自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
30.00% 70.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

Coinbase安全漏洞揭示:加密货币的最大弱点并非代码,而是人

2025-05-23 07:34:23
收藏

Coinbase数据泄露事件:加密货币安全的最薄弱环节并非代码,而是人

最新的加密货币数据泄露事件揭示了一个简单的事实:黑客不仅针对软件,更针对人。在此背景下,Coinbase 2025年5月的泄露事件发出了严厉警告。这起“Coinbase安全事件”发生在该交易所准备加入标普500指数之际,但其根源并非代码漏洞,而是贿赂和社会工程学攻击。尽管受影响的用户不到1%,但后果却十分严重:Coinbase预计将花费1.8亿至4亿美元用于补救和赔偿。简而言之,即使技术再强大,也可能因人为错误和狡猾的骗局而功亏一篑。

2025年Coinbase数据泄露事件

此次泄露事件始于2024年底。根据一份监管文件,犯罪黑客贿赂了Coinbase的海外客户支持承包商,以窃取客户信息,时间大约在2024年12月26日。这一欺诈行为直到2025年5月11日才被发现,当时Coinbase的安全团队发现了可疑活动——同一天,攻击者发送了一封2000万美元的勒索邮件。Coinbase拒绝了这一要求,并于5月15日披露了该事件。

总计约有69,461个客户账户受到影响。被盗数据是个人信息,而非技术信息。攻击者获取了这些客户的姓名、邮政地址、电话号码和电子邮件,以及部分标识信息:社会安全号码的最后四位数字、部分银行账户信息、驾照或护照图像,以及账户余额和交易历史的截图。关键的是,没有登录密码、双因素验证码或私钥被泄露——窃贼无法直接访问资金或加密货币钱包。

Coinbase坚称,没有客户资金或密码数据被触及。被盗信息主要用于社会工程学攻击——冒充Coinbase以诱骗用户将加密货币发送给诈骗者。

社会工程学攻击:短信钓鱼、语音钓鱼和贿赂

这次攻击是典型的加密货币社会工程学攻击。犯罪分子没有入侵服务器,而是利用了信任。他们通过现金贿赂瞄准了Coinbase支持团队中的“少数害群之马”。这些内部人员可以访问客户数据,并被付费复制这些数据。有了这些数据,犯罪分子计划冒充Coinbase支持人员联系受害者。

短信钓鱼(通过短信进行钓鱼)和语音钓鱼(通过电话进行钓鱼)等社会工程学策略在加密货币领域日益增多。例如,安全公司KnowBe4描述了一起Coinbase事件,其中一名员工首先收到一条恶意短信,要求他们登录工作账户;片刻之后,一名冒充IT支持的来电者敦促该员工授予对其工作站的访问权限。该员工产生了怀疑并报告了这一尝试,从而防止了更深的泄露。Coinbase在攻击后指出:“没有资金被取走,也没有客户信息被访问……但我们员工的一些有限联系信息被获取。”

内部帮助和诈骗策略

在Coinbase 5月的泄露事件中,内部帮助和诈骗策略的结合绕过了公司的技术壁垒。黑客不需要破解密码或双因素验证码。他们只是利用了人们对人工代理的信任来提取数据。正如Coinbase首席执行官Brian Armstrong所说,攻击者只是“找到了几个害群之马”,并通过社会工程学手段获取了私人数据。

后果迅速显现。随着泄露事件登上头条,Coinbase的股价下跌,但更重要的是,该公司立即采取行动保护客户。根据数据法律,Coinbase开始向受影响的客户邮寄泄露通知信,并为他们提供一年的信用监控和身份盗窃保险。

在财务方面,Coinbase警告称,该事件将代价高昂——总计约1.8亿至4亿美元。这包括取证成本、客户因社会工程学损失而获得的赔偿以及监管罚款。攻击者2000万美元的勒索要求被拒绝。相反,Coinbase创建了一个2000万美元的奖励基金,用于提供线索以抓捕黑客。该公司还解雇了涉事的支持代理,并表示将提起诉讼。

为防止未来事件,Coinbase加强了安全措施。受影响的账户被标记为需要额外检查和诈骗警报提示。5月15日,Coinbase宣布将赔偿任何被诱骗向攻击者发送加密货币的客户。该公司正在开设一个新的美国支持中心,并在海外办事处实施更强的访问控制。交易所还投资于更好的内部威胁监控和更多的员工培训,以提高识别诈骗的能力。

加密货币的人为因素:经验教训

Coinbase安全事件突显了一个更广泛的观点:人为错误仍然是加密货币最薄弱的环节。技术防御可以是最先进的,但一个被攻破的员工就可能将王国的钥匙交给攻击者。

行业调查支持这一点。一项IBM/Ponemon研究发现,近一半的泄露事件涉及人为错误或内部行为。正如KnowBe4直言不讳地指出,“任何人都可能成为社会工程学攻击的受害者”——包括加密货币专业人士。

对于加密货币投资者来说,教训是保持警惕。始终对未经请求的电话、短信或电子邮件持怀疑态度,即使它们引用了您的账户。通过官方渠道验证任何Coinbase通信。使用硬件钱包和个人安全最佳实践来保护您的密钥(Coinbase确认此处没有私钥被窃取,但最好自己持有)。

总之,Coinbase泄露事件是一个案例研究,说明了为什么加密货币黑客往往依赖于人为错误,而非有缺陷的代码。数千名受影响者学到了一个代价高昂的教训:在数字资产世界中,社会工程学是新的军备竞赛。更强的用户培训和稳健的验证必须伴随任何技术保障。正如Coinbase自己所承认的,这一事件表明信任是多么容易被武器化。

交易所的回应——快速检测、客户支持和额外的安全措施——是一个开始。但整个行业必须面对这样一个现实:在加密货币安全链中,最薄弱的环节往往是人,而不是软件。

免责声明:

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证,网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用,不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责,与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容,并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文
更多新闻