交易员在考虑自营交易风险时,通常会想到杠杆、回撤和清算。但大多数人忽略了他们为了获得报酬而填写的KYC表格中隐藏的风险。2025年末,Topstep遭受了两起独立的网络攻击,导致交易员的姓名、社会安全号码和政府身份信息泄露。
目前已提起集体诉讼。这件事引出了一个问题,每个拥有已完成KYC验证账户的资金交易员现在都应该问问自己。
事件分为两起,两起事件都需要了解清楚。
第一次是2025年9月8日发生的DDoS攻击。经过全面的内部审查,Topstep于2025年12月3日发现,在9月8日至10月16日期间,某些包含个人身份信息的文件可能遭到未经授权的访问。受影响的交易员在2026年1月初收到信函,确认他们的姓名和社保号码可能已被泄露。
第二次攻击是2025年12月14日发生的撞库攻击,该攻击于次日被发现。Topstep最初的公开回应试图将此次事件归咎于交易员重复使用其他被泄露网站的密码——这种说法招致了交易界的强烈批评,并导致了目前正在进行的法律诉讼。
Topstep采取的应对措施包括:屏蔽可疑IP流量、强制重置密码、强制启用此前可选的多因素身份验证,以及向受影响用户提供免费的身份盗窃保护服务。目前,集体诉讼正在积极进行中。
我们想直截了当地谈谈大多数关于此事件的报道都避而不谈的一点。
Topstep并非唯一存在过失的公司,它只是被抓到的那家。更广泛的问题是结构性的:所有要求进行KYC验证的自营交易公司都持有包含政府颁发的身份证件、以及在很多情况下包含社会安全号码或税务识别号码的数据集。这些数据存储在服务器上,而这些服务器正是攻击目标。
自营交易行业发展迅猛,但对其数据安全基础设施的监管却相对不足。据我们观察,该行业的大多数公司并非受监管的金融机构,无需遵守强制性的安全标准。它们是私营公司,在技术安全方面的投入水平参差不齐。当它们为了满足支付处理要求而收集身份证明文件时,便会造成风险,而交易员在提交这些文件前很少会考虑评估其安全性。
问题不在于Topstep是否应该做得更好。每个获得资金支持的交易员在下次提交KYC申请之前都应该问自己:这家公司掌握了我的哪些数据?这些数据存储在哪里?我有什么证据证明这些数据得到了充分的保护?
从我们分析的案例来看,加密货币自营交易者面临的这种风险比期货或外汇自营交易者更为严重,原因有二。
首先,加密货币自营公司在全球范围内运营,监管力度有限。目前尚无类似于支付处理商的PCI-DSS标准或注册期货公司网络安全要求的强制性安全标准。因此,数据保护的充分性标准实际上取决于各公司自身的判断。
其次,加密货币自营交易的支付结构通常要求在提现阶段而非注册时进行身份验证。这意味着交易者有时会在已经开始交易并有盈利待提现后才提交 KYC 文件——此时他们动力十足,根本无暇顾及公司的安全措施。
Mubite的挑战规则并不要求在注册或挑战阶段进行KYC验证。身份验证仅在提款阶段进行,这意味着敏感身份数据仅从一小部分用户(即通过挑战并申请提款的交易者)收集,而不是像其他平台那样预先收集所有注册用户的信息。这种更窄的曝光窗口与那些在交易者进行任何交易之前就收集文件的公司相比,是一个显著的结构性差异。
如果您已向任何自营公司提交了 KYC 文件,无论该公司是否披露过任何安全事件,我们都建议您采取以下步骤:
如果您曾向任何自营公司提交过您的社会安全号码 (SSN),请注册信用监控服务。免费选项包括信用机构提供的监控工具,许多美国公司在发生数据泄露事件后都必须依法提供此类服务。
在所有与交易平台、支付处理商或用于交易活动的电子邮件地址关联的账户上启用多因素身份验证。撞库攻击之所以能够得逞,正是因为交易者会在不同平台上重复使用密码。
查看持有您数据的公司是否已发布安全或隐私政策,说明身份文件的存储、加密和访问方式。如果该信息未发布,请在提交文件前直接询问。
密切关注您在任何要求进行 KYC 验证的自营交易公司的账户,特别是有关付款请求和账户设置更改的异常活动。
保护已注资交易账户的风险管理原则同样适用于用于注资该账户的个人数据。您不会在没有止损的情况下进行交易。同样,在不了解身份证明文件背后的保护措施的情况下,切勿轻易交出这些文件。
Share it with your community
