Eric Conner, một nhà phát triển cốt lõi của Ethereum và là cựu thành viên của Ethereum Foundation, gần đây đã công khai phàn nàn về việc khóa tài khoản Coinbase một cách bất thường trên Twitter và bày tỏ sự không hài lòng của mình một cách thẳng thắn. Anh ấy nói: Tôi muốn gửi ETH cho một người bạn, và một câu hỏi ngẫu nhiên về giao dịch của tôi hiện lên trên giao diện người dùng. Rõ ràng là câu trả lời của tôi không hợp lệ, vì vậy tôi phải đặt lại mật khẩu và tài khoản của tôi bị khóa??? Bạn đùa tôi à? và đính kèm ảnh chụp màn hình về việc tài khoản của anh ấy bị hạn chế.
Sau khi điền vào các câu hỏi bật lên trên trang khi gửi giao dịch, nền tảng đã bật lên cảnh báo về việc hủy giao dịch. Lý do được Coinbase đưa ra là họ tin rằng những kẻ lừa đảo có thể đang cố gắng truy cập vào tài khoản Coinbase. Để bảo vệ tính bảo mật của tài khoản, nền tảng đã hủy giao dịch này và tạm thời hạn chế một số hoạt động của tài khoản. Đồng thời, người dùng được yêu cầu đặt lại mật khẩu của mình. Sau đó, Eric phát hiện ra rằng việc chuyển tiền điện tử của mình bị hạn chế.
Bên trái: Hủy giao dịch, cảnh báo thay đổi mật khẩu; Bên phải: Nhắc nhở hạn chế chuyển khoản
Có lẽ vì đã chịu đựng Coinbase trong một thời gian dài nên người dùng đã bắt đầu phàn nàn dưới dòng tweet của Eric. Tổng giám đốc điều hành Nansen Alex Svanevik bình luận: “Chào mừng đến địa ngục Coinbase”. Nhà tư vấn quản lý và nhà đầu tư Ethereum “DCinvestor.eth” cho biết: “Tôi khuyên bạn không nên gửi tiền đến các địa chỉ không thuộc về bạn thông qua Coinbase, trước tiên hãy gửi đến ví trên chuỗi của bạn, sau đó gửi đến bất kỳ nơi nào bạn muốn”.
Là một ví không lưu ký tuyên bố rằng người dùng có quyền kiểm soát hoàn toàn đối với khóa riêng tư, Ví Coinbase phải có mức độ phi tập trung cao. Tuy nhiên, sự cố này đã phơi bày những mâu thuẫn trong logic cơ bản của nền tảng: mặc dù nhấn mạnh vào sự thống trị của người dùng, nền tảng này vẫn dựa vào các máy chủ tập trung để triển khai các chiến lược kiểm soát rủi ro và trực tiếp khóa tài khoản khi người dùng không vượt qua xác minh. Động thái này chắc chắn đã thu hút sự chú ý và thảo luận rộng rãi trong cộng đồng tiền điện tử - liệu Coinbase có đang kiểm soát rủi ro quá mức hay môi trường ngành hiện tại đang buộc các nền tảng giao dịch phải tăng cường các biện pháp bảo mật?
Các biện pháp bảo mật là một kích thước phù hợp với tất cả, và quản lý tài khoản từ lâu đã gây tranh cãi
Đây không phải là lần đầu tiên cách tiếp cận bảo mật mạnh mẽ của Coinbase gây tranh cãi. Vào tháng 1 năm 2025, một cựu nhân viên của Coinbase đã công khai cáo buộc rằng tài khoản của anh đã bị đóng băng trong hai tháng mà không có lý do, khiến anh không thể chi trả cho đám cưới của mình. Ông cho biết tài khoản này từ lâu đã được sử dụng để nhận lương và thực hiện các giao dịch tiền điện tử và trước đó không có hoạt động bất thường nào. Tuy nhiên, Coinbase từ chối cung cấp lý do cụ thể cho việc đóng băng, lấy lý do là bảo vệ người dùng và không cung cấp kênh kháng cáo hiệu quả. Sự cố này nhanh chóng gây xôn xao, càng làm tăng thêm nghi ngờ của thị trường về cơ chế quản lý tài khoản của Coinbase.
Trong những năm gần đây, Coinbase đã áp dụng chiến lược kiểm soát rủi ro thận trọng trong quản lý tài khoản người dùng. Biện pháp nghiêm ngặt này thực sự có thể giảm thiểu rủi ro sàn giao dịch bị hack ở một mức độ nhất định, nhưng việc quá phụ thuộc vào hệ thống kiểm soát rủi ro tự động và thiếu minh bạch trong mô hình hoạt động cũng gây ra rắc rối cho nhiều người dùng vô tội. Đặc biệt trong môi trường Web3 nhấn mạnh vào tính phi tập trung và kiểm soát tự chủ, tính hợp lý của các biện pháp kiểm soát rủi ro tập trung như vậy đã bị chỉ trích.
Các lỗ hổng dịch vụ của bên thứ ba có thể trở thành mắt xích yếu trong chuỗi bảo mật
Mặc dù Coinbase và các nền tảng giao dịch khác tiếp tục tăng cường cơ chế kiểm soát rủi ro nội bộ, sự phụ thuộc bên ngoài vẫn có thể trở thành lỗ hổng lớn nhất trong chuỗi bảo mật. Một trường hợp điển hình là sự cố bảo mật gần đây của Binance.
