Tác giả gốc: Jaleel Jialiu , BlockBeats
Coinbase đã xử lý vụ rò rỉ dữ liệu người dùng gần đây rất thông minh. Đúng như mong đợi khi đây là cổ phiếu tiền điện tử đầu tiên và là công ty đầu tiên và duy nhất gia nhập SP 500.
Vì lịch sự, tác giả đã bày tỏ sự tôn trọng cơ bản đối với Coinbase. Tiếp theo, đã đến lúc phải đưa công ty này vào danh sách đáng xấu hổ.
Vào ngày 8 tháng 5, thám tử tiền điện tử ZachXBT đã đăng một thông điệp trên kênh cá nhân của mình, nêu rõ rằng 45 triệu đô la khác đã bị lừa đảo từ người dùng Coinbase thông qua kỹ thuật xã hội. Trong vài tháng qua, số tiền liên quan đến những vụ án tương tự mà ông theo dõi đã lên tới chín con số. Những kẻ lừa đảo thường gọi điện hoặc gửi email cho người dùng giả danh là bộ phận dịch vụ khách hàng của Coinbase, sau đó từng bước dụ người dùng nhấp vào các liên kết lừa đảo được ngụy trang thành trang web chính thức, rồi chuyển tiền vào ví của chúng.
Một số người cho rằng người dùng đã bị lừa bằng kỹ thuật xã hội. Điều này liên quan gì tới Coinbase? Nền tảng này không phải là cơ quan quản lý của chính phủ, làm sao có thể ngăn chặn người dùng nhấp vào email lừa đảo?
Đầu tiên, các sàn giao dịch lớn khác chưa từng gặp phải vấn đề lừa đảo tương tự ở quy mô lớn như vậy. Thứ hai, nhiều nạn nhân đã báo cáo rằng những kẻ lừa đảo không chỉ khai báo chính xác số dư tài khoản và thời gian giao dịch mà còn có thể đưa ra ảnh chụp chứng minh thư của họ. Mọi thứ có vẻ quá thực tế.
Tất cả đều cho thấy Coinbase đã rò rỉ dữ liệu.
Hãy cùng xem Coinbase đã nói gì. Tài liệu 8-K được đệ trình lên SEC vào ngày 14 tháng 5 cho thấy Coinbase đã phát hiện thông qua hệ thống bảo mật của mình vào tháng 1 năm 2025 rằng một số đại diện dịch vụ khách hàng ở nước ngoài đã truy cập vào thông tin nhận dạng đầy đủ của người dùng mà không có nhu cầu kinh doanh.
Xem xét báo cáo mà Coinbase gửi lên Văn phòng Tổng chưởng lý Maine vào ngày 20 tháng 5, vụ vi phạm dữ liệu đã xảy ra sớm hơn, vào ngày 26 tháng 12 năm 2024.
Báo cáo của Maine cho thấy vụ vi phạm xảy ra vào ngày 26 tháng 12 năm 2024 và lỗ hổng bảo mật được phát hiện vào ngày 11 tháng 5 năm 2025.
Tuy nhiên, sự việc không được công khai cho đến ngày 15 tháng 5, khi thông báo trên trang web chính thức cho thấy tội phạm đã nhắm mục tiêu vào nhân viên dịch vụ khách hàng ở nước ngoài của Coinbase và mua dữ liệu người dùng từ những người trong cuộc bằng tiền mặt. Dữ liệu này bao gồm tên, địa chỉ, số điện thoại, email, ảnh giấy tờ tùy thân do chính phủ cấp (như giấy phép lái xe, hộ chiếu), ảnh chụp nhanh số dư tài khoản và hồ sơ giao dịch.
Nói cách khác, dữ liệu đã bị đánh cắp từ đầu mùa đông, nhưng giờ khi mùa xuân đã qua, Coinbase buộc phải bắt đầu giải quyết vấn đề nhạy cảm này ngay tại thời điểm quan trọng khi được đưa vào SP 500 và đã đưa ra thông báo nêu rõ rằng họ đã nhận được email tống tiền từ một tin tặc yêu cầu chính thức tiết lộ sự cố.
Theo chính Coinbase, họ đã sa thải những nhân viên có liên quan và tăng cường giám sát an ninh sau khi phát hiện ra hành vi truy cập bất thường. Nhưng trong suốt năm tháng này, giao tiếp với người dùng duy nhất mà Coinbase thực hiện là một email mơ hồ và vô hại vào cuối tháng 3, nói rằng một nhân viên có thể đã vi phạm quy định khi xem hồ sơ tài khoản:
“Chúng tôi phát hiện dấu hiệu cho thấy một nhân viên của Coinbase có thể đã truy cập vào hồ sơ tài khoản của một số ít khách hàng của Coinbase, bao gồm cả tài khoản của bạn, theo cách không phù hợp với chính sách nội bộ.”
