"Bóng ma bên trong" và Coinbase "điếc và câm" trong 5 tháng

Người viết: Jaleel Plus Six, BlockBeats

Coinbase đã xử lý vụ rò rỉ dữ liệu người dùng gần đây rất thông minh. Đúng như mong đợi, đây là cổ phiếu tiền điện tử đầu tiên và là công ty đầu tiên và duy nhất lọt vào S&P 500.

Vì lịch sự, tác giả đã bày tỏ sự tôn trọng cơ bản đối với Coinbase. Tiếp theo, đã đến lúc phải đưa công ty này vào danh sách đáng xấu hổ.

Vào ngày 8 tháng 5, thám tử tiền điện tử ZachXBT đã đăng một thông điệp trên kênh cá nhân của mình, nêu rõ rằng 45 triệu đô la khác đã bị lừa đảo từ người dùng Coinbase thông qua "kỹ thuật xã hội". Trong vài tháng qua, số tiền liên quan đến những vụ án tương tự mà ông theo dõi đã lên tới chín con số. Những kẻ lừa đảo thường gọi điện hoặc gửi email cho người dùng giả danh là bộ phận dịch vụ khách hàng của Coinbase, sau đó từng bước dụ người dùng nhấp vào các liên kết lừa đảo được ngụy trang thành trang web chính thức, rồi chuyển tiền vào ví của chúng.

Một số người cho rằng người dùng đã bị lừa bởi kỹ thuật xã hội. Điều này liên quan gì tới Coinbase? "Nền tảng này không phải là cơ quan quản lý của chính phủ, vậy làm sao có thể ngăn chặn người dùng nhấp vào email lừa đảo?"

Trước hết, các nền tảng giao dịch lớn khác chưa từng gặp phải vấn đề gian lận tương tự ở quy mô lớn như vậy. Thứ hai, nhiều nạn nhân đã báo cáo rằng những kẻ lừa đảo không chỉ khai báo chính xác số dư tài khoản và thời gian giao dịch mà còn có thể đưa ra ảnh chụp chứng minh thư của họ. "Mọi thứ có vẻ quá thực tế."

Mọi thứ đều hướng đến: Coinbase đã làm rò rỉ dữ liệu.

Chúng ta hãy cùng xem Coinbase đã nói gì. Tài liệu 8-K được đệ trình lên SEC vào ngày 14 tháng 5 cho thấy Coinbase đã phát hiện thông qua hệ thống bảo mật của mình vào tháng 1 năm 2025 rằng một số đại diện dịch vụ khách hàng ở nước ngoài đã truy cập vào thông tin nhận dạng đầy đủ của người dùng mà không có "nhu cầu kinh doanh".

Xem báo cáo mà Coinbase nộp lên Văn phòng Tổng chưởng lý Maine vào ngày 20 tháng 5, vụ vi phạm dữ liệu xảy ra thậm chí còn sớm hơn, vào ngày 26 tháng 12 năm 2024.

Báo cáo của Maine cho thấy vụ vi phạm xảy ra vào ngày 26 tháng 12 năm 2024 và lỗ hổng được phát hiện vào ngày 11 tháng 5 năm 2025

Nhưng sự cố đã được công bố vào ngày 15 tháng 5 và thông báo chính thức trên trang web của họ cho thấy: Tội phạm đã nhắm mục tiêu vào nhân viên dịch vụ khách hàng ở nước ngoài của Coinbase và mua dữ liệu người dùng từ những người trong cuộc bằng tiền mặt. Dữ liệu này bao gồm tên, địa chỉ, số điện thoại, email, ảnh giấy tờ tùy thân do chính phủ cấp (như giấy phép lái xe, hộ chiếu), ảnh chụp nhanh số dư tài khoản và hồ sơ giao dịch.

