Cộng đồng crypto đang dậy sóng trước những cáo buộc từ thám tử on-chain ZachXBT, cho rằng Coinbase đã để người dùng mất hơn 65 triệu USD chỉ trong 2 tháng qua.
ZachXBT chỉ trích Coinbase vì thất bại trong việc bảo vệ khách hàng
Tối ngày 03/02, thám tử on-chain ZachXBT công bố kết quả điều tra chấn động, vạch trần cách các nhóm lừa đảo khai thác lỗ hổng bảo mật của Coinbase để chiếm đoạt hơn 65 triệu USD từ người dùng chỉ trong hai tháng, từ tháng 12/2024 đến tháng 01/2025.
1/ Over the past few months I imagine you have seen many Coinbase users complain on X about their accounts suddenly being restricted.
— ZachXBT (@zachxbt) February 3, 2025
This is the result of aggressive risk models and Coinbase’s failure to stop its users losing $300M+ per year to social engineering scams. pic.twitter.com/PjtX7vmjqc
ZachXBT vạch trần chiêu trò lừa đảo người dùng Coinbase
Vụ việc bắt đầu khi một nạn nhân tìm đến ZachXBT sau khi bị lừa mất 850.000 USD. Từ đây, ZachXBT tiến hành truy vết dòng tiền, lần theo dấu vết của hacker và "vén màn" đường dây lừa đảo tinh vi, lợi dụng lỗ hổng bảo mật của Coinbase để chiếm đoạt tài sản người dùng.
3/ Let’s walk through how these Coinbase social engineering scams work.
— ZachXBT (@zachxbt) February 3, 2025
A victim reached out to me last month after losing ~$850K.
Graphing out this theft lead to a consolidation address with 25+ other victims tied to ‘coinbase-hold.eth’.
Theft address… pic.twitter.com/y8dRxwlOO6
Theo điều tra, những kẻ lừa đảo này không chỉ đơn thuần mạo danh nhân viên Coinbase mà còn dàn dựng một vở kịch hoàn hảo. Chúng sử dụng số điện thoại giả, khai thác dữ liệu cá nhân bị rò rỉ để tạo dựng lòng tin và thông báo tài khoản Coinbase của nạn nhân đang bị tấn công khi xuất nhiều dấu hiệu đăng nhập trái phép, đồng thời yêu cầu họ thực hiện "các biện pháp bảo vệ tài khoản" ngay lập tức.
Ngoài ra, chúng gửi một email giả mạo mang tên "Coinbase Security Alert" với hình thức và nội dung không khác gì email chính thức. Chiêu trò tinh vi ở chỗ, email này còn chứa cả "mã số vụ việc" để tăng thêm độ tin cậy. Nội dung email cảnh báo tài khoản đang gặp nguy hiểm và yêu cầu nạn nhân chuyển toàn bộ tài sản vào Coinbase Wallet để bảo vệ tài sản của mình.
Tiếp theo, chúng hướng dẫn nạn nhân thêm một địa chỉ ví cụ thể vào danh sách tin cậy (whitelist) với lý do là để đội ngũ hỗ trợ kiểm tra bảo mật tài khoản. Khi địa chỉ ví này đã được whitelist, tiền sẽ được rút một cách dễ dàng mà không gặp bất kỳ trở ngại nào từ hệ thống bảo mật của Coinbase.
5/ They then sent a spoofed email which appeared to be from Coinbase with a fake Case ID further gaining trust.
— ZachXBT (@zachxbt) February 3, 2025
They instructed the victim to transfer funds to a Coinbase Wallet and whitelist an address while “support” verified their accounts security. pic.twitter.com/pOTQpnMfCz
Chưa dừng lại ở đó, chúng còn tạo ra một trang web giả mạo Coinbase đến mức ngay cả những người có kinh nghiệm lâu năm trong thị trường cũng khó lòng nhận ra. Khi nạn nhân đăng nhập vào trang web này, hacker có thể gửi nhiều thông báo giả ngay trên nền tảng, khiến họ tin rằng tài khoản của mình thực sự đang gặp nguy hiểm.
Hình ảnh website Coinbase được làm giả
Khi tiền đã được chuyển đi, hacker lập tức gom tất cả tài sản vào một địa chỉ ví lớn, sau đó thực hiện một loạt giao dịch phức tạp để che giấu dấu vết. Chúng sử dụng hàng loạt ví trung gian, chuyển tiền qua nhiều blockchain khác nhau bằng các dịch vụ hoán đổi ẩn danh. Cuối cùng, tài sản được phân tán vào nhiều ví nhỏ hơn hoặc gửi đến các sàn giao dịch ít yêu cầu KYC, trước khi được rút thành tiền mặt.
Sau khi truy vết dòng tiền, ZachXBT đã phát hiện ra ví tiền mã hóa có liên quan đến vụ lừa đảo mang tên "coinbase-hold.eth". Ví này đã nhận tiền từ hơn 25 nạn nhân khác nhau, bao gồm cả người đã mất 850.000 USD.
