全球, 美国

Coinbase被诉拒绝归还5500万美元被盗DAI:交易所对链上被盗资金的法律责任边界在哪里?

Posted on by Aiying快讯
06
5 月

Coinbase 5500万美元DAI钓鱼诉讼

版权声明:Aiying 艾盈团队原创,作者 Tony,转载需授权。

2026年5月初,一名自称在波多黎各的匿名加密鲸鱼在美国加州北区联邦地区法院起诉Coinbase,指控这家全球头部加密货币交易所拒绝归还其在2024年8月一次钓鱼攻击中被盗的超过5500万枚DAI。这起案件的独特之处不在于钓鱼攻击本身——这类事件在Web3世界早已不稀奇——而在于:被盗资金已被追踪到Coinbase账户,Coinbase也确认冻结了该笔资产,但用户苦等一年半仍无法取回。这背后折射出的法律问题,比大多数人一上来想的要复杂得多。

钓鱼攻击是怎么发生的

攻击手法不新鲜,但金额惊人

2024年8月,加密社区的链上侦探ZachXBT首次发现并披露了这起事件。攻击者使用了当时流行的”Inferno Drainer”钓鱼框架,伪造了DeFi Saver的登录界面。受害者以为自己访问的是DefiSaver.com,实际上访问的是一个域名以”.app”结尾的钓鱼网站。在钓鱼页面上签名的瞬间,受害者实际上将自己的钱包控制权拱手让给了攻击者。超过5500万枚DAI被立即转移至多个中间钱包,随后通过混币服务进行清洗(Decrypt,2026年5月)。

资金追踪到Coinbase账户

受害者在遭受损失后,委托了多家链上调查公司持续追踪资金流向。调查人员最终将被盗资金定位到一个Coinbase托管账户。2024年12月初,Coinbase向受害者确认:已识别该笔资金,已将其冻结,正配合调查。听起来不错,对吧?问题在于,从那时候开始,受害者就再也没有得到任何实质性的进展更新——直到诉讼被提起。

Coinbase为什么不肯还钱

「我们等法院命令」——听起来合理,但站得住脚吗

Coinbase在这件事上的立场很明确:在没有法院命令的情况下,不会释放任何被冻结的资金。这个立场猛一看挺有道理——交易所没有义务充当民间资金仲裁者,万一误冻了怎么办?万一原始所有者另有其人呢?但这个”合理立场”背后,隐藏着一个很现实的问题:从2024年12月确认冻结,到2026年5月正式起诉,这中间一年半的时间里,Coinbase是否对资金负有某种妥善保管的法律义务?

美国法律下的交易所「资金归还」义务

美国目前对加密货币交易所持有被盗/非法资金的归还义务,没有形成统一、成文的联邦法律规定。实践中,各州法律和联邦判例的交叉适用,导致这一领域的法律边界异常模糊。《计算机欺诈与滥用法案》(CFAA)《银行保密法》(BSA)提供了部分框架:前者处理未经授权的计算机访问,后者要求金融机构提交可疑活动报告(SAR)并在某些情况下冻结资金。

关键在于,Coinbase作为美国最大的加密货币持牌交易所之一,同时受到FinCEN的货币服务业务(MSB)注册要求约束。如果Coinbase明知资金涉嫌被盗仍放行,可能触犯反洗钱义务;但长期冻结已确认归属的资金而拒绝配合归还,同样可能面临监管质疑——这实际上是「不作为」的合规风险。

「可疑活动报告」机制与用户权益的错位

根据BSA要求,Coinbase如果发现某笔存款与已知非法活动存在关联,应提交SAR并通常冻结相关账户。然而,SAR机制的设计初衷是服务于监管机构的执法需求,而非保护个人受害者取回资产。这造成了一个结构性矛盾:交易所履行了AML义务(冻结资金 + 提交SAR),但这套机制并没有为普通用户提供任何取回被盗财产的路径。受害者被迫走上漫长的民事诉讼这条路。

类似判例:交易所面对被盗资金的处理先例

Coinbase此前在类似案件中的立场

Coinbase此前曾多次面临用户因黑客攻击、钓鱼诈骗等事件要求归还资金的诉讼。例如在Facebook, Inc. v. Bloberto等案件中,法院认定加密平台在某些情况下对第三方非法行为不承担直接责任。但这些案件与当前案件的关键区别在于:那些案件中,交易所本身并未控制相关资金。本案中,Coinbase已明确承认持有该笔资产,这让法律分析的起点完全不同。

