Gần đây, Eric Conner, một nhà phát triển cốt lõi của Ethereum và cựu thành viên của Ethereum Foundation, đã công khai phàn nàn trên Twitter về việc tài khoản của ông bị khóa bất thường trên Coinbase Wallet. Ông nói rõ sự không hài lòng của mình: "Tôi muốn gửi ETH cho bạn bè, nhưng giao diện người dùng hiện ra một câu hỏi ngẫu nhiên về giao dịch của tôi, rõ ràng câu trả lời của tôi không được chấp nhận, vì vậy tôi phải đặt lại mật khẩu và tài khoản của tôi bị khóa??? Đây có phải là một trò đùa không?"
Có vẻ như Eric đã chịu đựng Coinbase trong một thời gian dài, và nhiều người dùng đã bắt đầu phàn nàn dưới bài đăng của ông. Alex Svanevik, CEO của Nansen, bình luận: "Chào mừng đến với địa ngục của Coinbase." DCinvestor.eth, một cố vấn quản lý và nhà đầu tư Ethereum, cho biết: "Tôi khuyên bạn không nên gửi tiền đến địa chỉ không thuộc về bạn thông qua Coinbase, chỉ cần gửi đến ví trên chuỗi của bạn trước, sau đó gửi đến bất cứ nơi nào bạn muốn."
Coinbase Wallet, với tuyên bố "hoàn toàn kiểm soát private key" của người dùng, được coi là một ví không quản lý có tính phi tập trung cao. Tuy nhiên, sự kiện này lại phơi bày mâu thuẫn trong logic cơ bản của nền tảng này: mặc dù nhấn mạnh quyền chủ động của người dùng, nhưng vẫn phụ thuộc vào máy chủ tập trung để thực hiện chiến lược quản lý rủi ro, và sẽ trực tiếp khóa tài khoản nếu người dùng không thể vượt qua xác minh. Hành động này chắc chắn đã thu hút sự chú ý và thảo luận rộng rãi trong cộng đồng crypto - liệu Coinbase đã quá kiểm soát rủi ro, hay môi trường ngành hiện tại đã buộc các nền tảng giao dịch phải tăng cường các biện pháp an toàn?
Các biện pháp an toàn một刀切, quản lý tài khoản vẫn gây tranh cãi
Chiến lược an toàn quyết liệt của Coinbase không phải là lần đầu tiên gây tranh cãi. Vào tháng 1/2025, một cựu nhân viên Coinbase đã công khai cáo buộc rằng tài khoản của anh ta bị đóng băng vô cớ trong 2 tháng, khiến anh không thể thanh toán chi phí đám cưới. Anh cho biết tài khoản này đã được sử dụng lâu dài để nhận lương và thực hiện các giao dịch crypto, mà trước đó không có bất kỳ hoạt động bất thường nào. Tuy nhiên, Coinbase chỉ với lý do "bảo vệ người dùng" mà từ chối cung cấp lý do cụ thể cho việc đóng băng tài khoản, cũng không cung cấp kênh khiếu nại hiệu quả. Sự kiện này nhanh chóng lan rộng, càng làm nổi bật những lo ngại của thị trường về cơ chế quản lý tài khoản của Coinbase.
Trong những năm gần đây, Coinbase đã áp dụng chiến lược quản lý rủi ro thận trọng đối với tài khoản người dùng. Mặc dù các biện pháp nghiêm ngặt này có thể giảm một phần rủi ro bị hacker tấn công vào sàn giao dịch, nhưng việc quá phụ thuộc vào hệ thống quản lý rủi ro tự động hóa và thi缺vắng tính minh bạch trong mô hình vận hành, cũng khiến không ít người dùng vô tội gặp phải rắc rối. Đặc biệt trong bối cảnh Web3 nhấn mạnh tính phi tập trung và kiểm soát tự chủ, những biện pháp quản lý tập trung như vậy càng bị chỉ trích là không hợp lý.
Lỗ hổng của dịch vụ bên thứ ba có thể trở thành điểm yếu của chuỗi an toàn
Mặc dù Coinbase và các sàn giao dịch khác liên tục tăng cường cơ chế quản lý rủi ro nội bộ, các khâu phụ thuộc bên ngoài vẫn có thể trở thành điểm yếu lớn nhất của chuỗi an toàn. Một trường hợp điển hình là sự cố an ninh gần đây của Binance.
