Coinbase 多事之秋：用戶個資外洩恐賠 4 億美元善後、SEC 調查是否誇大用戶數

Coinbase 客服遭收買洩漏用戶個資，初估賠償近 4 億美元

Cyber criminals bribed and recruited rogue overseas support agents to pull personal data on <1% of Coinbase MTUs. No passwords, private keys, or funds were exposed. Prime accounts are untouched. We will reimburse impacted customers. More here: https://t.co/SidVn59JCV

— Coinbase 🛡️ May 15, 2025

該公司至今仍未明確指出事件的發生時間與受害人數，僅在聲明中寫道：「此次資料外洩影響 Coinbase 每月活躍交易用戶的約 1%。」

對此，外界普遍估計該事件或衍生 1.8 億至 4 億美元的支出，主要用於用戶賠償及系統修復作業：

該金額仍不包含可能的訴訟、保險理賠或潛在追回資產的結果，實際成本仍有變動空間。

拒付千萬美元贖金，Coinbase 同額懸賞追緝駭客

Coinbase 聲明指出，駭客在掌握資料後，曾試圖以用戶個資爲交換條件，向 Coinbase 勒索價值 2,000 萬美元的比特幣。Coinbase 不僅拒絕支付，反而主動開出相同金額的懸賞，向全球懸賞揪出幕後黑手，也成了加密產業史上最高金額的追緝賞金紀錄。

https://t.co/evpIBMFvRW pic.twitter.com/f6UPdkL5R0

— Brian Armstrong May 15, 2025

Coinbase 執行長 Brian Armstrong 也錄製影片強調：「公司已報案並與執法機關合作，同時將啟動針對受害用戶的補償機制。」

遭外洩資料並未包含用戶的密碼、私鑰或 Coinbase Prime 的帳戶資訊，資金也未受損。

Coinbase 強化內控，將客服移出高風險地區

針對嚴重資安疑慮，Coinbase 資安長 Philip Martin 表示，涉案客服全數位於印度，並已在事發後隨即遭到解雇；並強調未來將更專注於用戶資料保護，並提升員工訓練與審查機制：

我們將全面檢討內部資料控管與客戶服務流程，並考慮設置海外客服中心，以避免類似事件重演。

他補充，「未來將針對客服接觸的權限範圍進行限制，並引入更多監控措施以防止濫用。」

ZachXBT 早警告：社交詐騙橫行，Coinbase 危機意識薄弱

早在今年 2 月，鏈上偵探 ZachXBT 就曾對此發出警告，近期 Coinbase 用戶在短短兩個月內，就因社交工程詐騙損失超過 6,500 萬美元，整年損失可能高達 3 億美元，批評 Coinbase 未能採取足夠措施保護用戶：

這些攻擊者多偽裝成官方的來電、電郵及網站，要求用戶驗證帳戶安全，以誘導被害者轉移資產至謊稱是「Coinbase 安全錢包」的詐騙地址。

此事一出，加密社群也紛紛反應有收到來自冒充 Coinbase 官方的詐騙聯絡。

SEC 重啟調查，質疑 Coinbase 為了上市誇大用戶數

除了資安危機，Coinbase 近日更遭 SEC 針對其 2021 年上市期間是否誇大用戶數展開調查。紐約時報報導，SEC 正檢視當時 Coinbase 在註冊文件中聲稱擁有超過 1 億名「已驗證用戶」的說法，該數據後來在 2023 年被停止披露。

Coinbase 法務長 Paul Grewal 認為，「這起調查是『前朝政府時代的延續』，不應再繼續下去。」

所謂「已驗證用戶」包含所有註冊帳戶、非託管錢包用戶與合作夥伴，但該統計方式已不再反映實際活躍用戶狀況，因此改為揭露「每月活躍交易用戶」數據。

風暴未止，Coinbase 面臨信任與監管雙重考驗

Coinbase 對此次資安事件的揭露與反應，獲得社群與媒體兩極評價。一方面，用戶與業界人士肯定其拒絕妥協與主動通報的舉措；另一方面，也有不少聲音批評 Coinbase 未即時向用戶說明資料外洩風險。

Wintermute 執行長 Evgeny Gaevoy 就對此在 X 上表示：

Coinbase 沒能更早揭露這起事件，是我們當前這種荒謬的 KYC/AML 體制下的黑暗面。

這起資安事件與數據調查案件不僅重創 Coinbase 的聲譽，也再次暴露出加密產業在「中心化客服」與「用戶資料保護」之間的結構性問題。

面對 SEC 的監管壓力與用戶信任危機，Coinbase 能否透過懸賞追緝與補償機制挽回信任，將是其能否維持市場領導地位的關鍵考驗。