Coinbase 資安漏洞曝用戶資訊，引發對中心化加密安全隱憂

美國最大加密貨幣交易所 Coinbase 遭爆出資安漏洞，疑由內部員工發動且遭公司隱瞞數月，引發加密社群強烈批評。此次事件不僅暴露內部控管的重大缺失，更再度喚起市場對加密平台集中託管及身份數據風險的憂慮。

根據報導，本次外洩涉及未經授權存取與洩漏的敏感用戶資訊，包括政府核發證件、實體地址及聯絡方式，使受害者易遭遇釣魚和冒名詐騙。該事件最早於一月發生，但 Coinbase 直至五月才通知用戶，延遲回應遭批評為促使詐騙發生並顯現公司治理缺陷的重要因素。

有別於一般遭駭事件，這起資安事故來自內部。資安專家指出，Coinbase 一名客服人員未經授權取得大量客戶資料，更疑似將其於暗網販售，濫用公司內部的權限體系。

官方稱影響僅“不到 1%”的月活躍用戶，但由於外洩數據包含真實姓名、加密錢包地址、政府證件影本、手機號碼及住址等高度敏感資料，風險極高，不法分子可利用這些資訊發動高度針對性釣魚或甚至實體勒索。

這起內部外洩與傳統金融機構過往案例相似，但加密產業特有的鏈上資產不可逆、去識別化特性，使影響層面更為嚴重。

用戶後續：詐騙與現實恐懼

2024 年初，即有越來越多利用 Coinbase 資料的冒充詐騙案例浮現，遠早於公司正式承認漏洞。被害者描述詐騙手法高度擬真，冒充 Coinbase 客服要求驗證單次密碼、授權惡意交易等。

據悉，一位自稱 QwQiao 的加密公司客服專家就親身經歷差點受騙，對方甚至誇稱單日藉此騙術獲利 700 萬美元。

法律和資安專家警告，此次外洩已超越金融損失範疇。金融科技律師 Ariel Givner 報告，有 5 人於同日聯繫表達對家人安全的恐慌。Rotki 創辦人 Lefteris Karapetsas 也指出，現實身份與加密錢包地址結合是“致命組合”。

此事件凸顯加密產業長期合規困難：KYC（認識你的客戶）規範要求上傳大量個資，一旦中心化機構資安破口，受害範圍難以設限。

Coinbase 通報延宕引眾怒

最大的爭議點之一在於通報時程。資安研究人員與業內人士指控 Coinbase 早於 2025 年一月已知此漏洞，卻待到五月才通知用戶。

加密分析師 Duo Nine 指出，數月來的大量 Coinbase 用戶被網路釣魚的案件，如今終於找到源頭：“我們一直在看到蔡用戶受害，現在知道原因了。”

Web3 資深分析 Adam Cochran 則批評 Coinbase 過度關注資金損失，忽略此次個資外洩本身。他質疑客服人員為何能存取如此敏感資訊，並說“沒有任何 KYC/AML 條例要求這些資料必須開放給客服人員。”

事件顯示公司內部缺乏應有的角色分級權限管理（RBAC），導致低階員工可輕易存取敏感用戶資訊。

聚焦中心化託管：ETF 風險與單點失誤

此漏洞也引發了對 Coinbase 作為加密 ETF“龍頭託管人”所帶來的系統性風險疑慮。Coinbase 目前是美國獲批 11 檔現貨比特幣 ETF 中 8 檔，以及 9 檔以太幣 ETF 中 8 檔的託管人，亦提供交易與市場監控服務，是機構加密業務的關鍵一環。

作為美國監管市場的加密入口，Coinbase 的營運風險關係到整體 ETF 發行商、資產管理人，Eleanor Terret 等市場評論員更形容 Coinbase 的角色為“單點失誤風險”，令人擔憂大規模機構資本經由一個平台統一出入。

隨著 ETF 大舉引入機構資本，若傳出託管不穩隨時可能引發監管調查，甚至產生跨平台風險蔓延。

黑市訊號：大規模資料於暗網兜售

威脅情報來源顯示，Coinbase 用戶資料恐只是暗網流傳 1,800 萬筆資料池的一部分。有黑市賣家以 1 萬美元出售超過 43 萬筆 Coinbase 用戶紀錄，內容涵蓋完整身份檔案，可用於冒名、SIM 卡詐騙或直擊住家恐嚇勒索。

資安研究人員認為下列資料已遭外洩：

• 全名與電子郵件地址
• 實體郵寄地址
• 連結帳戶的手機號碼
• KYC 文件（證件、帳單）
• 對應加密錢包地址

攻擊者常搭配區塊鏈活動比對，鎖定高價值用戶，有些恐嚇手法更已升級到現實威脅。近期巴黎某加密高管家族遭綁架未遂，即突顯數位身份安全的急迫性。

Coinbase 機構身份增加事件複雜度

截至截稿，Coinbase 尚未公布更多細節或受害總數。公司僅曾聲明嘗試追回失竊資金，卻未明確說明資料治理、內部監控及 KYC 為何制度化儲存。

ETF 發行商等機構也因缺乏透明度，防範風險愈加困難。相較一般金融科技業已受 GDPR、CCPA 美加等嚴格數據保護法規規範，此事件涉及：

• 內賊涉案
• 通報延遲
• 外洩資料屬性涉及 PII 與加密資產
• Coinbase 在監管產品裡的基礎設施地位

未來幾月 Coinbase 是否違反上述監管規範，將受外界檢驗。

業界反思：去中心化理想與中心化弱點

Coinbase 事件引發業界廣泛辯論：去中心化理想與現實依賴中心化基礎設施的矛盾。

以太坊、比特幣、Solana 協議層雖去中心化，但大多數用戶仍透過中心化交易所、託管方與平台參與生態，龐大 KYC 用戶資料因此集中儲存。

當這些資料庫被駭，鏈上透明、鏈下不透明的斷層正成為重大資安缺口。

加密交易員 Bob Loukas 如此評論：“你明知自己持有最搶手的資料，卻允許客服大規模存取，這完全不能接受。”

此事件堪為 Web3 身份資料集中的風險案例，也給監管機關、開發者與投資者敲響警鐘。

後續可能發展？

Coinbase 資安事件後續影響可望發酵於多層面：

• 法律訴訟：依國別法規和舉證情形，用戶可望集體訴訟。
• 監管：美歐機關有可能調查其 KYC 機制及資訊通報流程。
• 技術：機構客戶勢必重新檢視 ETF 託管等基礎架構之安全。
• 業界信心：大眾對中心化平台信任度料將下滑，自託管與去中心化身份工具聲勢增強。

隨加密市場逐步走向主流金融體系，資料治理、營運透明與通報標準亦將成為新常態。Coinbase 內鬼洩密提醒業界：DeFi 發展仍深受中心化信任鍊制約，而這種信任極為脆弱。