一些安全专家对Coinbase关联的Commerce网站页面提出了质疑,该页面似乎在引导用户输入钱包恢复短语。专家认为,这种做法可能使用户习惯于进行潜在的钓鱼攻击。
在区块链安全平台慢雾的创始人余弦广泛讨论之后,该页面迅速在网络上引起广泛关注。
余弦在X平台上发文称:“我对Coinbase为何会存在这样一个页面感到困惑,它直接要求用户提供明文助记词来恢复资产,这种做法简直让人难以置信。”
截至目前,Coinbase尚未对此事发表官方声明。当被Cointelegraph询问时,Coinbase表示正在对此事进行调查,但没有提供进一步的信息。
助记词是用户控制自托管钱包的关键,不应与第三方、客服人员或不可信网站分享。这些短语通常仅在安全的恢复或导入流程中使用。
Coinbase将Commerce的子域称作“提现工具”。
区块链调查员ZachXBT指出,Coinbase的Commerce产品帮助指南中提到了相关页面。
据报道,该指南已被移除,此前曾向用户说明如何通过导入助记词至Coinbase Wallet或MetaMask等兼容钱包来恢复资金。同时,指南还引导用户使用同一子域名下的提现工具,这也是此次争议的焦点。
该文档明确指出,Commerce钱包属于自托管类型,Coinbase无权获取用户的助记词,也无法在丢失后帮助恢复资金。
ZachXBT在X平台上质疑道:“难道Coinbase真的有一个官方页面,使得攻击者可以利用社会工程学手段通过助记词锁定Coinbase用户?”
Coinbase提醒用户,绝不要在任何网站上输入助记词。
目前还不清楚该页面的出现是出于技术失误还是Coinbase其他方面的原因。
在另一份指南中,Coinbase曾明确警告用户不要将助记词粘贴到任何网站。
Coinbase周二发出警告,称有诈骗者冒充客服通过电话或在线方式企图获取用户的登录信息及验证码。该公司强调绝不会主动联系用户,并建议用户通过其官方渠道获取帮助。
附:Crypto.com裁员12%,加速推动人工智能发展