Coinbase, il più grande exchange di criptovalute con sede negli Stati Uniti in termini di volume di scambi, sta affrontando una forte reazione negativa dopo che giovedì alcune indiscrezioni hanno rivelato che un dipendente disonesto ha fatto trapelare dati sensibili dei clienti.
Gli utenti hanno preso le armi dopo che alcune segnalazioni suggerivano che il rischio fosse noto mesi prima che l'azienda rendesse noto l'incidente.
Utenti indignati per la fuga di dati avvenuta mesi prima della divulgazione
La violazione interna, che secondo quanto riferito ha interessato "meno dell'1%" degli utenti attivi mensili di Coinbase , ha scatenato un'ondata di indignazione nella comunità crypto. Gli utenti segnalano di essere stati presi di mira da sofisticate truffe di phishing e di impersonificazione .
Tra loro c'è QwQiao, una presunta vittima presa di mira che racconta l'agghiacciante precisione della truffa. QwQiao, che lavora nell'assistenza clienti di Alliance DAO, ha dichiarato di essere quasi caduto vittima, ma di aver superato in astuzia i malintenzionati.
"…Li ho chiamati alla fine della chiamata dicendo loro che dovevano fare di più perché questa truffa era una sciocchezza. Mi hanno detto che quel giorno avevano guadagnato 7 milioni di dollari", ha dichiarato .
Adam Cochran, noto personaggio di X (Twitter), ha condannato la mancata protezione di dati come documenti d'identità governativi e indirizzi fisici da parte di Coinbase. Afferma che questa carenza comporta rischi che vanno ben oltre la perdita finanziaria.
"La divulgazione di Coinbase qui si concentra sui fondi rubati, ma questo è irrilevante… Nessun elemento della politica KYC/AML richiede che questo tipo di informazioni sia accessibile agli agenti dell'assistenza clienti. Non voglio sapere cosa sta facendo Coinbase per recuperare i fondi: voglio sapere cosa stanno facendo per gestire meglio i dati privati", ha dichiarato .
L'indignazione si aggiunge alle accuse secondo cui la violazione sarebbe avvenuta già a gennaio. Utenti e analisti affermano che il presunto silenzio di Coinbase ha lasciato gli utenti vulnerabili per mesi.
"Coinbase sapeva di essere stata rubata dai dati dei suoi utenti da gennaio, ma non ha detto nulla fino ad ora? Abbiamo ricevuto innumerevoli segnalazioni di utenti di Coinbase derubati da falsificatori. Ora sappiamo perché", ha scritto Duo Nine, un rinomato analista.
Secondo Duo Nine, la presunta supervisione di Coinbase espone anche le partecipazioni istituzionali a un rischio concentrato. Coinbase svolge un ruolo dominante nel mercato spot degli ETF (exchange-traded fund) sulle criptovalute . Nello specifico, fornisce servizi di custodia per otto degli 11 ETF su Bitcoin e otto dei nove ETF su Ethereum .
L'exchange Coinbase offre anche servizi di esecuzione di trading e di sorveglianza del mercato. In particolare, questa non è la prima volta che la sua posizione dominante nei servizi di custodia solleva preoccupazioni circa la sua posizione di potenziale singolo punto di vulnerabilità.
"Non è un buon segno che quasi tutti gli emittenti di ETF crittografici abbiano lo stesso depositario per tutti i loro BTC ed ETH. Questo rende Coinbase un potenziale singolo punto di fallimento, e questo è preoccupante", ha dichiarato di recente Eleanor Terret.
Coinbase non ha risposto immediatamente alla richiesta di commento di BeInCrypto.
I rischi della perdita sono imprevedibili e pericolosi
Nel frattempo, si teme che questa violazione sia particolarmente inquietante perché Coinbase non è stata hackerata. Al contrario, è stata tradita dall'interno. Un addetto all'assistenza ha avuto accesso ai dati dei clienti e li ha rivenduti sul mercato nero.
Per alcuni, questo rappresenta un lampante fallimento dei controlli interni. Bob Loukas, un trader di posizione, ha parlato senza mezzi termini, accusando la borsa di non aver fornito informazioni adeguate.
"Sapete di avere a disposizione i dati più ambiti e avete permesso agli agenti di supporto di accedervi in massa. È inaccettabile", ha affermato Loukas.
Le implicazioni vanno oltre il furto finanziario: il fondatore di Rotki, Lefteris Karapetsas, avverte che centralizzare i dati di identità reali insieme ai saldi in criptovaluta è un "disastro in attesa di accadere".
"Coinbase ha appena dimostrato ancora una volta perché gli honeypot di dati centralizzati sono un disastro incombente. KYC significa consegnare la propria identità a chi la divulga, la vende o la estorce. La combinazione di dati esposti qui (indirizzi reali, indirizzi crittografici, importi e documenti d'identità reali) è letale", ha scritto .
Rotki è un'app di monitoraggio del portafoglio, con Karapetsas, esperto di protezione dei dati, che ha fatto riferimento a un recente tentativo di rapimento che ha coinvolto la famiglia di un leader parigino del settore cripto . Ariel Givner, avvocato aziendale specializzato in fintech, ha confermato i timori reali.
"Oggi cinque persone mi hanno contattata. Temono per la loro sicurezza e quella delle loro famiglie. La situazione potrebbe peggiorare", ha scritto .
Gli esperti di intelligence affermano che l'incidente potrebbe essere parte di una vendita più ampia sul dark web. Secondo fonti di sicurezza informatica, un autore di minacce informatiche ha recentemente offerto un patrimonio record di 18 milioni di dollari da piattaforme crypto statunitensi.
Tra questi, oltre 432.000 record di utenti Coinbase per 10.000 $, contenenti nomi, indirizzi e-mail, numeri di telefono, indirizzi e altro ancora.
Coinbase non ha ancora risposto all'indignazione degli utenti, ma offre una ricompensa di 20 milioni di dollari per informazioni che portino all'arresto e alla condanna dei malintenzionati. L'exchange ha dichiarato di aver contattato tutte le vittime interessate.
"Se i tuoi dati sono stati violati, hai già ricevuto un'e-mail da [email protected]; tutte le notifiche sono state inviate alle 7:20 ET ai clienti interessati", ha affermato il supporto di Coinbase su X
Il post Coinbase affronta una reazione negativa dopo l'incidente della fuga di notizie interna è apparso per la prima volta su BeInCrypto .