Tuy nhiên, ZachXBT cảnh báo rằng số tiền bị đánh cắp có thể lên tới hàng trăm triệu USD bởi dữ liệu thu thập được chỉ dựa trên phân tích on-chain các giao dịch đáng ngờ và báo cáo từ nạn nhân qua tin nhắn, chứ chưa bao gồm các khiếu nại chính thức gửi đến Coinbase hoặc cơ quan thực thi pháp luật.
Coinbase bị ZachXBT chỉ trích vì thất bại trong việc bảo vệ khách hàng
Theo ZachXBT, chỉ tính riêng năm ngoái, người dùng Coinbase đã mất hàng triệu USD vào tay các nhóm lừa đảo. Hai nhóm "chủ mưu" chính đứng sau các vụ tấn công này bao gồm các hacker nghiệp dư từ Com và các tổ chức tội phạm mạng chuyên nghiệp có trụ sở tại Ấn Độ, cả hai đều nhắm tới mục tiêu là khách hàng Coinbase tại Hoa Kỳ.
7/ Last year I posted multiple examples of Coinbase user thefts all for millions of dollars.
— ZachXBT (@zachxbt) February 3, 2025
The two main groups conducting these scams are skids from the Com and threat actors located in India both primarily targeting US customers. pic.twitter.com/fxf3KWiH4x
Thậm chí, một nhân viên của Coinbase còn đưa ra lời khuyên "khó hiểu" khi khuyên người dùng không nên sử dụng VPN vì có thể bị hệ thống đánh dấu là đáng ngờ. Thực tế cho thấy, các nhóm hacker đã chủ động chặn VPN trên các trang web giả mạo của chúng để tránh bị phát hiện, qua đó giúp chúng lừa đảo dễ dàng hơn.
Sự mâu thuẫn trong cách tiếp cận này cho thấy Coinbase hoàn toàn không hiểu được bản chất của vấn đề và đang đưa ra những giải pháp sai lầm, vô tình tạo điều kiện cho kẻ gian hoành hành.
Không chỉ thất bại trong việc ngăn chặn lừa đảo, Coinbase còn bị ZachXBT tố giác hàng loạt sự cố bảo mật nghiêm trọng mà họ đã cố tình che giấu:
- Lỗ hổng API key: Một số API key cũ của người dùng, vốn chỉ có quyền đọc dữ liệu (read-only), đã bị hacker khai thác để truy cập vào các thông tin quan trọng.
- Lỗi bảo mật nghiêm trọng: Lỗi này cho phép hacker gửi mã xác minh đến bất kỳ email nào, kể cả khi email đó không liên kết với bất kỳ tài khoản nào trên Coinbase.
- Vụ hack Coinbase Commerce (2024): Nền tảng thanh toán của Coinbase đã bị đánh cắp 15,9 triệu USD nhưng không có biện pháp bảo vệ nào được công bố.
- Hacker rửa tiền qua Coinbase: Một nhóm tấn công đã sử dụng Coinbase để rửa 38 triệu USD từ vụ hack BTCTurk chỉ trong vài giờ mà không bị phát hiện.
9/ Coinbase has quietly had related security incidents they did not publicly address:
— ZachXBT (@zachxbt) February 3, 2025
a) For a number of users Coinbase with old API keys used for tax software which were hacked (was supposed to be read only perms)
b) Recent bugs like one which allowed you to send a… pic.twitter.com/SzJHiZxOwA
ZachXBT cũng chỉ ra rằng, dù hàng loạt nạn nhân đã tuyệt vọng tìm đến Coinbase để cầu cứu, nhưng hệ thống hỗ trợ yếu kém và lỏng lẻo khiến họ gần như không nhận được bất kỳ phản hồi hữu ích nào:
- Các địa chỉ ví lừa đảo không được báo cáo kịp thời, ngay cả khi những vụ tấn công đã diễn ra suốt nhiều tuần, cho phép hacker tiếp tục hoạt động mà không gặp bất kỳ trở ngại nào.
- Nạn nhân bị "bỏ mặc" trong hệ thống hỗ trợ chậm chạp, nhiều người liên hệ nhưng không bao giờ nhận được câu trả lời từ Coinbase.
- Dịch vụ hỗ trợ khách hàng gần như không khả dụng ngoài giờ hành chính tại Hoa Kỳ, một điều không thể chấp nhận được đối với sàn giao dịch crypto hoạt động 24/7.
Trong khi đó, các sàn giao dịch khác như Kraken, OKX và Binance lại không gặp phải vấn đề tương tự, cho thấy vấn đề nằm ở chính sách nội bộ yếu kém của Coinbase. ZachXBT nhấn mạnh rằng trách nhiệm nằm ở ban lãnh đạo, những người đã đưa ra các quyết định tệ hại, thiếu trách nhiệm và bỏ mặc khách hàng đối diện với rủi ro mất tài sản.
