币圈聚合(268btc.cc):链上侦探ZachXBT揭露,Coinbase用户们在短短两个月内因诈骗损失金额高达6,500万美元,批评Coinbase未能采取足够措施保护用户,甚至可能加剧诈骗风险,建议Coinbase采取更强硬的安全措施,并对诈骗分子提起法律行动。
Coinbase用户年度损失或达3亿美元
根据ZachXBT与另一名调查员Tanuki42的调查,他们共同审查了Coinbase的提款记录,并透过社群平台的私讯与区块链数据追踪,收集社群回报的诈骗案件,结果显示在短短两个月内,Coinbase用户们已经损失了6,500万美元。
他坦言,具体金额难以估计,每年损失总额更可能高达3亿美元:这个数字可能只是冰山一角,因为我们无法获得Coinbase官方客服记录或警方报告中的相关数据。
剖析诈骗手法:假冒Coinbase官方行骗
ZachXBT发现,大部分案件主要都是透过假冒Coinbase客服行骗,手法如下:
-
伪造官方来电与个资窃取:诈骗者使用技术伪造Coinbase官方电话号码致电受害者,并透过非法管道获取受害者的个人信息,使对话更具可信度。
-
谎称帐户异常以制造恐慌:诈骗者声称侦测到多次未经授权的登入尝试,需要受害者立即验证帐户安全性。
-
伪造Coinbase官方邮件:受害者随后会收到假冒Coinbase官方格式的电子邮件,内含虚假「案件编号」。
-
诱导受害者转移资产:诈骗者要求受害者将资金转移至「Coinbase安全钱包」,并将一个恶意地址授权为白名单,以确保帐户安全。
他指出,诈骗集团甚至能够完美复制Coinbase网站界面,透过后台系统发送假消息与指令给受害者,让受害者难以察觉异常:这些诈骗网站架设工具甚至遍布Telegram的黑市中,被以低价出售,从而助长了诈骗行为。
Coinbase反应慢半拍、甚至隐匿资安漏洞?
另外,ZachXBT也批评Coinbase未能有效应对诈骗问题,甚至在多起安全事件中徒增风险:
-
梯子政策反而帮助诈骗集团:Coinbase曾呼吁用户「避免使用梯子」,以免被系统标记为可疑帐户,然而诈骗者反而借此封锁梯子连线至钓鱼网站,让受害者无法察觉异常。
-
内部安全漏洞、Coinbase未主动公开:Coinbase曾发生旧版API金钥遭黑客入侵窃取事件,但官方从未公开承认;部分帐户甚至存在能将验证码发送至未绑定电子邮件的漏洞,提高诈骗风险。
ZachXBT爆料Coinbase过往内部安全事件
-
Coinbase未及时标记诈骗地址:Coinbase未能即时将诈骗钱包地址列入黑名单,导致同一批诈骗集团能够持续运作数周。
-
客服人力匮乏、用户求助无门:受害者反映Coinbase客服人力及能力都不足,回报后的案件后续也无人跟进或通知。而24小时在线的宣称也沦为口号,在美国办公时间外,用户几乎无法与其取得联系。
Zach提出5大改善建议
针对Coinbase当前的安全问题,ZachXBT提出以下建议:
-
让用户得以透过验证器而非手机号码验证:由于电话号码一直是黑客的攻击目标,应让用户改用「身份验证器(Authenticator)」或「安全金钥(SecurityKey)」作为验证身份手段,其次才是电话号码。
-
为新手等高风险用户设立保护机制:设立新手或年长者帐户模式,必要时限制其提款功能,以降低诈骗风险。
-
强化社群教育及风险警示:定期发布诈骗报告及案例并加强风控机制,让用户能够识别潜在风险。
-
起诉美国本土诈骗集团:对于国内诈骗者采取法律行动,以震慑犯罪分子。
-
对诈骗工具提供商提起诉讼:对TLOxp及Trans Union提起法律诉讼,这些资料被诈骗者用来搜集个资进行社交工程攻击。
ZachXBT:Coinbase需采取行动、树立榜样
最后,ZachXBT也向Coinbase呼吁,该平台用户每个月都在承受数千万美元的诈骗损失,然而该交易所目前并没有采取实质行动:虽然受害者需要对自己的资产负责,但期待老年用户能够完全理解电子邮件与电话诈骗的细节是不合理的。作为一家拥有数千万用户的大型交易所,Coinbase有责任采取更严格的安全措施,而不是继续忽视问题。
他强调,Coinbase的市场地位与资源,完全有能力改变现状并成为业界标竿。然而,面对多起指控与建议,Coinbase至今仍未作出具体回应。
主题测试文章,只做测试使用。发布者:admin,转转请注明出处:http://www.268btc.cc/9610.html
