Coinbase wusste laut Quellen bereits im Januar von dem Datenleck im Wert von 400 Millionen US-Dollar

Laut einer Reuters-Recherche wurde Coinbase bereits im Januar 2025 über eine Sicherheitslücke informiert, die durch ausgelagerte Kundendienstmitarbeiter in Indien verursacht wurde. Sechs mit dem Fall vertraute Personen bestätigten gegenüber dem Bericht, dass die Kryptobörse bereits Monate vor der offiziellen Bekanntgabe im Mai wusste, dass sensible Nutzerdaten über ihrentracTaskUs kompromittiert worden waren.

In einer am 14. Mai bei der US-Börsenaufsicht SEC eingereichten Meldung dokumentierte TaskUs einen Teil des Datenlecks, in dem eine Mitarbeiterin des Unternehmens in Indien dabei ertappt wurde, wie sie mit ihrem privaten Handy Fotos vom Bildschirm ihres Arbeitscomputers anfertigte. Fünf ehemalige TaskUs-Mitarbeiter bestätigten, dass die Mitarbeiterin und ein mutmaßlicher Komplize angeblich von Hackern bestochen wurden, um an Nutzerdaten von Coinbase zu gelangen.

Coinbase wurde umgehend alarmiert, wie drei Mitarbeiter und eine weitere Quelle bestätigten. Kurz darauf wurden über 200 Mitarbeiter des TaskUs-Rechenzentrums in Indore entlassen, was in Indien für großes Medieninteresse sorgte. Zunächst machte Coinbase ausländische Supportmitarbeiter verantwortlich, schätzt den Schaden inzwischen aber auf bis zu 400 Millionen US-Dollar.

Im Inneren der Kampagne zur Ausnutzung des BPO-Netzwerks von Coinbase

Coinbase arbeitete lange mit TaskUs, einem Outsourcing-Unternehmen aus Texas, zusammen, um die Personalkosten zu senken, indem der Kundensupport an Teams im Ausland ausgelagert wurde. Seit 2017 bearbeiteten TaskUs-Mitarbeiter Kundenanfragen für Coinbase, oft aus Ländern mit niedrigeren Löhnen. In Indore, Indien, verdienten diese Mitarbeiter Berichten zufolge zwischen 500 und 700 US-Dollar im Monat – ein so niedriges Gehalt, dass estrackriminelle Bestechungsgelder

In einem im Mai eingereichten Bericht räumte Coinbase ein, das volle Ausmaß des Angriffs erst am 11. Mai erkannt zu haben, als eine Erpressungsforderung in Höhe von 20 Millionen US-Dollar einging. Daraufhin beendete das Unternehmen die Zusammenarbeit mit den für den Datenverstoß verantwortlichen TaskUs-Mitarbeitern sowie mit einigen weiteren, nicht namentlich genannten ausländischentrac. Coinbase gab außerdem an, die Aufsichtsbehörden informiert, betroffene Nutzer entschädigt und seine internen Kontrollmechanismen verstärkt zu haben.

In einer öffentlichen Stellungnahme räumte TaskUs die Entlassung zweier Mitarbeiter wegen Datendiebstahls ein, nannte Coinbase jedoch nicht namentlich. Das Unternehmen erklärte, die beiden seien Teil einer koordinierten kriminellen Kampagne gewesen, die auch andere mit dem Kunden verbundene Dienstleister getroffen habe.

Hacker nutzten Social Engineering, um Coinbase-Nutzer zu täuschen

Die Krypto-Wallets von Coinbase wurden bei dem Angriff nicht direkt gehackt. Stattdessen nutzten Hacker die gestohlenen persönlichen Daten, um sich in einer Welle von Social-Engineering-Betrugsfällen als Coinbase-Mitarbeiter auszugeben. Sie gaben sich als Support-Mitarbeiter aus und brachten die Opfer dazu, ihre Krypto-Assets zu transferieren.

Sicherheitsforscher gehen davon aus, dass eine lose organisierte Gruppe namens „The Comm“ den Angriff orchestriert hat. Die Gruppe besteht aus jungen Hackern mit Erfahrung in aufsehenerregenden Angriffen; zu ihren Zielen zählten unter anderem Casinos und Kryptofirmen.

Einem Bericht von Fortune zufolge hatten die Hacker unterschiedliche Rollen für ihre Mitglieder: Einige bestachen Insider, um Daten zu stehlen, während andere die Betrügereien durchführten. Soziale Medien wie Telegram und Discord wurden genutzt, um die Operationen zu koordinieren und die Beute aufzuteilen.

Die Ermittler stellten fest, dass die Identitätsdiebstähle umso effektiver waren, je fließender nordamerikanisches Englisch die Betrüger gegenüber Coinbase-Kunden sprachen. Mithilfe der gestohlenen Daten konnten sie glaubwürdig genug wirken, um Nutzer zur Herausgabe ihrer Kryptowährungen zu bewegen.

Auch nach dem Datenleck treibt Coinbase seine Geschäftstätigkeit weiter voran. Das Unternehmen wurde kürzlich in den S&P 500 aufgenommen und gab vor Kurzem eine strategische Übernahme bekannt. CEO Brian Armstrongtronentwickeln wolle weltweit führenden Finanzdienstleistungs-App .

Der Coinbase-Angriff ereignet sich inmitten eines starken Anstiegs von Krypto-Hacks , die laut Chainalysis bis 2024 ein Schadenvolumen von über 2,2 Milliarden US-Dollar erreichen werden. Dies unterstreicht die Gefahren des Outsourcings und die zunehmende digitale Raffinesse der Angreifer.