11/ I do not blame all Coinbase employees as most of the fault lies on leadership for these decisions.
— ZachXBT (@zachxbt) February 3, 2025
While this post is critical of Coinbase what have they done well?
>providing good stablecoin on-ramp / off-ramp for retail
>attracting talent to build on Base
>recovery tool…
Phản ứng từ cộng đồng
Ngay sau bài đăng của ZachXBT, cộng đồng crypto không khỏi đặt ra hàng loạt câu hỏi chất vấn về khả năng bảo vệ người dùng của Coinbase. Tài khoản UTDFREY (@rereborn11) đã thẳng thắn đặt câu hỏi:
"Nếu một cá nhân như ZachXBT có thể lần theo dấu vết những đồng tiền bị đánh cắp chỉ bằng dữ liệu on-chain và thông tin từ các nạn nhân, vậy tại sao một sàn giao dịch hàng đầu như Coinbase lại không thể làm được điều tương tự?
Bản thân ZachXBT cũng không giấu được sự bức xúc khi bày tỏ: "Thật sự rất bực bội khi thấy các địa chỉ ví lừa đảo này không bị đánh dấu bởi các công cụ phổ biến trên Coinbase."
That’s why it’s extremely frustrating when I see these theft addresses are not being flagged in popular compliance tools.
— ZachXBT (@zachxbt) February 3, 2025
Một người dùng có tên Marko đã "bóc phốt" về dịch vụ hỗ trợ khách hàng của Coinbase khi tài khoản bị đóng băng suốt 4 tháng mà không nhận được bất kỳ phản hồi nào từ sàn giao dịch. Phải mất hơn một tháng để nhận được câu trả lời cho từng tin nhắn, và chỉ đến khi anh gửi đơn khiếu nại lên CFPB (Cục Bảo vệ Tài chính Người tiêu dùng Hoa Kỳ) thì mới có tiến triển.
Never got a response to this. Disgusting behavior from coinbase https://t.co/QXSjX4hcfD
— Marko (@markoggwp) February 3, 2025
Ngay cả KOL nổi tiếng trong thị trường tiền mã hóa, Cobie, cũng không thể hiểu nổi sự thờ ơ của Coinbase đối với các vụ lừa đảo. Cobie cho biết:
"Chẳng lẽ Coinbase không thể thêm một màn hình cảnh báo trong quy trình rút tiền, với câu hỏi kiểu như 'Có ai từ Coinbase gọi cho bạn về giao dịch rút tiền này không?' và yêu cầu người dùng trả lời 'Không' thì lệnh rút mới được xử lý sao?Hầu hết các ngân hàng lớn hiện nay đều có cơ chế tương tự để ngăn chặn các giao dịch đáng ngờ, vậy tại sao Coinbase lại không thể làm được?"
cant they just put a screen in the withdrawal flow that says "did anyone from Coinbase call you about this withdrawal?" and you have to answer "no" otherwise the withdrawal will not process? basically every major bank has this exact flow for transaction sends
— Cobie (@cobie) February 3, 2025
Lần này, ZachXBT lại lên tiếng "bênh vực" Coinbase, cho rằng việc thêm bước xác nhận trong quy trình rút tiền chưa chắc đã giúp ngăn chặn hoàn toàn các vụ lừa đảo. ZachXBT dẫn chứng trường hợp một tài khoản đã bị khóa 24 giờ để kiểm tra giao dịch đáng ngờ, nhưng nạn nhân vẫn bị lừa rằng đó là hướng dẫn chính thức từ dịch vụ hỗ trợ khách hàng của Coinbase và tiếp tục tự nguyện thực hiện lệnh rút tiền.
Mặc dù tài khoản đã bị khóa trong 24 giờ nhưng sau đó nạn nhân vẫn tiếp tục chuyển tiền cho kẻ lừa đảo
Sàn giao dịch tiền mã hóa Kraken cũng nhanh chóng "bắt trend", với dòng tweet dưới bài đăng của ZachXBT, cùng tấm meme nổi tiếng "Distracted Boyfriend", ngụ ý rằng người dùng Hoa Kỳ đang dần quay lưng với Coinbase để tìm đến các lựa chọn tốt hơn như Kraken.
— Kraken Exchange (@krakenfx) February 4, 2025
Tuy nhiên, nếu nhìn nhận một cách công bằng, Coinbase không hoàn toàn chịu trách nhiệm cho mọi vụ lừa đảo mà ZachXBT cáo buộc, bởi bản chất của các cuộc tấn công này là khai thác lòng tin và sự thiếu hiểu biết của người dùng. Chính vì vậy, để bảo vệ tài sản của mình, người dùng cần chủ động trang bị kiến thức cần thiết, nâng cao cảnh giác trước các chiêu trò lừa đảo ngày càng tinh vi, thay vì phụ thuộc hoàn toàn vào một bên thứ 3 như sàn giao dịch.
Coin68 tổng hợp