Une violation récente de données à Coinbase a déclenché un débat plus large sur les compromis de sécurité entre les échanges centralisés (CEX) et les protocoles de financement décentralisés (DEFI).

Dans un article de blog partagé le 15 mai intitulé «Protection de nos clients - résister aux extorqueurs», Coinbase a révélé qu'il avait refusé de payer une rançon de 20 millions de dollars après les attaquants, avec le soutien des «initiés» soudoyés, accédé aux données des clients privés.

A recent data breach at Coinbase has sparked a broader debate about the security tradeoffs between centralized exchanges (CEXs) and decentralized finance (DeFi) protocols.

Une violation récente de données à Coinbase a déclenché un débat plus large sur les compromis de sécurité entre les échanges centralisés (CEX) et les protocoles de financement décentralisés (DEFI).

After attackers, who were aided by bribed "insiders," gained access to private customer data and threatened to release it unless they were paid $20 million, the CEX refused to pay the ransom, promising instead to fully reimburse users who lost funds due to the phishing attacks that followed the breach.

Après que les attaquants, qui ont été aidés par des «initiés» soudoyés, ont eu accès aux données des clients privés et ont menacé de le libérer à moins qu'ils n'étaient payés 20 millions de dollars, le CEX a refusé de payer la rançon, promettant plutôt de rembourser pleinement les utilisateurs qui ont perdu des fonds en raison des attaques de phishing qui ont suivi la violation.

The stolen information included names, addresses, ID documents and the last four digits of Social Security numbers. Coinbase claims that no passwords, private keys or customer funds were accessed, and also that only 1% of Coinbase's users were affected by the breach.

Les informations volées comprenaient des noms, des adresses, des documents d'identification et les quatre derniers chiffres des numéros de sécurité sociale. Coinbase affirme qu'aucun mot de passe, clés privés ou fonds clients n'a été accessible, et que seulement 1% des utilisateurs de Coinbase ont été affectés par la violation.

Earlier this year, blockchain sleuth ZachXBT reported that Coinbase users lose over $300 million annually to social engineering scams, highlighting just how damaging such data leaks have been to Coinbase users in the past.

Plus tôt cette année, Blockchain Sleuth Zachxbt a rapporté que les utilisateurs de Coinbase perdaient plus de 300 millions de dollars par an face aux escroqueries en génie social, soulignant à quel point ces fuites de données ont été endommagées aux utilisateurs de Coinbase dans le passé.

While the CEX has taken active steps to address the breach, such as firing those it believes were involved and offering a $20 million reward for information leading to arrests, the incident has highlighted the differences in security between centralized and decentralized infrastructure.

Alors que le CEX a pris des mesures actives pour remédier à la violation, comme le licenciement de ceux qui, selon eux, ont été impliqués et offrent une récompense de 20 millions de dollars pour des informations conduisant à des arrestations, l'incident a mis en évidence les différences de sécurité entre les infrastructures centralisées et décentralisées.

Single Points of Failure

Points d'échec unique

"The Coinbase incident, yet again, highlights how vulnerable centralized systems and single points of failure are to attacks," David Carvalho, founder and CEO of Naoris Protocol, told The Defiant. "Cybercriminals know this and are becoming more and more adept at exploiting these weaknesses to gain an edge."

"L'incident de Coinbase, encore une fois, souligne à quel point les systèmes centralisés vulnérables et les points de défaillance sont des attaques", a déclaré à The Defiant David Carvalho, fondateur et PDG de Naoris Protocol. "Les cybercriminels le savent et deviennent de plus en plus aptes à exploiter ces faiblesses pour gagner un avantage."

According to Carvalho, this problem is only going to get worse, with the only solution being decentralized security that removes single points of failure.

Selon Carvalho, ce problème ne fera qu'aggraver, la seule solution étant une sécurité décentralisée qui supprime des points d'échec unique.

"The bottom line is that any sensitive information or data should be protected by a decentralized system, rather than human gatekeepers," he added.

"L'essentiel est que toutes les informations ou données sensibles doivent être protégées par un système décentralisé, plutôt que par des gardiens humains", a-t-il ajouté.

Phil Mataras, founder of Arweave-based permanent cloud network AR.IO, agreed, noting that breaches like this aren't just unfortunate - they're structural.

Phil Mataras, fondateur du réseau de cloud permanent basé à Arweave Ar.io, a convenu, notant que les violations comme celle-ci ne sont pas simplement malheureuses - elles sont structurelles.

"They highlight how much of the infrastructure in crypto still depends on centralized, opaque systems that replicate the vulnerabilities of Web2," he explained. "When access and trust concentrate in one organization, a single error or insider threat can compromise millions."

"Ils soulignent la quantité d'infrastructure en crypto dépend toujours de systèmes centralisés et opaques qui reproduisent les vulnérabilités de Web2", a-t-il expliqué. "Lorsque l'accès et la confiance se concentrent dans une organisation, une seule erreur ou une menace d'initiés peut compromettre des millions."

According to Mataras, security at large isn't just about vetting or taking quicker action - it's about the underlying architecture.

Selon Mataras, la sécurité dans son ensemble ne consiste pas seulement à vérifier ou à prendre des mesures plus rapides - il s'agit de l'architecture sous-jacente.

"Systems need to minimize trust by default - distribute control, make operations transparent, and ensure critical data can't be silently altered or lost," he said. "This is the essence of transitioning to a decentralized web, and it's crucial for institutions like exchanges to prioritize this shift."

