安全研究人員對一個與 Coinbase 相關的 Commerce 頁面提出警告,該頁面似乎要求用戶輸入錢包助記詞,並警告此類流程可能會使常見於網路釣魚詐騙的行為變得普遍化。
此頁面在社群媒體上廣泛流傳,起因是區塊鏈安全平台 SlowMist 創辦人余憲(Yu Xian),也就是知名的 Cos,將其標記出來。
「我真的很不解為何 Coinbase 會有這樣的頁面,直接要求用戶輸入明文助記詞來進行資產恢復,」余憲週三在 X(前身為 Twitter)上寫道,並補充:「這種不安全的做法簡直令人難以置信。」
Coinbase 尚未公開回應此問題。該公司告訴 Cointelegraph 正在調查此事,未提供額外資訊。Cointelegraph 也試圖聯繫余憲評論,但截止發稿時尚未收到回覆。
助記詞能完全控制自我監管(self-custody)錢包,絕不可與第三方、客服代理或不受信任的網站分享。助記詞通常僅在受信任的錢包恢復或匯入流程中使用。
根據區塊鏈偵探 ZachXBT 的說法,該頁面在 Coinbase 與其 Commerce 產品相關的說明指南中被提及。
該說明指南現已疑似被下架,據稱指南中提到用戶可以透過將助記詞匯入兼容錢包(如 Coinbase Wallet 或 MetaMask)來找回資金。指南同時引導用戶使用同一子網域下的提領工具,該工具也引發外界關注。
說明文件還強調,Commerce 錢包為自我監管型,意味著 Coinbase 無法存取用戶的助記詞,且助記詞一旦遺失,Coinbase 無法幫助用戶找回資金。
相關話題:OpenClaw 開發者遭到承諾免費「CLAW」代幣的釣魚詐騙攻擊
「所以基本上 Coinbase 有一個官方頁面存在,攻擊者如果想的話可以用它透過助記詞社交工程手法來針對 Coinbase 用戶?」ZachXBT 在 X 上寫道。
目前尚不清楚該頁面是否因技術錯誤或 Coinbase 方面的其他問題導致。
在另一份指南中,Coinbase 強烈建議用戶絕對不要將助記詞貼到任何網站上。
週二,Coinbase 警告詐騙者假冒客服在電話或線上詐取登錄資訊與驗證碼。公司表示絕不會主動聯繫用戶,並引導用戶前往其官方 X 與 Reddit 頻道尋求支援。
雜誌精選:比特幣的「敘事真空」、以太坊如今不可避免:Trade Secrets