Nhà đồng sáng lập The Block Mike Dudas trước đây đã tiết lộ trên X rằng ông đã nhận được một email đáng lo ngại từ Coinbase
Ngoài ra, chúng tôi chưa bao giờ thấy bất kỳ thông tin chính thức nào được công bố hoặc điều tra thêm về vụ việc.
Sẽ còn nhiều điều thú vị hơn nữa sắp diễn ra.
Vào ngày 15 tháng 5, ngày vụ rò rỉ dữ liệu được chính thức công bố, một thỏa thuận người dùng Coinbase mới đã có hiệu lực.
Thỏa thuận này có thể được gọi là “lá chắn tự bảo vệ” của Coinbase. Bỏ qua nội dung dài dòng bắt mắt khác, có hai điều khoản chính (9.9 và 9.10): cấm mọi hình thức hành động tập thể (Miễn trừ hành động tập thể); và buộc tất cả người dùng phải đệ đơn kiện độc lập lên tòa án New York.
Tại sao lại là New York? Bởi vì Tiểu bang New York có một quy định cực kỳ có lợi cho doanh nghiệp: nếu hợp đồng nêu rõ mọi tranh chấp phải được giải quyết tại tòa án New York và số tiền liên quan vượt quá 1 triệu đô la, thì tòa án không thể từ chối thụ lý vụ kiện với lý do thay đổi đến địa điểm thuận tiện hơn. Đồng thời, Tòa án Quận phía Nam của New York là nơi tập trung các vụ án tài chính có nhiều kinh nghiệm xét xử. Vụ kiện giữa Coinbase và SEC cũng được đưa ra tại đây.
Ngoài ra, theo các báo cáo công khai, mặc dù Coinbase đã chuyển đổi thành công ty ưu tiên làm việc từ xa kể từ năm 2021, trước khi văn phòng mới được đề xuất tại San Francisco được thành lập vào năm nay, One Madison ở New York là không gian văn phòng lớn nhất của Coinbase tại Hoa Kỳ, với hợp đồng thuê có thời hạn 11 năm được ký kết và diện tích gấp đôi địa điểm cũ.
Trong bối cảnh này, ngay cả khi bạn là nạn nhân như hàng ngàn người dùng khác, bạn vẫn phải một mình đến New York và đệ đơn kiện bằng chi phí của mình.
Thỏa thuận được cập nhật vào ngày 11 tháng 4 và có hiệu lực vào ngày 15 tháng 5, gần như trùng khớp với thời điểm tiết lộ vụ rò rỉ dữ liệu. Một sự thay đổi hợp đồng được tính toán chính xác như vậy có thể được mô tả là chờ cho đến khi trời tối và mưa, đào cây dâu và chuẩn bị củi - tầm nhìn xa của Coinbase trong việc chuẩn bị cho ngày mưa có thể so sánh với Gia Cát Khổng Minh.
Điều này cũng làm dấy lên nghi ngờ từ nhà nghiên cứu bảo mật kỹ thuật Molly White , nhưng CEO của Coinbase Brian Armstrong đã trả lời rằng đây là một thuyết âm mưu. Nhưng khi Molly White hỏi thêm, Tại sao Coinbase phải mất hơn một tháng mới tiết lộ vụ vi phạm dữ liệu cho SEC? Khi một công ty đại chúng phát hiện ra sự cố an ninh mạng lớn, họ phải tiết lộ trong vòng bốn ngày làm việc. Brian Armstrong không còn trả lời cô nữa.
Cùng lúc đó, Bloomberg trích dẫn lời những người hiểu rõ vấn đề này cho biết trong năm tháng qua, tin tặc đã đạt được quyền truy cập theo yêu cầu vào thông tin người dùng bằng cách hối lộ đủ số lượng nhân viên dịch vụ khách hàng của Coinbase. Thậm chí vào thứ Tư, nhiều ngày trước khi thông báo được đưa ra, tin tặc vẫn truy cập dữ liệu. Nhưng tuyên bố này đã bị Giám đốc an ninh của Coinbase Philip Martin bác bỏ.
Tuyên bố hiện tại của Coinbase là: Chúng tôi phát hiện một số nhân viên đã truy cập dữ liệu không đúng cách và đã sa thải những nhân viên có liên quan, nhưng chúng tôi không biết rằng dữ liệu đã bị rò rỉ vào thời điểm đó. Mãi cho đến khi chúng tôi nhận được email đòi tiền chuộc từ tin tặc vào tháng 5, chúng tôi mới nhận ra mức độ nghiêm trọng của vấn đề.
