我的錢在 Coinbase 上安全嗎？如果他們被黑客攻擊會發生什麼？

Coinbase 的安全基礎設施

1. Coinbase 採用多層安全架構，其中包括 98% 以上的客戶資產的冷存儲，這意味著絕大多數數字資產處於離線狀態，遠程攻擊者無法訪問。

2. 該平台在所有數據傳輸和存儲層均使用機構級加密標準，包括靜態數據的 AES-256 加密和傳輸中數據的 TLS 1.3。

3. 物理安全措施包括生物識別訪問控制、24/7 監控以及管理加密密鑰的硬件安全模塊 (HSM) 的地理分佈式保管庫。

4. 內部系統強制執行嚴格的基於角色的訪問控制 (RBAC)，對任何涉及資產移動或配置更改的高權限操作都採用強制多人審批工作流程。

5. 由 Trail of Bits 和 Cure53 等經過認證的公司定期進行第三方滲透測試，並全面公開披露調查結果和補救時間表。

保險範圍和資產保護

1. Coinbase 持有由倫敦勞合社和其他主要運營商承保的犯罪保險單，涵蓋熱錢包中的數字資產，防止因網絡安全漏洞而導致的盜竊。

2. 保險單不涵蓋因用戶錯誤、針對個人賬戶的網絡釣魚攻擊或通過受損憑證發起的未經授權的交易而造成的損失。

3. Coinbase 賬戶中持有的法定貨幣餘額可通過 FDIC 直通保險為每位客戶提供最高 250,000 美元的保障，前提是這些客戶符合資格標準並持有在合格的美元存款賬戶中。

4. 託管錢包持有量與 Coinbase 的公司資產負債表分開，確保在破產時，客戶資產在法律上保持清晰並可在破產程序下收回。

5. 紐約州金融服務部 (NYDFS) 等實體的監管要求 Coinbase NY Inc. 等持牌實體每季度對儲備持有量和託管合規性進行證明。

歷史事件響應記錄

1. 2019 年，一次有針對性的社會工程攻擊洩露了少量員工憑證，但由於分層身份驗證保護措施和實時異常檢測系統，沒有任何客戶資金被訪問。

2. 在 2022 年 LUNA/UST 崩盤期間，Coinbase 先發製人地暫停了某些保證金交易功能，並保留了完整的提現功能，避免了其他平台所經歷的流動性短缺。

3. 2021年API密鑰洩露事件影響不到0.01%的活躍用戶； Coinbase 在 90 分鐘內輪換了所有受影響的密鑰，並在全行業範圍內實施了更嚴格的 API 權限範圍。

4. 自2012年成立以來，該公司的冷存儲基礎設施從未遭受過成功的破壞，保持著冷錢包洩露零損失的記錄。

5. 事件響應手冊通過紅隊模擬每半年進行一次測試，涉及工程、法律、通信和合規部門之間的協調努力。

用戶控制的風險因素

1. 對於許多帳戶操作來說，雙因素身份驗證仍然是可選的，這使得跳過短信或身份驗證器應用程序設置的用戶容易受到 SIM 交換和會話劫持攻擊。

2. 電子郵件帳戶洩露是未經授權的帳戶訪問的最常見途徑，因為密碼重置通常依賴於未加密的電子郵件通道，無需額外的驗證步驟。

3. 據觀察，被 Coinbase 內部威脅情報團隊標記為惡意的瀏覽器擴展在受感染的機器上進行交易簽名期間會注入虛假的提款地址。

4. 用於訪問 Coinbase 帳戶的共享設備或公共計算機會增加遭受鍵盤記錄惡意軟件和繞過標準登錄保護的緩存會話令牌的風險。

5. 如果設備故障同時伴有忘記密碼和禁用雙因素選項，則在本地存儲恢復短語而沒有氣隙備份的用戶將面臨永久損失的風險。

常見問題解答

問：Coinbase 持有我的私鑰嗎？是的。使用 Coinbase 的託管錢包時，該平台會管理您的私鑰。除非您使用 Coinbase 錢包（一種非託管產品，密鑰僅駐留在您的設備上），否則您無法直接訪問它們。

問：Coinbase 可以在沒有通知的情況下凍結我的賬戶嗎？是的。根據其用戶協議，如果 Coinbase 檢測到違反反洗錢 (AML) 政策、可疑活動模式或您所在司法管轄區的監管要求的行為，則可以暫時或永久限制賬戶訪問。

問：質押資產的保護方式是否與常規餘額相同？不會。質押資產受到特定於網絡的削減條件和驗證器性能風險的影響。 Coinbase 的保險範圍不適用於協議級別處罰或與停機相關的質押獎勵沒收造成的損失。

問：如果 Coinbase 申請破產，我的資產會怎樣？根據美國破產法，託管資產被視為信託財產。法院指定的受託人將監督可識別客戶資產的分離和返還，儘管延誤和管理成本可能會影響最終的恢復時間表。