Coinbase 指示用戶遵循與詐騙者從錢包中提取資金相同的「愚蠢」步驟

Coinbase 正在引導部分 Commerce 用戶進行助記詞恢復流程，截止日期為 3 月 31 日的遷移期限之前。

這個問題出現在 Coinbase 關閉舊版 Commerce 錢包的計劃中。在其過渡指南中,Coinbase 表示擁有 Commerce 錢包資金的用戶必須在 2026 年 3 月 31 日之前提取資金,屆時 Commerce 入口網站和提款工具將無法訪問。

對於已將錢包備份到 Google Drive 的用戶,Coinbase 表示他們應前往 Commerce 儀表板,打開設定和安全性,顯示 12 個單詞的助記詞,並使用 withdraw.commerce.coinbase.com 的提款工具。

Coinbase 表示,這個流程對於收到 Bitcoin 或其他基於 UTXO 資產的商家尤其重要,因為否則餘額可能難以在標準錢包中顯示。

助記詞是自託管錢包的主恢復金鑰。Coinbase 自己的錢包文件將其描述為只有用戶才能訪問的 12 個單詞恢復短語。

誰控制了該短語,誰就控制了對錢包及其資金的訪問權。失去它,就會失去對資金的訪問權。洩露它,錢包中的資金就可能被盜取。

這就是矛盾難以忽視的地方。Coinbase 的錢包指南告訴用戶永遠不要分享恢復短語,表示公司永遠不會要求提供,並添加了單獨的警告:「永遠不要將其貼到任何網站。」

然而,Commerce 過渡指南卻告訴部分用戶要顯示相同的短語,作為 Coinbase 官方託管恢復路徑的一部分。

該公司的解釋是,Commerce 錢包是自託管的,Coinbase 無法訪問短語或資金,這使得用戶在關閉前負責恢復。

安全研究人員看到了網路釣魚範本

儘管如此,Coinbase 的這一要求已為許多安全專家敲響了警鐘,他們批評該平台教導用戶接受其頁面所展示的行為。

區塊鏈安全公司 SlowMist 創辦人余弦表示,他對 Coinbase 會託管一個要求用戶以明文輸入助記詞進行資產恢復的頁面感到困惑,並表示這種做法非常不安全,以至於他最初懷疑該子網域是否被駭客入侵。

這個警告加劇了對該頁面的核心批評:官方品牌、緊急期限和助記詞工作流程結合成攻擊者經常模仿的格式。

同時,SlowMist 首席資訊安全官 23pds 在 X 上寫道,該流程存在「兩個問題」。首先,他說:

其次,他指出該網站的網站地圖存在缺陷,可能讓攻擊者複製前端並在相似網域上部署近乎複製的版本,為已準備好信任 Coinbase 版本的用戶創造強大的網路釣魚誘餌。

此外,區塊鏈調查員 ZachXBT 更直接地強調了這一點。在 X 上的一則貼文中,他寫道:

考慮到網路釣魚和社交工程詐騙仍然是針對加密貨幣行業最有效的攻擊手段之一,他們的擔憂並不令人意外。

去年,ZachXBT 揭露 Coinbase 用戶每年因社交工程詐騙損失超過 3 億美元。

這說明了為什麼 Commerce 流程引發了如此強烈的反應。安全團隊花了多年時間教導用戶,任何涉及助記詞的請求都是詐騙的開始。

然而,Coinbase 擁有的頁面處理相同短語可能會改變用戶被教導依賴的視覺和行為提示。

Coinbase 的資料外洩歷史籠罩著這場辯論

同時,安全辯論的影響更大,因為 Coinbase 已經在處理過去社交工程事件的後續影響。

2025 年 5 月,Coinbase 報告稱網路犯罪分子賄賂了一組海外支援人員,竊取客戶數據用於社交工程攻擊。

這家由 Brian Armstrong 領導的交易所表示,攻擊者獲得了不到 1% 的月度交易用戶的帳戶資料,並利用這些資料編制他們可以聯絡的客戶名單,假裝來自該平台。

該公司表示沒有私鑰被洩露,並承諾償還被騙向攻擊者發送資金的客戶。

除此之外,該公司還有更早的資料外洩記錄。

Coinbase 在其 2024 年年度報告中表示,2021 年第三方獲得了至少 6,000 名客戶的登入憑證和個人資訊,並利用這些詳細資訊利用帳戶恢復流程中的漏洞。該公司表示向受影響客戶償還了約 2,510 萬美元。

這段歷史提高了任何要求用戶在即時網頁上處理助記詞的官方工作流程的風險。

安全研究人員警告,這種使助記詞輸入正常化的品牌介面將進一步助長網路釣魚和冒充攻擊,這些仍然是該行業最有效的攻擊方法之一。

Coinbase 指示用戶遵循詐騙者用來從錢包提取資金的相同「愚蠢」步驟一文首次發表於 CryptoSlate。