑完全相反,因为只有诈骗集团才会主动封锁VPN使用者,避免目标受害者察觉异状。”
ZachXBT直批Coinbase“根本没搞清楚问题所在”。
ZachXBT提出3大安全建议
为了防止更多用户受害,ZachXBT呼吁Coinbase应立即强化防诈机制,并提出以下3点改善方案:
1.让KYC认证用户可选择是否输入电话号码,避免个资成为社交工程攻击的破口;
2.增设“新手帐号模式”,限制刚入场的用户进行提领,降低诈骗风险;
3.强化社群教育与风险提示,提高用户对各种诈骗手法的警觉心。