Có bao nhiêu phần trong số này là lời tự bào chữa? Hãy cùng xem Coinbase đã làm ngơ bao nhiêu lời nhắc nhở, câu hỏi và cảnh báo từ cộng đồng và các nhà nghiên cứu bảo mật trong năm tháng kể từ khi họ sửa đổi giao thức và chặn quyền tham gia vụ kiện tập thể.
Mở diễn đàn Coinbase trên Reddit, một số lượng lớn người dùng đã báo cáo về việc bị đánh cắp tài khoản và gian lận kỹ thuật xã hội thường xuyên kể từ tháng 1 và người dùng nước ngoài đã phải chịu đựng: Tôi nghi ngờ rằng dịch vụ khách hàng là ma sáu tháng trước. Năm phiếu công việc đều được đóng vội vàng. Không ai liên lạc với tôi và không ai giải thích chuyện gì đã xảy ra, Tôi gần như tin vào điều đó vì số tiền tôi vừa rút gần bằng số tiền họ nhắn tin cho tôi, Họ có thể xác minh tên đầy đủ, số dư tài khoản và thiết bị đăng nhập cuối cùng của tôi. Mọi thứ đều quá tự nhiên và thực tế...
Trước nhiều lời nhắc nhở từ cộng đồng, Coinbase đã tuân thủ nghiêm ngặt lá thư của Three-Body World: Đừng trả lời, đừng trả lời, đừng trả lời.
Nếu bạn muốn bảo vệ điều đó bằng cách nói rằng Coinbase có thể không truy cập Reddit như người châu Á và không thể thấy được cộng đồng đang trải qua những gì, thì họ phải có thể thấy những lời nhắc nhở liên tục từ các KOL lớn và các nhà nghiên cứu bảo mật trên Twitter.
ZachXBT, thám tử quyền lực nhất trong thế giới tiền điện tử với 860.000 người theo dõi trên Twitter, đã chỉ ra vào đầu tháng 2 rằng hơn 65 triệu đô la đã bị đánh cắp do các cuộc tấn công kỹ thuật xã hội chỉ tính từ cuối năm ngoái đến đầu năm nay. Vào cuối tháng 3, ông lại tuyên bố rằng 46 triệu đô la nữa đã bị đánh cắp trong hai tuần qua. Ông đã nhiều lần chỉ ra rằng Coinbase không hề có hành động nào.
Ngoài ra còn có Taylor Monahan, người đứng đầu bộ phận an ninh tại MetaMask và là điều tra viên cấp cao trên chuỗi, người công khai chỉ trích Coinbase trên Twitter hầu như mỗi tuần và liên tục cố gắng giao nộp bằng chứng cho nhóm bảo mật và hỗ trợ của họ, trong khi Giám đốc điều tra cấp cao của Coinbase đã chặn cô ấy sớm nhất là vào cuối năm 2024.
Taylor Monahan cũng trực tiếp tiết lộ rằng Coinbase đã thuê ngoài một lượng lớn công việc dịch vụ khách hàng cho TaskUs, một nhà cung cấp dịch vụ bên thứ ba tại Ấn Độ. Ngay từ ngày 11 tháng 1 năm 2025, Coinbase đã sa thải hơn 300 nhân viên dịch vụ khách hàng người Ấn Độ trên diện rộng, với lý do là trộm cắp và hoạt động bất hợp pháp. Văn phòng sau đó được chuyển đến Gurgaon, nhưng tình trạng rò rỉ dữ liệu nội bộ vẫn thường xuyên xảy ra, nên một làn sóng sa thải mới đã xảy ra vào tháng 3 và tháng 4.
Liên quan đến tuyên bố của Coinbase rằng chúng tôi không biết cho đến ngày 11 tháng 5, cô ấy đã mỉa mai một cách không thương tiếc: Đây sẽ là một chương trình rất thú vị - hãy xem họ giả vờ như không biết gì cho đến khi nhận được email đòi tiền chuộc, Cái cớ có khả năng xảy ra nhất là: Đây không phải là vụ rò rỉ lớn và không cần phải tiết lộ.
Thật trớ trêu khi trong khi các giám đốc điều hành của Coinbase phủ nhận, trốn tránh trách nhiệm và tỏ ra lạnh nhạt, một số người dùng Reddit và nạn nhân lại bắt đầu tự phát tổ chức thành Jinyiwei và tìm thấy một số manh mối về những kẻ lừa đảo.
