知名链上侦探 ZachXBT爆料指出，过去两个月内（去年12月至今年1月），Coinbase用户因社交工程诈骗损失超过6,500万美元，而这个数字很可能只是“冰山一角”，因为他统计的数据并未涵盖向Coinbase客服或警方报案的受害者。 

根据ZachXBT揭露，诈骗集团利用从私人资料库窃取的个资精心设局，先是让受害者误以为自己的Coinbase帐户遭到多次未经授权的登入尝试，随后又伪造了一封几可乱真、内含虚假案件编号的Coinbase官方信件，指示受害者将资金转移至特定的Coinbase钱包，以及在白名单中添加可疑地址，最终导致资产被盗走。

ZachXBT指出，这些诈骗手法已经高度产业化：

诈骗集团几乎1比1复制出冒充Coinbase官网的钓鱼网站，并透过假冒的Email信箱发送各种钓鱼信件，甚至在Telegram上贩售这类诈骗工具。

ZachXBT直接点名Coinbase安全机制漏洞百出，未能有效防堵诈骗，导致越来越多用户沦为肥羊，每月损失金额动辄数千万美元。

其他主流交易所并未出现这种专门为诈骗设计的工具，Coinbase必须尽速采取行动。

更令人震惊的是，ZachXBT揭露，这些诈骗集团使用的钱包地址长期未被Coinbase举报，即便资金窃取行为已持续数周，至今仍逍遥法外。他补充说：

一名Coinbase员工甚至在X上建议用户“不要使用VPN，以免被标记为可疑行为”，但这与诈骗集团的运作逻辑完全相反，因为只有诈骗集团才会主动封锁VPN使用者，避免目标受害者察觉异状。

ZachXBT直批Coinbase“根本没搞清楚问题所在”。

为了防止更多用户受害，ZachXBT呼吁Coinbase应立即强化防诈机制，并提出以下3点改善方案：

1.让KYC认证用户可选择是否输入电话号码，避免个资成为社交工程攻击的破口；

2.增设“新手帐号模式”，限制刚入场的用户进行提领，降低诈骗风险；

3.强化社群教育与风险提示，提高用户对各种诈骗手法的警觉心。

〈ZachXBT揭Coinbase资安防护缺失：用户2个月内遭窃6,500万美元〉这篇文章最早发布于《区块客》。