与传统金融的类比:电汇欺诈中的银行责任

在传统银行业,美国《统一商法典》(UCC)第4A条和《电汇欺诈法》(Wire Fraud Statute, 18 U.S.C. § 1343)为资金追索提供了更成熟的框架。法院在处理电汇欺诈案件时,通常会要求银行在收到有效法院命令后返还资金,同时银行享有善意付款的抗辩权。加密行业目前缺乏类似的成文框架,交易所因此享有更大的解释空间——这种不确定性,既是交易所的「特权」,也是用户的「痛点」。

监管预期:FinCEN和OCC的联合指引

OCC在2020年发布的 interpretive letter明确了受监管银行可以为加密公司提供托管服务,但并未深入触及资金归还的具体义务。FinCEN的AML框架虽然要求冻结可疑资金,但对于「冻结后何时、多长时间内应主动处置」,并无硬性时间限制。这意味着,Coinbase在法律上可能并不「违法」——但从行业最佳实践和用户权益保护的角度来看,一年半没有任何实质进展,绝对谈不上负责任。

对交易所合规运营和用户资金保护的启示

合规启示一:内部AML程序需要「进度通知」机制

这起案件对整个行业最直接的启示是:仅仅冻结资金和提交SAR是不够的。交易所应该在内部程序中明确:一旦确认资金归属并在合理时间内(例如60至90天)无法推进执法配合,应当主动通知受影响用户并提供清晰的后续路径指引。这不仅是用户体验问题——在诉讼中,交易所是否存在「不合理延迟」很可能成为法院考量的因素。

合规启示二:用户协议中「资金归属争议」条款的起草风险

Coinbase的服务条款中通常包含「在法律要求或我们自行判断认为必要时冻结账户或资金」的条款。这类条款在法律上是有效的,但如果被认定交易所滥用冻结权或在确认归属后故意拖延,用户可能援引《不正当致富法》(UVTPA)等州立法提出损害赔偿。建议所有持牌交易所重新审视相关条款的起草,确保给予用户合理通知和申诉渠道。

合规启示三:链上追踪能力正在改变法律博弈格局

本案中,受害者能够通过链上调查公司精确定位资金到Coinbase账户,这一事实对法律分析产生了决定性影响。在链上透明度极高的今天,交易所「我不知道资金在哪里」的抗辩越来越难成立。这实际上为用户维权提供了新的杠杆,同时也意味着交易所的合规团队必须具备实时链上资产监控和快速响应的能力。

合规启示四:保险与用户赔偿基金的行业必要性

从更长远的视角看,这起案件再次凸显了用户资产保护基金(类似于传统银行的存款保险机制)在Web3领域的缺失。Kraken此前曾尝试建立类似机制,Coinbase也有资产保护相关的政策声明,但在实际操作中,缺乏具有约束力的监管框架来确保这些承诺能够兑现。随着SEC和CFTC对加密资产的监管框架逐步成型,用户资产保护或将进入强制化时代——那些提前建立完善机制的交易所,将在这场竞争中占据明显优势。

怎么看

  • 法律义务模糊:Coinbase拒绝放行资金在法律上可能不构成违法,但这不代表其行为无可指摘——「合法」不等于「尽责」。
  • 结构性矛盾:AML/KYC合规机制保护了系统不被滥用,却无法有效保护个人受害者的财产权益,这是一个待解的制度性缺口。
  • 举证责任转移:一旦资金被追踪到交易所账户,交易所需要举证证明其冻结行为具有合法依据——这个举证责任的转移本身,对用户已经是有利的。
  • 行业影响:这起诉讼的结果,将为整个行业树立关于「交易所对链上被盗资金的处置义务」的判例基准。
  • 对普通用户:再次提醒,高净值资产持有者应建立多签钱包、硬件冷存储等主动防御机制——事后维权成本极高,且结果不确定。

一句话总结

Coinbase拒绝归还被盗资金这起案件,撕开了加密行业用户资产保护机制缺失的遮羞布——交易所既不是纯粹的「保管人」,也还没有进化成真正的「受托人」,在这段法律定义模糊的中间地带,受害者只能诉诸成本高昂、周期漫长的诉讼来寻求救济。

来源:Decrypt – Crypto Whale Sues Coinbase Alleging Exchange Refuses Return Stolen Funds,作者 Sander Lutz,2026年5月

Aiying快讯