Nói cách khác, dữ liệu đã bị đánh cắp từ đầu mùa đông, nhưng giờ khi mùa xuân đã qua, Coinbase buộc phải bắt đầu giải quyết "con voi trong phòng" này ngay tại thời điểm quan trọng khi được đưa vào S&P 500 và đã đưa ra thông báo nêu rõ rằng họ đã nhận được email tống tiền từ tin tặc để chính thức tiết lộ sự cố.

Theo chính Coinbase, họ đã sa thải những nhân viên có liên quan và tăng cường giám sát an ninh sau khi phát hiện ra hành vi truy cập bất thường. Nhưng trong suốt năm tháng này, "giao tiếp với người dùng" duy nhất do Coinbase thực hiện là một email mơ hồ và nhạt nhẽo được gửi vào cuối tháng 3, nói rằng một nhân viên "có thể đã vi phạm quy định" khi xem hồ sơ tài khoản:

"Chúng tôi đã phát hiện ra dấu hiệu cho thấy một nhân viên của Coinbase có thể đã xem hồ sơ tài khoản của một số ít khách hàng của Coinbase, bao gồm cả tài khoản của bạn, theo cách không phù hợp với các chính sách nội bộ."

Người đồng sáng lập The Block, Mike Dudas, trước đây đã tiết lộ trên X rằng ông đã nhận được một email đáng lo ngại từ Coinbase

Ngoài ra, chúng tôi chưa bao giờ thấy bất kỳ thông báo công khai chính thức nào hoặc cuộc điều tra sâu hơn về sự cố này.

Sẽ có nhiều điều "thú vị" hơn sắp xảy ra.

Vào ngày 15 tháng 5, ngày vụ rò rỉ dữ liệu chính thức được công bố, một thỏa thuận người dùng mới của Coinbase chính thức có hiệu lực.

Thỏa thuận này có thể được coi là “lá chắn tự bảo vệ” của Coinbase. Bỏ qua nội dung dài dòng "bắt mắt" khác, có hai điều khoản chính (9.9 và 9.10): cấm mọi hình thức hành động tập thể (Miễn trừ hành động tập thể); và buộc tất cả người dùng phải tự mình đệ đơn kiện lên tòa án New York.

Tại sao lại là New York? Bởi vì Tiểu bang New York có một quy định cực kỳ có lợi cho doanh nghiệp: nếu hợp đồng nêu rõ mọi tranh chấp phải được giải quyết tại tòa án New York và số tiền liên quan vượt quá 1 triệu đô la, thì tòa án không thể từ chối thụ lý vụ kiện với lý do "thay đổi đến địa điểm thuận tiện hơn". Đồng thời, Tòa án Quận phía Nam của New York là nơi tập trung các vụ án tài chính có nhiều kinh nghiệm xét xử. Vụ kiện giữa Coinbase và SEC cũng được đưa ra tại đây.

Ngoài ra, theo các báo cáo công khai, mặc dù Coinbase đã chuyển đổi thành công ty "ưu tiên làm việc từ xa" kể từ năm 2021, trước khi văn phòng mới được đề xuất tại San Francisco được thành lập vào năm nay, One Madison ở New York là không gian văn phòng lớn nhất của Coinbase tại Hoa Kỳ, với hợp đồng thuê 11 năm được ký kết và diện tích gấp đôi địa điểm cũ.

Trong bối cảnh này, ngay cả khi bạn là nạn nhân giống như hàng chục nghìn người dùng khác, bạn vẫn phải đến New York “một mình” và đệ đơn kiện bằng chi phí của riêng bạn.

Thỏa thuận đã được cập nhật vào ngày 11 tháng 4 và có hiệu lực vào ngày 15 tháng 5, gần như hoàn toàn trùng khớp với thời điểm tiết lộ vụ rò rỉ dữ liệu. Một sự thay đổi hợp đồng "được tính toán chính xác" như vậy có thể được mô tả là "chờ cho đến khi trời tối và mưa, đào cây dâu và chuẩn bị củi" - tầm nhìn xa của Coinbase trong việc chuẩn bị cho ngày mưa có thể so sánh với Gia Cát Khổng Minh.