"Les systèmes doivent minimiser la confiance par défaut - distribuer le contrôle, rendre les opérations transparentes et garantir que les données critiques ne peuvent pas être modifiées ou perdues silencieusement", a-t-il déclaré. "C'est l'essence de la transition vers un Web décentralisé, et il est crucial pour les institutions comme les échanges pour hiérarchiser ce changement."

DeFi Risks

Risques de défi

DeFi platforms carry their own security risks, explained Carvalho.

Les plates-formes Defi comportent leurs propres risques de sécurité, a expliqué Carvalho.

"Most 'decentralized' exchanges still depend heavily on centralized components, like frontend interfaces hosted on traditional servers, APIs running on corporate infrastructure, oracles pulling data from centralized sources, and cross-chain bridges managed by small groups of developers. When these elements fail - which they often do due to bridge hacks and oracle manipulations - the decentralization facade quickly fades," he explained.

"La plupart des échanges« décentralisés »dépendent toujours fortement de composants centralisés, comme les interfaces frontales hébergées de serveurs traditionnels, des API fonctionnant sur l'infrastructure d'entreprise, des oracles tirant des données de sources centralisées, et des ponts transversales gérés par de petits groupes de développeurs. Lorsque ces éléments échouent - ce qu'ils font souvent des pirates de pont et des manipulations d'oracle - le fond décentralisé se déroule souvent.

Even if the blockchain layer is distributed, the surrounding infrastructure stack is centralized, and this creates vulnerabilities that sophisticated attackers can and will exploit, added Carvalho.

Même si la couche de blockchain est distribuée, la pile d'infrastructure environnante est centralisée, ce qui crée des vulnérabilités que les attaquants sophistiqués peuvent et exploiteront, ajouta Carvalho.

"There's a pressing need for complete decentralization throughout the technology stack, not just at the token level," he said. "This includes deploying decentralized storage solutions, developing truly trustless cross-chain protocols, and creating immutable and verifiable data structures."

"Il y a un besoin urgent d'une décentralisation complète tout au long de la pile technologique, pas seulement au niveau du jeton", a-t-il déclaré. "Cela comprend le déploiement de solutions de stockage décentralisées, le développement de protocoles transversaux vraiment sans confiance et la création de structures de données immuables et vérifiables."

Patrick Young, head of Galxe, added that while decentralized exchanges (DEXs) do offer users more control, they sometimes lack comprehensive identity protections, which leaves them vulnerable to bots, sybil attacks, and front-running.

Patrick Young, chef de Galxe, a ajouté que si les échanges décentralisés (DEX) offrent aux utilisateurs plus de contrôle, ils manquent parfois de protections d'identité complètes, ce qui les rend vulnérables aux robots, aux attaques de Sybil et à l'avant.

"What's needed is an evolution in how we approach identity and verification across both models - solutions that don’t just collect data, but protect it and enable platforms to verify legitimacy while maintaining privacy," said Young. "This isn't about choosing DEX over CEX, but ensuring both routes are secure, compliant, and built to foster user trust."

"Ce qui est nécessaire, c'est une évolution de la façon dont nous abordons l'identité et la vérification sur les deux modèles - des solutions qui ne collectent pas seulement des données, mais les protégeons et permettent aux plateformes de vérifier la légitimité tout en maintenant la confidentialité", a déclaré Young. "Il ne s'agit pas de choisir Dex Over CEX, mais s'assurer que les deux itinéraires sont sécurisés, conformes et conçus pour favoriser la confiance des utilisateurs."

SEC Investigation

Enquête SEC

Coinbase on Thursday also confirmed that the U.S. Securities and Exchange Commission (SEC) was investigating whether it misstated its user numbers. Specifically, the SEC is looking into the number of "verified users," which Coinbase has claimed is more than 100 million.

Coinbase a également confirmé que la Commission américaine des Securities and Exchange (SEC) enquêtait pour savoir s'il avait dénoué ses numéros d'utilisateurs. Plus précisément, la SEC examine le nombre «d'utilisateurs vérifiés», ce que Coinbase a affirmé dépasser 100 millions.

According to data from Dune Analytics, Coinbase hosts around 167 million unique addresses. However, in a recent SEC filing, the platform had around 9.7 million monthly transacting users in Q1 2025.

Selon les données de Dune Analytics, Coinbase accueille environ 167 millions d'adresses uniques. Cependant, dans un récent dépôt de la SEC, la plate-forme comptait environ 9,7 millions d'utilisateurs mensuels à transaction au premier trimestre 2025.

“This is a hold-over investigation from the prior administration about a metric we stopped reporting two and a half years ago, which was fully disclosed to the public. We explained that the verified users metric includes anyone who verified their email address or phone number with us, so it may overstate the number of unique customers, and the footnote in the proxy statement disclosing this was broadly covered in the press at

«Il s'agit d'une enquête de retenue de l'administration antérieure sur une métrique que nous avons cessé de signaler il y a deux ans et demi, qui a été entièrement divulguée au public. Nous avons expliqué que la métrique des utilisateurs vérifiés comprend toute personne qui a vérifié leur adresse e-mail ou son numéro de téléphone avec nous, ce qui pourrait surestimer le nombre de clients uniques, et la note de bas de page dans la déclaration Proxy en divulguer cela a été largement couvert dans la presse à la presse à la presse à la presse, et la note de bas