Ngày 25/2, một bài đăng tố cáo hacker chuyển tài sản thông qua tính năng Red Packet đã được chia sẻ rộng rãi trên Twitter. Bài đăng giải thích rằng tài khoản, email và Google Authenticator của người dùng đã bị hacker xâm nhập, mặc dù họ không thể rút tiền bình thường, thậm chí thay đổi mật khẩu cũng phải chờ 24 giờ, nhưng tính năng Red Packet của Binance lại hoạt động bình thường như một lỗ hổng, cho phép hacker lập tức chuyển tài sản.
Điều đáng lo ngại hơn là, chỉ một ngày sau đó, CISO của công ty an ninh SlowMist, 23pd, đã cảnh báo trên Twitter rằng một số người dùng đã nhận được "tin nhắn giả mạo của Binance", và những tin nhắn này xuất hiện trong cùng một chuỗi tin nhắn với các thông báo chính thức của Binance trước đây. Cách thức tấn công chính xác này cho thấy hacker có thể đã xâm nhập một phần chuỗi cung ứng dịch vụ tin nhắn bên thứ ba, từ đó tăng tính che giấu và khả năng thành công của cuộc tấn công.
Trong khi Coinbase chưa gặp sự cố tương tự, dịch vụ cho vay tiền điện tử gần đây của họ lại gặp phải vấn đề về độ trễ và giảm hiệu suất, cho thấy có thể tồn tại những rủi ro tiềm ẩn trong cấu trúc kỹ thuật của nền tảng. Đối với các sàn giao dịch, ngoài việc tăng cường hệ thống phòng thủ nội bộ, họ còn cần nâng cao khả năng giám sát an ninh đối với các dịch vụ bên thứ ba (như email, tin nhắn, bộ xác thực, v.v.), nhằm ngăn chặn các khâu bên ngoài trở thành lỗ hổng cho hacker tấn công.
Tính đến quý 1/2025, Coinbase đã có hơn 56 triệu người dùng toàn cầu. Tuy nhiên, khi quy mô người dùng tăng nhanh, những điểm yếu của nền tảng trong hỗ trợ khách hàng và quản lý tài khoản cũng dần lộ diện.
Trong thời gian dài, Coinbase đã bị chỉ trích vì tiêu chuẩn kiểm duyệt token không minh bạch, và thái độ cực kỳ thận trọng về tuân thủ này dường như cũng thể hiện trong quản lý tài khoản, khiến nhiều người dùng gặp khó khăn khi bị khóa tài khoản. Trong vụ việc tài khoản của cựu nhân viên bị đóng băng, người dùng cho rằng Coinbase "không hỗ trợ hiệu quả trong 2 tháng", càng làm nổi bật vấn đề phản hồi chậm chạp của bộ phận chăm sóc khách hàng.
Mặt khác, khi đối phó với các cuộc tấn công của hacker, Binance chỉ khuyên người dùng bật đăng nhập sinh trắc học, mà không chủ động thực hiện các biện pháp kiểm tra rộng rãi. Điều này cho thấy, chiến lược an ninh của các sàn giao dịch chủ chốt vẫn chủ yếu là phòng thủ bị động, thay vì giám sát chủ động và cảnh báo rủi ro. Đối với người dùng, điều này có nghĩa là khi gặp sự cố tài khoản bất thường, họ thường chỉ có thể dựa vào "thiện chí" của nền tảng, chứ không phải cơ chế giải quyết rõ ràng và có thể dự đoán được.
Không kể đến sự cố khóa tài khoản của Coinbase hay vụ tấn công lừa đảo của Binance, tất cả đều phơi bày sự khó xử mà các sàn giao dịch đang phải đối mặt: quá kiểm soát rủi ro sẽ dẫn đến ảnh hưởng đến những người dùng vô tội, ảnh hưởng đến trải nghiệm giao dịch; nhưng chiến lược an ninh quá lỏng lẻo thì lại có thể để lại cơ hội cho hacker. Trong bối cảnh ngành công nghiệp phát triển nhanh chóng, các nền tảng giao dịch không chỉ cần xây dựng hệ thống quản lý rủi ro hoàn thiện hơn, mà còn cần tiếp tục cải thiện về tính minh bạch, trải nghiệm người dùng và khả năng phản hồi của bộ phận chăm sóc khách hàng. Nếu không, ngay cả khi áp dụng các biện pháp an ninh nghiêm ngặt, họ cũng khó có thể ngăn chặn được sự rời bỏ của người dùng khi các sự cố an ninh liên tục xảy ra và niềm tin của người dùng bị suy giảm.
Hãy tham gia vào nhóm chính thức của BlockBeats:
Kênh Telegram đăng ký: https://t.me/theblockbeats
Nhóm Telegram thảo luận: https://t.me/BlockBeats_App
Tài khoản Twitter chính thức: https://twitter.com/BlockBeatsAsia