Điều này cũng làm dấy lên nghi ngờ từ nhà nghiên cứu bảo mật kỹ thuật Molly White, nhưng CEO của Coinbase Brian Armstrong đã trả lời rằng đây là một "thuyết âm mưu". Nhưng khi Molly White hỏi thêm, "Tại sao Coinbase mất hơn một tháng để tiết lộ vụ vi phạm dữ liệu này cho SEC? Khi một công ty đại chúng phát hiện ra sự cố an ninh mạng lớn, họ phải tiết lộ trong vòng bốn ngày làm việc." Brian Armstrong ngừng trả lời cô ấy.

Cùng lúc đó, Bloomberg trích dẫn lời những người hiểu rõ vấn đề này cho biết trong năm tháng qua, tin tặc đã đạt được "quyền truy cập theo yêu cầu" vào thông tin người dùng bằng cách hối lộ đủ số lượng đại diện dịch vụ khách hàng của Coinbase. Thậm chí vào thứ Tư, nhiều ngày trước khi thông báo được đưa ra, tin tặc vẫn truy cập dữ liệu. Nhưng tuyên bố này đã bị Giám đốc an ninh của Coinbase Philip Martin bác bỏ.

Tuyên bố hiện tại của Coinbase là: "Chúng tôi phát hiện một số nhân viên đã truy cập dữ liệu không đúng cách và đã sa thải những nhân viên có liên quan, nhưng chúng tôi không biết rằng dữ liệu đã bị rò rỉ vào thời điểm đó. Chúng tôi không nhận ra mức độ nghiêm trọng của vấn đề cho đến khi nhận được email đòi tiền chuộc từ tin tặc vào tháng 5."

Có bao nhiêu phần trong số này là lời tự bào chữa? Hãy cùng xem Coinbase đã "làm ngơ" bao nhiêu lời nhắc nhở, câu hỏi và cảnh báo từ cộng đồng và các nhà nghiên cứu bảo mật trong năm tháng kể từ khi họ sửa đổi giao thức và chặn quyền tham gia vụ kiện tập thể.

Mở diễn đàn Coinbase trên Reddit, một số lượng lớn người dùng đã báo cáo về việc bị đánh cắp tài khoản và gian lận kỹ thuật xã hội thường xuyên kể từ tháng 1 và người dùng nước ngoài đã phải chịu đựng: "Tôi nghi ngờ rằng dịch vụ khách hàng là ma sáu tháng trước. Năm phiếu công việc đều được đóng vội vàng. Không ai liên lạc với tôi, không ai giải thích chuyện gì đã xảy ra", "Tôi gần như tin vào điều đó, vì số tiền tôi vừa rút gần bằng số tiền họ nhắn tin cho tôi", "Họ có thể xác minh tên đầy đủ của tôi, số dư tài khoản, thiết bị đăng nhập cuối cùng, mọi thứ đều quá tự nhiên và thực tế..."

Đối mặt với vô số lời nhắc nhở từ cộng đồng, Coinbase tuân thủ nghiêm ngặt bức thư của Thế giới Tam thể: "Đừng trả lời, đừng trả lời, đừng trả lời."

Nếu bạn muốn bảo vệ điều đó bằng cách nói rằng Coinbase có thể không truy cập Reddit như người châu Á và không thể thấy được cộng đồng đang trải qua những gì, thì những lời nhắc nhở liên tục từ các KOL lớn và các nhà nghiên cứu bảo mật trên Twitter hẳn là thứ họ có thể thấy.

ZachXBT, thám tử quyền lực nhất trong thế giới tiền điện tử với 860.000 người theo dõi trên Twitter, đã chỉ ra vào đầu tháng 2 rằng hơn 65 triệu đô la đã bị đánh cắp do các cuộc tấn công kỹ thuật xã hội chỉ tính từ cuối năm ngoái đến đầu năm nay. Vào cuối tháng 3, ông lại lên tiếng khẳng định thêm 46 triệu đô la đã bị đánh cắp trong hai tuần qua. Ông đã nhiều lần chỉ ra rằng Coinbase không hề có hành động nào.

