知名加密侦探Zachxbt近期对Coinbase平台上频繁发生的诈骗案件进行了深入调查,并指出该交易所未能有效保护用户免受社会工程骗局的侵害。
在Zachxbt的电报频道和X社交媒体账户上发布的更新中,他分享了关于交易所客户遭受诈骗的详细调查结果,并提出了如何加强用户保护的建议。
Coinbase用户成欺诈目标
根据Zachxbt的研究,尽管难以准确统计每年因社会工程骗局而损失的资金总额,但他估计这一数字可能高达3亿美元。
Zachxbt与另一位名为@tanuki42_的侦探合作,审查了Coinbase的提款记录,并从多个区块链上的盗窃案例中收集数据。他们制作了一张表格,显示在2024年12月至2025年1月期间,Coinbase用户被盗资金总额达到6500万美元。
Zachxbt补充道:“由于我们的数据仅限于我的私信和已知的盗窃案例,因此并未涵盖所有Coinbase支持票和未公开的警方报告。”
Coinbase社会工程骗局的运作方式
一名上个月损失85万美元的受害者联系了Zachxbt,这促使他进一步调查了另外25名受害者的案件,并发现了一个名为“Coinbase-Hold.eth”的地址。
据称,骗子通过伪造电话号码联系受害者,并利用从私人渠道获取的个人信息赢得信任。
随后,他们会通知受害者其账户存在多次未经授权的登录尝试,并发送一封伪造的电子邮件,看起来像是来自Coinbase,附带虚假的案件ID以增加可信度。
接下来,骗子会指示受害者将资金转移到Coinbase Wallet,并声称这是为了验证账户的安全性。然而,这些资金最终会被转移到骗子控制的地址。
Zachxbt指出,这些骗子几乎完美地模仿了Coinbase的官方网站,甚至可以通过购买工具轻松复制欺骗流程,使用户反复陷入相同的骗局。
Zachxbt认为Coinbase是问题的一部分
Zachxbt批评Coinbase未能诊断并解决实际问题。例如,2024年12月的一篇帖子中,Coinbase员工建议用户停止使用VPN,以免被标记为可疑行为。然而,这一建议反而助长了威胁行为者。
他还提到Coinbase对一些安全事件保持沉默,例如旧API密钥被滥用导致用户账户被盗,以及允许用户将验证代码发送到未关联账户的电子邮件地址。
去年,威胁行为者通过Coinbase在数小时内洗钱3800万美元的BTCTURK黑客攻击收益,另有1590万美元通过Coinbase Commerce被盗。
Zachxbt希望Coinbase做得更好
Zachxbt表示,Coinbase通常不会及时报告与流行合规工具相关的盗窃地址,即使这些盗窃持续了数周。
此外,受影响的用户抱怨Coinbase的客户支持效率低下,尤其是在非美国工作时间联系团队时更加困难。
Zachxbt建议Coinbase采取更积极的措施,例如为高级用户提供电话号码和身份验证器应用支持,并为初学者或老年用户设置限制提款的账户类型。
他还呼吁Coinbase加强对用户的教育宣传,帮助他们在威胁失控之前识别潜在风险。
最后,Zachxbt建议Coinbase代表用户对TLOXP/Transunion等工具提供商提起法律诉讼,并针对美国境内的威胁行为者采取行动,以树立榜样。
密码大都会学院:您是否在犯这些Web3简历错误? - 在这里找出答案
