Aiying 艾盈一家专注加密资产合规咨询服务机构,本文为团队原创,作者 Chronovate Legal Team,转载需授权。
加密行业里,丢币的故事每天都在发生——但丢了五千万美元、追踪到了钱在哪里、甚至交易所也承认钱在自己手上,却花了一年半时间都拿不回来,这个情节就值得认真拆一拆了。2026年5月初,一位匿名加密巨鲸在旧金山联邦法院正式起诉Coinbase,起因是2024年8月一次高达5500万美元的DAI钓鱼攻击。钱被冻了,但Coinbase说:不给,除非法院下令。
发生了什么:5500万美元的钓鱼攻击与十八个月的追讨拉锯
Inferno Drainer + 域名欺诈:一个”.app”骗走了55M DAI
事情发生在2024年8月。受害者是一位居住在波多黎各的加密巨鲸,日常使用DeFi Saver管理链上仓位。黑客利用臭名昭著的钓鱼工具”Inferno Drainer“,创建了一个仿冒的DeFi Saver登录页面——域名结尾是.app而非.com。受害者在毫不知情的情况下输入了钱包信息,等于是把钱包控制权直接交给了黑客(Decrypt,2026-05-05)。
黑客得手后立即将超过5500万美元的DAI转移至其他钱包,并通过混币服务(coin mixing services)清洗资金流向。这起攻击最早由化名链上侦探ZachXBT发现并公开,手法之精准、金额之巨大,在2024年的钓鱼攻击案例中都属顶级。
链上追踪奏效,资金被定位到Coinbase——但故事才刚刚开始
受害者在遭受攻击后聘请了多家链上调查公司,最终成功将被盗资金追踪到Coinbase的一个账户。2024年12月初,Coinbase确认已识别这些资金,并表示将在调查期间将其冻结。
到此为止,一切看起来还算合理。但问题是:从2024年12月冻结到现在(2026年5月),整整一年半过去了,Coinbase始终没有归还这笔钱。受害者一方认为Coinbase没有正当理由继续持有已确认为被盗的资产;Coinbase的立场则是——除非法院下令强制要求,否则不会释放资金(Decrypt,2026-05-05)。
为什么重要:交易所资产归还义务的法律边界
冻结是合规义务,归还是什么?
从反洗钱和KYC的角度看,Coinbase冻结疑似非法资金的操作没有问题——事实上,这是AML合规框架下交易所应尽的义务。根据美国《银行保密法》(Bank Secrecy Act)及FinCEN的监管要求,金融机构在发现可疑交易时必须采取行动,冻结资产是其中一环。
但问题的关键在冻结之后:AML框架明确规定了什么情况下要冻结,却没有明确什么情况下要解除冻结并归还给原主。这就留下了一个巨大的灰色地带。Coinbase面对的是一个已知的受害者、一条可追溯的链上路径、以及一笔已经被自己控制了一年半的资金——这种情况下坚持”等法院命令”,到底是审慎合规,还是把法律不确定性当作不行动的理由?
“法院命令”逻辑:是风险规避,还是推卸责任?
站在Coinbase的角度,没有法院命令就不归还,背后有其现实考虑:
第一,所有权确认风险。即便链上证据指向某人是受害者,交易所本身没有司法裁判权去裁定谁才是资产的合法所有人。如果贸然把资产转给一个人,之后出现另一个主张权利人,Coinbase将面临法律责任。
第二,AML合规风险。在缺乏法律文书支持的情况下主动释放冻结资产,可能在监管审查中被视为反洗钱内控存在漏洞。
第三,先例效应。一旦Coinbase在没有法院命令的情况下对某一案件做出归还决定,将形成先例,未来所有类似请求都可能以此为据要求同等对待。
这些考量听起来不无道理。但对受害者来说,这无异于”你的钱就在我手里,我承认是你的,但我不还,你去告我”——这在民事救济层面构成了一个实质上的举证成本转嫁问题。
怎么看:钓鱼攻击场景中的交易所法律责任边界
- 交易所不是警察,但也不应该是黑箱:Coinbase有权冻结可疑资金,但冻结后的处理流程需要更高的透明度。受害者等了18个月才被迫提起诉讼,这中间的拖延是否合理?
- KYC/AML是双刃剑:这套框架赋予交易所冻结权力,却没有配套设计受害者的救济通道。监管框架在设计时更多考虑的是”如何阻止坏人”,而”如何帮助好人拿回自己的钱”并不是优先议题。
- “等法院命令”不总是合理选项:当链上证据清晰、交易所已确认资金来源、受害方身份可核验时,司法程序的必要性本身值得商榷。把一切推给法院,在效率和时间成本上对受害者都是不公正的。
- 钓鱼攻击的法律归责逻辑正在演化:传统法律框架下,银行在客户遭遇诈骗后有一定程度的保护义务。但加密交易所的法律地位介于”银行”和”技术平台”之间,这种模糊性使得受害者在寻求救济时缺乏明确的法律工具。
- 跨司法管辖区增加了复杂性:原告在波多黎各,诉讼在旧金山联邦法院提起,黑客可能在全球任何地方——链上资产的跨境属性使得单一司法管辖区的救济手段天然受限。
一句话总结
这是一起看似简单的案件——丢了钱、找到了钱、钱在Coinbase手里——但实际上戳中了加密行业最核心的法律基础设施缺失:在KYC/AML已经被严格执行的今天,受害者的资产返还通道,仍然是一块无人认领的空白地带。Coinbase”等法院命令”的表态或许在法理上站得住,但当合规工具只保护平台而不保护用户时,这个行业的信任根基就会出现裂缝。
来源:
Sander Lutz, “Crypto Whale Sues Coinbase Alleging Exchange Refuses to Return Stolen Funds”, Decrypt, 2026年5月5日。
https://decrypt.co/366823/crypto-whale-sues-coinbase-alleging-exchange-refuses-return-stolen-funds
