彭博社聚焦Coinbase数据泄露，CertiK联创顾荣辉警示私钥风险与物理攻击

5月18日，彭博社特邀CertiK联合创始人、哥伦比亚大学教授顾荣辉，对Coinbase遭遇数据泄露事件发表观点。他指出：“数字资产交易者对数据泄露的隐私问题极为担忧，因为仅需一个私钥即可转移资产，且几乎无法追回，这使得他们成为犯罪分子的首要目标。”这一论断直指行业安全生态的核心矛盾——当链上防御技术不断升级时，物理世界的威胁却成为新的薄弱环节。

区块链网络安全的整体水平虽有所提升，但不法分子并不会因此止步。相反，他们会不断探索防御的薄弱环节，寻找新的攻击路径。据CertiK《Hack3d：2024年度安全报告》显示，钓鱼攻击已成为链上最常见且影响最大的攻击手段，去年已造成约10.5亿美元的损失。这一趋势表明，攻击者正从单纯的技术漏洞转向更易实现且高回报的攻击方式，如社交工程和物理威胁。Coinbase数据泄露事件以及近期频发的绑架等线下威胁，更是凸显了单点防护难以全面覆盖的现状。

安全从来不是单一维度的竞赛，而是一场持续演进的攻防博弈。CertiK呼吁建立更广泛的安全协作网络，包括技术公司、政府机关与执法机构的联动。正如法国政府为Web3.0从业者开通应急热线所预示的，唯有将链上防御、数据隐私保护与物理安防措施结合，才能应对这场“数字与实体交织的战争”。

以下为报道（原文链接）全文：

Web3.0富豪为防绑架重金聘请保镖

早在Coinbase披露黑客窃取客户家庭住址和账户余额之前，Jethro Pijlman就已经注意到，越来越多持有大量数字资产的客户开始寻求保镖等安保服务。

Pijlman任职于总部位于阿姆斯特丹的Infinite Risks International，这家公司专门为数字资产持有者提供实体安保和情报服务。随着Web3.0行业绑架案件的频发，越来越多的数字资产持有者对此感到担忧：就在上周，一群袭击者试图绑架一名法国Web3.0项目高管的女儿和外孙。

“我们接到了更多的咨询，有些客户选择开始长期合作，还有更多不想措手不及而提出更主动的要求的Web3.0投资者。”Pijlman表示，“他们意识到，在这个层级进行投资，采取智能化的安保措施是不可避免的成本。”

Web3.0投资者面临的物理安全风险与传统金融客户有所不同。比特币、以太坊等公有链网络允许资产即时且匿名转账，这意味着一旦投资者被迫交出了私钥或访问权限，资金可能在几秒内消失，几乎没有追回的可能性。而传统银行账户在遭遇盗窃时，执法部门通常可以通过冻结账户或其他手段协助受害者挽回损失。

在Coinbase遭遇数据泄露后，这种安全担忧进一步加剧。黑客不仅获取了客户的姓名、地址和账户余额，还可能利用这些信息追踪高净值客户的位置，进一步提高了物理安全威胁的风险。在法国发生绑架未遂事件几天后，这成为了一个令人担忧的情况。

多名Coinbase数据泄露的受害者拒绝接受彭博社的采访，他们担心公开身份会进一步危及自身安全。

“数字资产交易者在数据泄露事件发生后，对隐私的担忧尤为敏感，”区块链安全公司CertiK联合创始人、哥伦比亚大学计算机科学教授顾荣辉表示。“只要掌握了私钥，数字资产就可以被立即转移，几乎无法追回，这使得数字资产交易者成为犯罪分子的首选目标。”

随着线上安全措施的不断升级，部分攻击者开始转向更直接的物理威胁。Sentinel首席执行官Charles Marino指出，Web3.0行业的快速发展使得攻破网络防御变得异常困难，以至于不法分子不得不通过物理攻击获取资产。

“目前，Web3.0行业的威胁形势非常严峻。”Marino表示。

这种对安全的高度重视也体现在行业领袖的安保支出上。根据4月份的一份监管文件，Coinbase去年在其首席执行官Brian Armstrong的个人安全上花费了620万美元，远高于摩根大通、高盛和英伟达等传统金融和科技巨头的CEO。

Coinbase的代表尚未回应置评请求。

尽管Coinbase声称此次泄露仅影响了不到1%的活跃用户，但黑客已在数月内获取了客户的姓名、地址、身份证影像、交易记录和账户余额。部分印度的客户支持人员甚至因受贿而向黑客提供了访问公司内部数据的权限。

犯罪分子已经利用这些信息，诱骗部分Coinbase客户泄露账户访问权限或直接转移其代币。与传统银行的数据泄露类似，这些个人信息同样可以被用于网络欺诈和身份盗窃。然而，对于长期以来以匿名方式参与市场的Web3.0投资者而言，物理威胁尤其令人担忧。

在上周发生的巴黎绑架未遂事件中，犯罪分子的目标是法国数字资产交易所Paymium的CEO的家属。尽管这次行动最终被挫败，但仅仅是近期一系列类似事件中的最新一起。今年1月，法国Web3.0钱包初创公司Ledger SAS的联合创始人David Balland和其伴侣在一次绑架事件中遭受重创，Balland甚至因此失去了手指。

为应对这一不断升级的威胁，法国政府已开始采取紧急措施。法国内政部长Bruno Retailleau上周五表示，将为Web3.0行业设立优先应急报警热线，并组织精锐警察部队为Web3.0高管及其家属提供安全检查和防护建议。

在社交媒体上，近期的Coinbase攻击事件和法国绑架事件已引发广泛讨论，不少数字资产交易员表示近期会尽量避免前往法国。戛纳一年一度的区块链会议EthCC也加强了今年夏季举办的活动的安保措施。活动方发言人表示，此次大会不仅会与当地警方合作，还将协调法国多部门执法力量、特种部队及私人安保公司，以应对潜在威胁，这与往年主要依赖地方警察的做法有所不同。

然而，这类问题并非法国独有。比特币安全专家Jameson Lopp长期维护着一个公开的数字资产持有者物理攻击数据库，仅在今年，该数据库就已记录了全球20多起类似事件。

美国一些与数字资产相关的公司也开始加强对高管的安保投入。例如，Circle Internet Group在2024年为其首席执行官Jeremy Allaire的个人安保支出约80万美元，而Robinhood Markets则为其CEO Vlad Tenev投入了160万美元。

尽管这些数字已不算低，但与科技巨头相比仍显逊色。Meta公司的CEO扎克伯格去年在个人安保上的支出高达2720万美元，而Alphabet的Sundar Pichai也达到820万美元，远超任何Web3.0公司。

除了保镖服务外，Pijlman的公司Infinite Risks International还提供防弹车辆、家庭安全评估以及社交媒体监控，帮助客户避免无意间泄露自身位置信息。

“通常要等到亲身经历或在新闻中看到类似事件后，客户才会意识到这一威胁的严重性，但一旦了解情况，他们会非常重视。”Pijlman说。“人们逐渐意识到，数字财富也会带来现实世界的风险。”