Coinbase資料外洩揭用戶資訊，引發對加密貨幣中心化安全疑慮

Coinbase日前發生一宗資料外洩事故，疑因內部員工蓄意行為並長期隱瞞，事件引爆加密貨幣社群的強烈批評。今次事故不僅暴露美國最大加密交易所內部安全漏洞，更再次引發外界對中心化託管及身份資訊集中帶來風險的深層關注。

據報，事件涉及未獲授權存取及洩漏敏感用戶資料，包括政府發出身份證明、住址及聯絡資料，受影響用戶因此更易成為高階釣魚及冒充攻擊目標。雖然事件早在一月已發生，Coinbase卻遲至五月才通知用戶，批評者認為通報延誤令詐騙有機可乘，亦揭示公司治理機制存在重大缺陷。

與一般遭外部網絡攻擊的交易所事件不同，今次危機源於內部。根據了解內情的網絡安全專家指，Coinbase一名客服員工越權存取大批客戶資料，更疑將有關數據於暗網出售，反映公司內部權限設計存在漏洞。

Coinbase指受影響人數為其每月活躍用戶「低於1%」，但考慮到所涉資料性質，私隱風險嚴重。涉洩漏數據包括真實姓名、加密錢包地址、政府證件影像、電話、住址等——這些關鍵元數據可促成高風險詐騙甚至人身勒索。

此次內部洩漏事件，與傳統金融機構過往醜聞常被拿來比較，但在加密領域更具殺傷力，因區塊鏈資產具去中心化特性且鏈上轉賬無法逆轉。

用戶災難爆發：詐騙與現實恐懼

2024年初起，已有利用被盜Coinbase數據進行冒充詐騙的報告流出，遠早於官方承認資料外洩之時。受害人形容收到極具針對性的釣魚攻擊，歹徒冒充Coinbase客服，引誘用戶提供一次性密碼或授權可疑交易。

據稱受害者QwQiao（加密公司客服專員）詳述經歷，有攻擊者模仿Coinbase程序以假亂真，幾乎得手，並自稱單日已從類似行動獲利七百萬美元。

法律及網絡安全專家警告，事故威脅不限於金錢損失。金融科技律師Ariel Givner曾於同日內接獲五宗投訴，有用戶對家人安危感到憂慮。注重私隱的投資工具Rotki創辦人Lefteris Karapetsas同樣表示，現實身份及錢包地址結合屬「致命組合」。

事件突顯加密業界長期存在的合規痛點——即KYC（認識你的客戶）機制需大規模收集個人身份資料，儲存在中心化平台，成為黑客熱門目標。一旦平台無法保護，用戶將面臨失竊遠超賬戶安全的多重風險。

Coinbase遲遲未公開引爆公憤

外界最大質疑在於披露時間。多位保安專家及業內人士指，Coinbase於2025年1月已知曉外洩事件，但直至5月始通知用戶，令不少人早已淪釣魚攻擊受害。

加密分析師Duo Nine直指公佈與攻擊潮流相呼應：「Coinbase用戶不斷被冒充詐騙，原因如今水落石出。」

Web3分析師Adam Cochran批評Coinbase著重於追回失款，卻忽略資料外洩重點，更質疑讓客服可隨意存取KYC敏感數據的合理性：「根本無任何KYC/AML要求，會規定這些極敏感資料對客服全開放。」

事件反映平台未有嚴格實施按角色分級權限（RBAC），令低層員工亦可接觸最機密用戶資料。

中心化託管陰影：ETF連鎖風險

是次外洩亦令Coinbase於加密ETF相關基礎設施的壟斷地位受到質疑。目前，Coinbase乃美國獲批11隻現貨比特幣ETF中的8隻、以及9隻以太坊ETF中的8隻託管人。除託管外，Coinbase同時負責交易撮合及市場監控，成為機構級加密生態關鍵樞紐。

作為美國受規管加密市場的「入場券」，Coinbase任何運營風險皆會波及ETF發行商及資產管理圈。評論員Eleanor Terret形容Coinbase為「潛在單點故障」，全行依賴單一託管人至此地步，令人憂慮。

機構資金藉ETF湧入加密領域，一旦託管穩定性受質疑，或觸發監管審查，甚至誘發跨平台及產品連鎖風險。

暗網信號：洩露屬更大數據包一部分

威脅情報來源指，Coinbase數據為暗網上1,800萬條資料洩包之一。有列表指僅需1萬美元即能購得逾432,000名Coinbase用戶完整檔案，足以支持冒充、SIM卡劫持或針對住址勒索等攻擊。

網安專家認為，Coinbase洩露數據包括：

• 全名及電郵
• 實體郵寄地址
• 綁定賬戶的電話
• KYC資料（證件、賬單等）
• 關聯錢包地址

這些資料常被跨查鏈上活動，找出高價值目標。有案件已進展至現實威脅層面——如巴黎某加密高管家人遇綁架未遂事件，令數碼身份安全更受關注。

Coinbase作為機構託管角色令應對更複雜

截稿時，Coinbase未就事件公開詳細報告，也未披露具體受影響用戶總數。其最新聲明只提努力追回失款，未有交代數據管理、內部監控或KYC存儲架構安排。

對依賴Coinbase的機構與ETF發行商而言，透明度不足令風險難以計算。在金融科技領域，個別資料外洩雖非罕見，惟是次事件的特殊之處包括：

• 內鬼牽涉
• 公開時間嚴重滯後
• 洩漏數據性質（PII結合加密錢包）
• Coinbase於受規管產品基建中的樞紐角色

金融服務企業原須遵守GDPR、加州消費者私隱法（CCPA）等嚴格規則，美國聯邦私隱法草案亦逐步收緊。Coinbase處理今次事件是否合乎合規框架，或將成未來數月爭議焦點。

加密業界更大辯論：去中心化理念與現實矛盾

Coinbase事故現已引爆加密圈更深層辯論——即所謂去中心化理想，如何與中心化基建依賴並存。

雖然以太坊、比特幣與Solana等區塊鏈協議層依然去中心化，絕大多數用戶卻仍仰賴中心化平台（交易所、託管及服務商）進行交易，這些機構積聚大量已通過KYC的用戶資料。

一旦資料外洩，鏈上透明與鏈下黑箱的落差，成保安系統重大漏洞。

如加密交易員Bob Loukas所指：「明知手握全業界最搶手的客戶資料，卻仍讓客服大批存取，實在不可接受。」

事件成為Web3世界身份資料中心化風險的案例，警示監管者、開發者與投資者勿掉以輕心。

下一步會如何？

Coinbase資料外洩的後續影響，可能在多個層面蔓延：

• 法律：按司法管轄與舉證情況，用戶或會發起集體訴訟。
• 監管：美國及歐盟監管機構或會就Coinbase的KYC操作與通報規定展開調查。
• 技術：機構合作方或會重新評估Coinbase基建，特別是在ETF託管角色上的風險。
• 國際輿論：公眾對中心化平台信心進一步下滑，促使自我託管與去中心化身份工具關注度提升。

隨加密產業成熟及迎來主流金融機構參與，行業亦將需承擔更多數據治理、運營透明度與披露責任。現時Coinbase內鬼洩密事件，已清楚說明通往去中心化金融的路，依然嚴重依賴中心化信任，而這種信任極其脆弱。