美國加密貨幣交易平台 Coinbase 近日爆出重大數據外洩事故，黑客透過賄賂海外客服，非法獲取約 100 萬名用戶的個人資訊，並向 Coinbase 勒索 2000 萬美元。

事件始於 5 月 11 日，黑客透過賄賂 Coinbase 海外支援人員，非法取得用戶的姓名、地址、電話、電郵、部分銀行帳戶資訊、護照影印本、帳戶餘額快照，及交易紀錄等敏感數據。黑客得手後，曾向 Coinbase 勒索 2000 萬美元，威脅公開這些敏感資訊。然而 Coinbase 明確拒絕支付贖金，但並非坐以待斃，而是設立等同贖金的 2000 萬美元懸賞基金，鼓勵提供線索以逮捕犯罪分子。

Coinbase 指出，黑客並未取得用戶密碼、私鑰或資金，Coinbase Prime 帳戶及錢包資產亦未受影響。然而，受影響的客戶仍須提高警覺，以防個人資料被用於詐騙或其他非法用途。至於受影響的客戶若因詐騙被騙轉帳，將獲得賠償。

股價受挫逾7% 估計損失1.8至4億美元

事件曝光後，Coinbase 股價於 5 月 15 日下跌逾 7%，報 243.44 美元。據悉 Coinbase 預計今次事件的損失，包括補償受害用戶及相關整改成本，約為 1.8 億至 4 億美元。目前，Coinbase 正與美國及國際執法機構密切合作，追查犯罪分子並加強內部安全措施。

一體化驗證平台 Sumsub 業務增長總監 Ilya Brovin 表示：「Coinbase 的資料外洩事件為業界敲響警鐘，當中問題不僅在於資料被盜，更令人關注的是事件源於內部人員未經授權的行為。在現今的網絡安全環境中，存取權限已成為一種具價值的資源。當外判商或內部員工成為安全缺口，身分驗證的基建設施便變得與企業的核心系統同樣重要。」

持續身分驗證落實「零信任」

Brovin 認為，企業需要擺脫「認識你的客戶」（KYC）只是一次性措施的傳統思維，轉而在員工整個工作周期的每個環節，實施靈活而持續的身分驗證。他更建議，所謂「零信任」（Zero Trust）模式不應只存在於理念層面，企業必須防止任何對敏感資料未經授權的存取，從源頭減低風險。

加密貨幣行業近年來頻繁遭受黑客攻擊，據 Chainalysis 報告顯示，2024 年全球加密平台因黑客攻擊損失達 22 億美元，而 2025 年前 4 個月已達 17.4 億美元。這次的 Coinbase 事件，暴露了加密貨幣交易平台的內部安全漏洞。雖然 Coinbase 拒絕支付贖金，並設立懸賞基金追查黑客，但市場對其安全性仍存疑慮。

隨著加密貨幣市場持續擴展，交易所須加強內部監控、客戶資料保護及防詐騙機制，以確保用戶資產安全，避免類似事故再次發生。