Ngoài ra còn có Taylor Monahan, người đứng đầu bộ phận an ninh tại MetaMask và là một điều tra viên cấp cao trên chuỗi, người công khai chỉ trích Coinbase trên Twitter hầu như mỗi tuần và liên tục cố gắng giao nộp bằng chứng cho nhóm bảo mật và hỗ trợ của họ, trong khi "Giám đốc điều tra cấp cao" của Coinbase đã chặn cô ấy sớm nhất là vào cuối năm 2024.

Taylor Monahan cũng trực tiếp tiết lộ rằng Coinbase đã thuê ngoài một lượng lớn công việc dịch vụ khách hàng cho TaskUs, một nhà cung cấp dịch vụ bên thứ ba tại Ấn Độ. Ngay từ ngày 11 tháng 1 năm 2025, Coinbase đã sa thải hơn 300 nhân viên dịch vụ khách hàng người Ấn Độ trên diện rộng, với lý do là "trộm cắp" và "hoạt động bất hợp pháp". Văn phòng sau đó được chuyển đến Gurgaon, nhưng tình trạng rò rỉ dữ liệu nội bộ vẫn thường xuyên xảy ra, nên một làn sóng "sa thải" mới đã xảy ra vào tháng 3 và tháng 4.

Về tuyên bố của Coinbase rằng "chúng tôi không biết cho đến ngày 11 tháng 5", cô ấy nói một cách mỉa mai: "Đây sẽ là một chương trình rất 'thú vị' - hãy xem họ giả vờ không biết gì cho đến khi email đòi tiền chuộc xuất hiện", "Cái cớ có khả năng xảy ra nhất là: 'Đây không phải là vụ rò rỉ lớn và không cần phải tiết lộ.'"

Thật trớ trêu khi trong khi các giám đốc điều hành của Coinbase phủ nhận, trốn tránh trách nhiệm và xử lý vấn đề một cách lạnh lùng, một số người dùng Reddit và nạn nhân bắt đầu tự phát tổ chức thành "Jinyiwei" và tìm thấy một số manh mối của những kẻ lừa đảo.

Một người dùng có tên Scammer-fight-back cùng toàn bộ nhóm của anh đã đối đầu với những kẻ lừa đảo. Họ đã gọi điện cho những kẻ lừa đảo nhiều lần, ghi âm cuộc gọi và lưu lại thông tin. Cuối cùng họ đã lần ra những kẻ lừa đảo: hầu hết đều đến từ Manchester, Anh và làm việc trong cùng một văn phòng nhỏ. Họ sử dụng giọng địa phương để mạo danh bộ phận chăm sóc khách hàng của Coinbase, thu thập thông tin trong khi hoàn tất quy trình lừa đảo.

Một cư dân mạng khác là dyfedavalon cũng có cùng quan điểm: "Đây là một băng nhóm lừa đảo quy mô lớn đến từ Vương quốc Anh, có quy mô và phạm vi lớn, năng lực mạnh mẽ", "Tôi đã gọi lại để tìm những kẻ lừa đảo đó, và hóa ra là cùng một nhóm người. Chúng thực sự giỏi trong việc kinh doanh này", "Tôi đã nói chuyện với chúng nhiều lần, và chúng nghĩ tôi là nạn nhân, nhưng tôi là người Anh, vì vậy tôi có thể nghe và trêu chọc giọng Anh của chúng. Sau đó, chúng trực tiếp yêu cầu tôi không gọi điện và quấy rối chúng nữa".

