今日最大瓜，Coinbase KYC 数据大量泄露，中文区还没见到相关讨论。行业人士估算这次事件最少给该交易所造成数亿美元的损失，并沉重打击其商业声誉。 关于密码学和数字身份欺诈，简单说几点： 1. 交易所等各类虚拟资产服务机构手里的 KYC 数据基本就是定时炸弹。一旦出事，轻则伤筋动骨，重则关门大吉。 2. 不少金融机构还在明文存储包括用户 KYC 数据在内的敏感数据。/耸肩 3. 诸如 AES256 这样的加密算法，已经可以很好的保护相关敏感数据。一般的黑客组织绝无可能破解此类加密算法。但问题是，他们根本无需破解，因为很容易在同一台服务器上找到 password.txt 文件。 4. 安全可靠又灵活方便的加密解密与密钥管理系统的设计与实现是非常非常困难的事情。能够用简单安全的用户界面，让公司非技术类高管参与加密数据的权限管理，同时不引入任何额外的安全风险，更是难上加难。 5. 用户 KYC 数据被盗取之后，犯罪分子会利用各种手段对用户实施诈骗，以骗取其加密资产。 6. 绝大多数诈骗能够成功的原因是：身份欺诈。换句话说，如果用户能够以非常简单有效的方式识别给他们发邮件、发短信、打电话的对象的真实身份，那么 99% 的诈骗都不会发生。 7. 防止诈骗和盗取数据的工具就好像是最新款的防弹衣或者安全气囊。出事之前没人会关心，出事之后关心也晚了。 8. 数据加密算法、安全方便的密钥管理，数字身份防欺诈是Web3/区块链技术最好的应用场景之一。遗憾的是专注此类场景的公链如 ICP，一般都得不到什么重视。 最后，就当做公益也好，我们仍然会在这个方向持续发力。