Coinbase Commerce 的助記詞提領頁面正遭受資安研究人員的強烈批評,他們警告此舉會在 3 月 31 日關閉期限前幾天,將輸入 12 字助記詞到網站的行為正常化。
Coinbase Commerce(該公司的商戶支付產品)旗下的一個子網域頁面因誘導用戶直接以純文字形式將其 12 字助記詞(又稱助憶詞或恢復詞)輸入網頁表單,遭到頂尖區塊鏈資安研究人員的嚴厲批評。該爭議於週三爆發,並在週四早上愈演愈烈,正值 Coinbase 計劃於 2026 年 3 月 31 日全面終止 Commerce,作為 Coinbase Business 平台整合計劃的一部分,這意味著數萬商戶必須在短時間內完成資金提領。
問題頁面位於 withdraw.commerce.coinbase.com/seed-phrase,曾被 Coinbase Commerce 現已刪除的說明文件提及,指示用戶透過將恢復詞匯入 Coinbase Wallet、MetaMask 等相容錢包來提領資金。SlowMist 創辦人余憲(網名 Cos)稱此行為顯示該業界巨頭「難以置信的安全意識缺失」,他也接獲多位用戶舉報該頁面。鏈上調查員 ZachXBT 也獨立揭露該頁面,警告其存在使 Coinbase 用戶成為社交工程攻擊目標的直接攻擊面。
問題不只在頁面本身。SlowMist 的資安長 23pds 進一步指出該頁面網站地圖結構存在缺陷,使惡意人士輕易複製。攻擊者可利用 ResourcesSaver 等工具下載前端代碼,部署外觀一模一樣的釣魚網站;特別是若搭配與 Coinbase 相似的偽造網域,更足以欺騙經驗豐富的用戶。
根本問題在於這種行為的正常化。加密貨幣業界所有正當的安全協議都建立在一個不可妥協的原則上:助記詞絕不可在任何網站、表單或應用程式上輸入——即使是官方網站也不例外。助記詞是錢包的主密鑰,擁有它的人就掌控資金。Coinbase 建構了一條要求用戶在瀏覽器中輸入助記詞恢復資金的流程,無論是有意為之還是疏忽,都在訓練用戶接受詐騙者常利用的行為模式。Coinfomania 也注意到該工具甚至建議用戶可先從 Google Drive 複製助記詞,進一步增加風險。
ZachXBT 的警告更具分量,因其過去曾揭露 Coinbase 支援假冒詐騙,導致約 200 萬美元加密資產被盜。該詐騙正是透過用戶信任 Coinbase 品牌介面來誘騙。Commerce 助記詞頁面成為一個現成、規模可能更大的後續攻擊模板。
截至週四,Coinbase 對批評尚未公開回應,儘管多次請求發表評論。公司提供了替代提領方式,包括研究人員認為較安全的獨立 Commerce 提領工具,但並未移除或修改助記詞頁面。距離 Commerce 永久停用還剩 12 天,交易所面臨迅速升高的壓力。作為加密業界最知名的上市公司,若因自身遷移工具引發大規模釣魚事件,其聲譽風險可謂至高無上。