Một người dùng có tên Scammer-fight-back và toàn bộ nhóm của anh đã đối đầu với những kẻ lừa đảo. Họ đã gọi điện cho những kẻ lừa đảo nhiều lần, ghi âm cuộc gọi và lưu lại thông tin. Cuối cùng họ đã lần ra những kẻ lừa đảo: hầu hết đều đến từ Manchester, Anh và làm việc trong cùng một văn phòng nhỏ. Họ sử dụng giọng địa phương để mạo danh bộ phận chăm sóc khách hàng của Coinbase, thu thập thông tin trong khi hoàn tất quy trình lừa đảo.
Một cư dân mạng khác, dyfedavalon, chia sẻ cùng quan điểm: Đây là một băng nhóm lừa đảo lớn đến từ Anh, có quy mô và phạm vi lớn, và năng lực mạnh mẽ, Tôi đã gọi lại để tìm những kẻ lừa đảo đó, và hóa ra là cùng một nhóm người. Họ thực sự giỏi trong việc kinh doanh này, Tôi đã nói chuyện với họ nhiều lần và họ nghĩ tôi là nạn nhân, nhưng tôi là người Anh, vì vậy tôi có thể nghe và trêu chọc giọng Anh của họ. Sau đó, họ trực tiếp yêu cầu tôi ngừng gọi điện và quấy rối họ.
Ngoài ra, thông tin điều tra của Taylor Monahan, giám đốc an ninh của MetaMask được đề cập ở trên, cho thấy các nhân viên nội bộ của TaskUs, một nhà cung cấp dịch vụ bên thứ ba của Ấn Độ được Coinbase thuê ngoài, đã liên lạc với tin tặc trên Telegram. Mỗi giao dịch bán địa chỉ email, số điện thoại di động và thông tin 2FA của người dùng sẽ bị tính phí khoảng 10.000 đô la Mỹ và số tiền này sẽ được gửi trực tiếp vào tên cá nhân đó thông qua PayPal hoặc tài khoản ngân hàng.
Nguồn hình ảnh: Taylor Monahan
Tại sao lại có người sẵn sàng chấp nhận rủi ro lớn như vậy để tiết lộ thông tin? Taylor chia sẻ thêm thông tin bị rò rỉ từ những nô lệ Ấn Độ này, chỉ thẳng vào điều kiện làm việc thực tế của TaskU: họ không được phép sử dụng nhà vệ sinh, phải tranh giành giờ ăn và sẽ bị quản lý đối xử lạnh nhạt nếu không giao đủ hàng; áp lực cao một cách vô lý, và việc nghỉ ốm sẽ được ghi nhận là vắng mặt và tiền lương của họ sẽ bị khấu trừ trực tiếp; họ sẽ bị đuổi việc ngay tại chỗ nếu không theo kịp tiến độ đào tạo.
Đây là quyết định tồi tệ nhất mà tôi từng đưa ra trong sự nghiệp của mình. Bộ phận nhân sự không hề đứng về phía bạn, và không ai quan tâm ngay cả khi bạn khóc lóc và phàn nàn. Cuối cùng, tôi thậm chí còn không thể nhận được chứng chỉ kinh nghiệm vì họ yêu cầu tôi bồi thường chi phí đào tạo, một nhân viên viết.
Khiếu nại từ các cựu nhân viên của công ty gia công Coinbase TaskUs, nguồn: Taylor Monahan
Theo dữ liệu từ nhiều nền tảng như Glassdoor và Indeed: Nhân viên dịch vụ khách hàng địa phương của Coinbase kiếm được 60.000 đến 70.000 đô la mỗi năm, trong khi dịch vụ khách hàng thuê ngoài tại Ấn Độ chỉ kiếm được 3.600 đến 4.800 đô la mỗi năm. Có nghĩa là, mức lương của một nhân viên dịch vụ khách hàng người Mỹ có thể thuê được ít nhất 15 nhân viên dịch vụ khách hàng thuê ngoài người Ấn Độ.
Dựa trên 300 vị trí được thuê ngoài, Coinbase có thể tiết kiệm được 18 triệu đô la mỗi năm tại đây. Điều này không bao gồm các khoản tiết kiệm chi phí ẩn như không gian văn phòng, an sinh xã hội, tiền làm thêm giờ và hỗ trợ kỹ thuật.
Điều đáng nói là theo cuộc điều tra của các phóng viên Bloomberg, Coinbase đã chi 6,2 triệu đô la cho chi phí an ninh cá nhân của CEO Brian Armstrong trong một năm. Giám đốc pháp lý của Coinbase, Paul Grewal, người giám sát phản ứng trước vụ hack 400 triệu đô la và cuộc điều tra dữ liệu người dùng của SEC, đã nhận được tổng mức bồi thường hơn 8,2 triệu đô la vào năm ngoái.