Ngoài ra, thông tin điều tra của Taylor Monahan, giám đốc an ninh của MetaMask được đề cập ở trên, cho thấy các nhân viên nội bộ của TaskUs, một nhà cung cấp dịch vụ Ấn Độ bên thứ ba do Coinbase thuê ngoài, đã liên lạc với tin tặc trên Telegram và tính phí khoảng 10.000 đô la Mỹ cho mỗi giao dịch bán địa chỉ email, số điện thoại di động và thông tin 2FA của người dùng. Số tiền được gửi trực tiếp vào tên cá nhân thông qua PayPal hoặc tài khoản ngân hàng.

Nguồn ảnh: Taylor Monahan

Tại sao lại có người sẵn sàng chấp nhận rủi ro lớn như vậy để tiết lộ thông tin? Taylor chia sẻ thêm thông tin bị rò rỉ từ những "nô lệ Ấn Độ" này, chỉ thẳng vào điều kiện làm việc thực tế của TaskU: họ không được phép sử dụng nhà vệ sinh, phải tranh giành giờ ăn và sẽ bị quản lý đối xử lạnh nhạt nếu không giao đủ hàng; áp lực cao một cách vô lý, và việc nghỉ ốm sẽ được ghi nhận là "vắng mặt" và tiền lương sẽ bị khấu trừ trực tiếp; vì họ không theo kịp tiến độ đào tạo nên đã bị đuổi việc ngay tại chỗ.

“Đây là quyết định tệ nhất mà tôi từng đưa ra trong sự nghiệp của mình. Bộ phận nhân sự không hề đứng về phía bạn. Không ai quan tâm ngay cả khi bạn khóc và phàn nàn. Cuối cùng, tôi thậm chí còn không thể nhận được chứng chỉ kinh nghiệm vì họ yêu cầu tôi bồi thường cho ‘chi phí đào tạo’”, một nhân viên viết.

Khiếu nại từ những cựu nhân viên của công ty gia công phần mềm Coinbase TaskUs, nguồn ảnh: Taylor Monahan

Theo dữ liệu từ nhiều nền tảng như Glassdoor và Indeed: Bộ phận dịch vụ khách hàng địa phương của Coinbase có mức lương hàng năm từ 60.000 đến 70.000 đô la, trong khi bộ phận dịch vụ khách hàng gia công tại Ấn Độ chỉ kiếm được từ 3.600 đến 4.800 đô la mỗi năm. Có nghĩa là, mức lương của một nhân viên dịch vụ khách hàng người Mỹ có thể thuê được ít nhất 15 nhân viên dịch vụ khách hàng thuê ngoài người Ấn Độ.

Dựa trên 300 công việc được thuê ngoài, Coinbase có thể tiết kiệm được 18 triệu đô la mỗi năm tại đây. Điều này không bao gồm các khoản tiết kiệm chi phí ẩn như không gian văn phòng, an sinh xã hội, tiền làm thêm giờ và hỗ trợ kỹ thuật.

Điều đáng nói là theo cuộc điều tra của các phóng viên Bloomberg, Coinbase đã trả 6,2 triệu đô la cho một năm bảo vệ cá nhân cho CEO Brian Armstrong. Giám đốc pháp lý của Coinbase, Paul Grewal, người giám sát phản ứng của công ty đối với vụ hack 400 triệu đô la và cuộc điều tra dữ liệu người dùng của SEC, đã nhận được tổng số tiền bồi thường hơn 8,2 triệu đô la vào năm ngoái.

Chỉ riêng chi phí bảo mật hàng năm của CEO và lương của giám đốc pháp lý có thể cao hơn chi phí bảo mật của tất cả người dùng nền tảng Coinbase.

Trong số những người dùng bị ảnh hưởng bởi sự cố này, có rất nhiều người nổi tiếng. Theo báo cáo của Bloomberg, những người hiểu rõ vấn đề này tiết lộ rằng Giám đốc điều hành của Sequoia Capital, Roelof Botha, là một trong những nạn nhân và dữ liệu bị đánh cắp bao gồm số điện thoại, địa chỉ và các thông tin tài khoản nhạy cảm khác liên quan đến hồ sơ Coinbase của ông.

