才入标普500就出事？Coinbase爆内鬼泄密、SEC质疑用户数据

加密货币界的领头羊Coinbase，正从刚攀上的高峰跌入一连串麻烦之中。近期不仅惊爆一起预计损失高达4亿美元的骇客事件，更传出正遭到SEC的调查。

发生什么事？

Coinbase遭遇骇客攻击，自今年一月起持续泄露客户敏感数据。这些被窃取的个人资讯包括姓名、地址、身份证号码和银行资料等，可能被用于进一步的诈骗行为。

美国证券交易委员会（SEC）正在调查Coinbase过去在用户数量报告上是否存在夸大问题，特别是其曾声称的「已验证用户」数量。 Coinbase虽解释这是前任政府未完的调查，且已停止报告该指标并改用「每月交易用户数」，但仍需配合监管机构的调查。

这些事件发生在Coinbase刚被纳入标普500指数，这两大危机共同冲击了Coinbase作为美国加密货币产业领导者的声誉，也凸显了整个加密货币领域在安全和监管上面临的严峻挑战。

骇客入侵：来自内部的「社会工程」攻势

就在Coinbase刚被纳入标普500指数，象征其数位资产主流化达到巅峰之际，加密货币领域的领头羊Coinbase近日面临双重挑战：一场预计损失高达4亿美元的骇客事件，以及美国证券交易委员会（SEC）对其过往用户数据报告的调查。这些消息导致Coinbase的股价下挫逾7%，对这家在美国加密货币产业中极具影响力，并致力于推动数位资产主流化的公司而言，无疑是个沉重打击。

这起骇客事件的独特之处在于其手法。不同于常见的技术漏洞，骇客是透过「社会工程」 （Social Engineering）手法，贿赂了Coinbase位于印度的客服代表，从今年一月起持续获取客户的敏感资讯。

「社会工程」 (Social Engineering) 是一种利用人类心理弱点，而非技术漏洞来进行的攻击手段。简单来说，它是一种欺骗和操纵的艺术，骇客或攻击者透过伪装、诱骗、恐吓或施加压力等非技术性手段，来操纵受害者，使其自愿地泄露敏感资讯（例如密码、银行帐户资料），或者执行某些不利于自身安全的操作（例如点击恶意连结、下载病毒程式、转帐等）。

尽管Coinbase资安长菲利普．马丁（Philip Martin）表示，公司在发现异常后已即刻终止了相关代理的权限并将其解雇，强调骇客并没有持续性存取数据，但根据外媒报导，有知情人士指出，骇客直到周三仍能接触到这些资料。

骇客取得的数据范围相当广泛，包括客户的姓名、出生日期、地址、国籍、政府核发的身份证件号码、部分银行资讯，以及开户时间和帐户余额等。这些高度敏感的个人资料，可能被不法份子用于冒充Coinbase或受害者本人，进而尝试取得其他金融帐户的控制权。骇客甚至胆大包天地向Coinbase勒索2000万美元，要求删除这些窃取的数据。

面对勒索，Coinbase选择不支付，反而祭出了2000万美元的悬赏金，鼓励任何能协助逮捕和定罪这些攻击者的资讯。公司也强调，受影响的用户数不到其每月交易用户的1%，并承诺将全额赔偿因此次事件蒙受损失的用户。

然而，对于拥有高额资产的交易者而言，此次事件不仅是潜在的财务损失，更因近期加密货币圈发生的绑架等恶性事件，引发了对人身安全的深切担忧。

SEC调查：用户数据报告的透明度之战

除了骇客事件，Coinbase也证实美国证券交易委员会（SEC）正在调查其过去是否在用户数据报告上存在夸大问题。

据《CNBC》报导，其实早在拜登政府时期就已经有在着手调查，主要聚焦于Coinbase过去在其证券备案文件和行销资料中，官方所声称的「已验证用户」数量，而这数字曾一度超过1亿。

对此，Coinbase法务长保罗．格鲁瓦尔（Paul Grewal）解释，这项调查是「前政府对他们两年半前就已停止报告的一项指标的延期调查」。

他强调，公司曾公开解释「已验证用户」包括任何通过电子邮件或电话号码验证的用户，因此可能夸大了实际的独立客户数量。格鲁瓦尔表示，公司此后已改为报告「每月交易用户数」（MTUs），这是一个更具相关性的指标，并持续报告至今。

尽管如此，Coinbase仍承诺将继续与SEC合作，以期解决此事。