Chỉ riêng chi phí bảo mật hàng năm của CEO và lương của giám đốc pháp lý có thể cao hơn chi phí bảo mật của toàn bộ người dùng nền tảng Coinbase.
Có rất nhiều người dùng nổi tiếng trong số những người dùng bị ảnh hưởng bởi sự cố này. Theo Bloomberg, những người hiểu rõ vấn đề này tiết lộ rằng Giám đốc điều hành của Sequoia Capital, Roelof Botha, là một trong những nạn nhân và dữ liệu bị đánh cắp bao gồm số điện thoại, địa chỉ và các thông tin tài khoản nhạy cảm khác liên quan đến hồ sơ Coinbase của ông.
Ngoài ra còn có Ed Suman, 67 tuổi, một nghệ sĩ nổi tiếng đã làm việc trong giới nghệ thuật gần hai thập kỷ và đã tham gia sản xuất các tác phẩm nghệ thuật như tác phẩm điêu khắc Balloon Dog của Jeff Koons. Anh ta đã rơi vào một vụ lừa đảo dịch vụ khách hàng giả mạo của Coinbase vào đầu năm nay và mất hơn 2 triệu đô la tiền điện tử.
Coinbase cũng đã nhận được nhiều vụ kiện từ người dùng cáo buộc công ty xử lý sai dữ liệu cá nhân của họ. Ngoài ra, hoạt động của Coinbase cũng thu hút sự chú ý của các cơ quan quản lý. Ví dụ, Văn phòng Tổng chưởng lý Oregon đã đệ đơn kiện Coinbase, cáo buộc công ty này vi phạm luật chứng khoán của tiểu bang và thách thức tính hợp pháp của các điều khoản trọng tài và miễn trừ hành động tập thể trong thỏa thuận người dùng.
Theo dữ liệu của Elliptic, chi phí bồi thường và xử lý sự cố này lên tới 400 triệu đô la Mỹ, xếp hạng đây là sự cố bảo mật lớn thứ tám trong lịch sử mã hóa. Cuộc tấn công này không liên quan đến các cảnh quay kịch tính như hack ví nóng hay các phức tạp về mặt kỹ thuật như lỗ hổng hợp đồng. Thay vào đó, nó xảy ra ở liên kết cơ bản nhất, hàng ngày nhất và bị bỏ qua: dữ liệu KYC.
Nhưng thực tế là Coinbase khó có thể bị phạt quá nặng.
Có vẻ như chưa có tiền lệ nào trong luật pháp Hoa Kỳ về việc áp dụng hình phạt nghiêm khắc đối với hành vi vi phạm dữ liệu vô tình. Vụ kiện nổi tiếng nhất liên quan đến lạm dụng dữ liệu là Facebook, vì họ đã vi phạm cam kết đã ký rằng dữ liệu người dùng sẽ không được chia sẻ với bên thứ ba mà không có sự đồng ý của người dùng, nhưng điều này hơi khác so với tình huống mà Coinbase phải đối mặt.
Sự cố của Coinbase gần giống với dữ liệu bị người trong cuộc rò rỉ cho tin tặc bên ngoài, tức là lạm dụng quyền truy cập dữ liệu và quản lý thuê ngoài không đúng cách. Không nên coi đây là hành vi gian lận quyền riêng tư có hệ thống và mức độ thiệt hại là hạn chế. Coinbase cũng tuyên bố sẽ bồi thường.
Quan trọng hơn, Coinbase là một công ty có giá trị thị trường hơn 60 tỷ đô la. Đây cũng là nền tảng giao dịch duy nhất trong ngành tiền điện tử được đưa vào chỉ số SP 500. Nước này có mối quan hệ chính sách chặt chẽ và nguồn vốn dồi dào.
Trong cuộc bầu cử ở Hoa Kỳ này, Coinbase và các giám đốc điều hành đã quyên góp hàng chục triệu đô la cho các ứng cử viên Đảng Cộng hòa và được cho là đóng vai trò quan trọng trong việc vận động hành lang cho nhiều đạo luật. Quyết định rút đơn kiện của SEC đối với Coinbase từng được cho là có liên quan đến các khoản quyên góp chính trị của Coinbase.
Mọi thứ đều cho thấy Coinbase có khả năng vượt qua cơn bão này. Trong tương lai, Coinbase sẽ tiếp tục hoạt động tốt và thậm chí có thể tốt hơn nữa.