Và Ed Suman, 67 tuổi, một nghệ sĩ nổi tiếng đã hoạt động trong lĩnh vực nghệ thuật gần hai thập kỷ và tham gia sản xuất các tác phẩm nghệ thuật như tác phẩm điêu khắc "Balloon Dog" của Jeff Koons, đã trở thành nạn nhân của một vụ lừa đảo dịch vụ khách hàng giả mạo trên Coinbase vào đầu năm nay và mất hơn 2 triệu đô la tiền điện tử.

Coinbase cũng đã nhận được nhiều vụ kiện, trong đó người dùng cáo buộc công ty xử lý sai dữ liệu cá nhân của họ. Ngoài ra, hoạt động của Coinbase cũng thu hút sự chú ý của các cơ quan quản lý. Ví dụ, Văn phòng Tổng chưởng lý Oregon đã đệ đơn kiện Coinbase, cáo buộc công ty này vi phạm luật chứng khoán của tiểu bang và thách thức tính hợp pháp của các điều khoản trọng tài và miễn trừ hành động tập thể trong thỏa thuận người dùng.

Theo dữ liệu của Elliptic, chi phí bồi thường và xử lý sự cố này lên tới 400 triệu đô la Mỹ, xếp hạng đây là sự cố bảo mật lớn thứ tám trong lịch sử mã hóa. Cuộc tấn công này không liên quan đến các cảnh quay kịch tính như "hack ví nóng" hay các phức tạp về mặt kỹ thuật như "lỗ hổng hợp đồng". Thay vào đó, nó xảy ra ở liên kết cơ bản nhất, hàng ngày nhất và bị bỏ qua: dữ liệu KYC.

Nhưng thực tế là Coinbase khó có thể phải chịu bất kỳ hình phạt nghiêm trọng nào.

Có vẻ như chưa có tiền lệ nào trong luật pháp Hoa Kỳ về việc áp dụng hình phạt nghiêm khắc đối với hành vi rò rỉ dữ liệu ngoài ý muốn. Vụ kiện nổi tiếng nhất liên quan đến lạm dụng dữ liệu là Facebook, vì họ đã vi phạm cam kết đã ký rằng "dữ liệu người dùng sẽ không được chia sẻ với bên thứ ba mà không có sự đồng ý của người dùng", nhưng điều này hơi khác so với tình huống mà Coinbase phải đối mặt.

Sự cố của Coinbase gần giống với "dữ liệu bị rò rỉ bởi người trong cuộc cho tin tặc bên ngoài", nguyên nhân là do lạm dụng quyền truy cập dữ liệu và quản lý gia công không đúng cách. Không nên coi đây là hành vi gian lận quyền riêng tư có hệ thống và mức độ thiệt hại cũng rất hạn chế. Coinbase cũng tuyên bố sẽ bồi thường.

Quan trọng hơn, Coinbase là một công ty có giá trị thị trường hơn 60 tỷ đô la. Đây cũng là nền tảng giao dịch duy nhất trong ngành tiền điện tử lọt vào Chỉ số S&P 500. Nước này có mối quan hệ chính sách chặt chẽ và nguồn vốn dồi dào.

Trong cuộc bầu cử Hoa Kỳ này, Coinbase và các giám đốc điều hành đã quyên góp hàng chục triệu đô la cho các ứng cử viên Đảng Cộng hòa và được cho là đóng vai trò quan trọng trong việc vận động hành lang cho nhiều đạo luật. Việc SEC rút lại vụ kiện chống lại Coinbase từng được cho là có liên quan đến các khoản quyên góp chính trị của Coinbase.

Mọi thứ đều cho thấy Coinbase sẽ vượt qua cơn bão này. Trong tương lai, Coinbase sẽ tiếp tục hoạt động tốt và thậm chí có thể tốt hơn nữa.