Vào ngày 25 tháng 2, một bài đăng cáo buộc tin tặc chuyển tài sản thông qua bao lì xì đã được lan truyền rộng rãi trên Twitter. Bài đăng giải thích rằng tài khoản Binance, email và Google Authenticator của người dùng đều đã bị hack. Mặc dù tin tặc không thể rút tiền bình thường và phải đợi 24 giờ để rút tiền ngay cả sau khi đổi mật khẩu, nhưng chức năng bao lì xì của Binance vẫn có thể sử dụng bình thường, giống như một lỗi cho phép tin tặc chuyển tài sản ngay lập tức thông qua bao lì xì.
Hình ảnh cho thấy hồ sơ chuyển tiền phong bì đỏ của tài khoản Binance của người dùng bị đánh cắp
Điều đáng lo ngại hơn nữa là chỉ một ngày sau đó, công ty bảo mật SlowMist CISO 23 pd đã cảnh báo trên Twitter rằng một số người dùng đã nhận được tin nhắn văn bản giả mạo chính thức của Binance và tin nhắn văn bản này xuất hiện trong cùng chuỗi hội thoại với các thông báo chính thức trước đó của Binance. Phương pháp tấn công giả mạo chính xác này có nghĩa là tin tặc có thể xâm nhập vào một phần chuỗi cung ứng dịch vụ SMS của bên thứ ba, do đó làm tăng khả năng ẩn náu và tỷ lệ thành công của cuộc tấn công.
Ngược lại, mặc dù Coinbase chưa từng phải chịu các cuộc tấn công tương tự, nhưng các dịch vụ cho vay tiền điện tử gần đây của công ty này đã bị chậm trễ và hiệu suất giảm, cho thấy có thể có những rủi ro tiềm ẩn trong kiến trúc kỹ thuật của nền tảng. Đối với các sàn giao dịch, ngoài việc tăng cường khả năng phòng thủ cho hệ thống của mình, họ cũng cần cải thiện khả năng giám sát bảo mật của các dịch vụ của bên thứ ba (như email, tin nhắn văn bản, công cụ xác thực, v.v.) để ngăn chặn các liên kết bên ngoài trở thành lỗ hổng cho tin tặc đột nhập.
Tính đến quý đầu tiên của năm 2025, lượng người dùng toàn cầu của Coinbase đã vượt quá 56 triệu. Tuy nhiên, với sự mở rộng nhanh chóng của lượng người dùng, những thiếu sót của nền tảng trong hỗ trợ dịch vụ khách hàng và quản lý tài khoản đã dần lộ ra.
Coinbase từ lâu đã bị chỉ trích vì các tiêu chuẩn kiểm toán mã thông báo không minh bạch và sự thận trọng cực độ này đối với việc tuân thủ dường như cũng được phản ánh trong việc quản lý tài khoản, khiến nhiều người dùng khó nhận được lời giải thích rõ ràng sau khi tài khoản của họ bị chặn. Trong trường hợp tài khoản của cựu nhân viên bị đóng băng, người dùng khiếu nại rằng Coinbase “không cung cấp hỗ trợ hiệu quả trong hai tháng”, càng làm nổi bật thêm vấn đề về phản hồi dịch vụ khách hàng không đầy đủ.
Mặt khác, khi giải quyết các cuộc tấn công của tin tặc, Binance chỉ khuyến cáo người dùng bật đăng nhập sinh trắc học nhưng không chủ động thực hiện các biện pháp sàng lọc trên diện rộng. Điều này cho thấy các chiến lược bảo mật hiện tại của các sàn giao dịch chính thống vẫn có xu hướng phòng thủ thụ động hơn là giám sát chủ động và cảnh báo rủi ro. Đối với người dùng, điều này có nghĩa là khi gặp phải bất thường về tài khoản, họ thường chỉ có thể dựa vào thiện chí của nền tảng thay vì một cơ chế giải pháp rõ ràng và có thể lường trước được.
Cho dù đó là sự cố khóa tài khoản Coinbase hay trường hợp người dùng Binance bị tấn công lừa đảo, tất cả đều cho thấy tình thế tiến thoái lưỡng nan mà các sàn giao dịch hiện đang phải đối mặt: kiểm soát rủi ro quá mức sẽ khiến người dùng vô tội bị liên lụy và ảnh hưởng đến trải nghiệm giao dịch; chính sách bảo mật quá lỏng lẻo có thể tạo cơ hội cho tin tặc. Trong bối cảnh ngành công nghiệp phát triển nhanh chóng, các nền tảng giao dịch không chỉ cần thiết lập hệ thống kiểm soát rủi ro lành mạnh hơn mà còn cần liên tục tối ưu hóa tính minh bạch, trải nghiệm của người dùng và khả năng phản hồi của dịch vụ khách hàng. Nếu không, khi các sự cố bảo mật xảy ra thường xuyên và lòng tin của người dùng giảm đi, ngay cả các biện pháp kiểm soát rủi ro nghiêm ngặt nhất cũng sẽ không thể đảo ngược tình trạng mất người dùng.
