安全研究人员对Coinbase Commerce页面发出警报,该页面似乎提示用户输入钱包恢复短语。这一事件重新点燃了关于利用助记词流程可能被正常化的担忧,这种行为在钓鱼攻击中经常被利用,尤其是在与可信平台相关联时。
争议始于区块链安全公司SlowMist的创始人、在安全圈内具有影响力的余贤在X上引起关注。他质疑为何由Coinbase托管的页面会索要明文助记词以进行资产恢复,称此做法是不可原谅的安全漏洞。
Coinbase尚未公开说明该页面的来源,除了表示正在审查此事。该公司告诉Cointelegraph,他们正在调查此问题,但尚未提供更多信息。截止发稿时,余贤未予回应,Cointelegraph也未收到他方面的评论。
在加密社区中,助记词被视为自我托管钱包的钥匙。用户若分享助记词,可能将控制权交给攻击者,因为这些短语赋予完全访问兼容钱包中资产的权限。指导原则依然明确:切勿向第三方、客服或不可信网站披露助记词。
来源:余贤(Cos)
Coinbase提及了该子域名作为“提现工具”
包括ZachXBT在内的加密侦查社区成员指出,该页面在Coinbase的公开帮助文档中被提及,涉及其Commerce产品。ZachXBT指出,该指南似乎描述了一种通过导入助记词到兼容钱包(如Coinbase Wallet或MetaMask)来恢复资金的方法,指向同一子域名上的一个提现工具,引发关注。
这一说法得到了Coinbase自身帮助资料中的陈述的支持,资料中描述了自我托管钱包——意味着Coinbase无法访问助记词,也无法在资产丢失时进行恢复。该文档随后引发了关于此类指导与观察到的提示输入助记词页面是否一致的疑问。
“也就是说,Coinbase实际上有一个官方页面,攻击者可以利用它通过助记词社会工程攻击Coinbase用户,如果他们想的话?”
ZachXBT在X上分享的这句话,强调了利用官方路径进行钓鱼的潜在可能性——如果该页面被证明是真实的或配置错误。这一事件处于用户教育、平台信任与自我托管流程日益复杂的交汇点。
为何这对用户和开发者重要
助记词是自我托管安全的核心。一页随意请求此类凭证,即使在听起来官方的背景下,也违背了钱包提供商和安全研究人员广泛倡导的最佳实践。对用户而言,这增加了社会工程攻击的风险,这些攻击结合了合法品牌和欺骗性提示。对开发者和交易所来说,此事件凸显了一个微妙的平衡:在提供恢复和互操作性功能的同时,避免让用户暴露于新的攻击面。
自我托管钱包让用户可以直接控制私钥和恢复短语,但伴随而来的是责任。如果一个可信的入口无意中或误导性地请求助记词,用户可能会在资产风险或丢失时选择配合。此事件因此引发了关于如何设计既用户友好又抗操控的恢复流程的更广泛讨论。
Coinbase的回应与未来路径
Coinbase已确认此事,并表示正在调查,但尚未公开披露细节。公司此前曾建议用户不要将助记词粘贴到任何网站,并强调其Commerce钱包是自我托管的——意味着Coinbase无法访问助记词,也无法在资产丢失时进行恢复。此次事件引发了关于该页面是否为官方功能、配置错误或是Commerce相关文档中的安全漏洞的疑问。
此外,Coinbase一直强调警惕钓鱼和社会工程攻击,指出骗子可能冒充客服通过电话或线上渠道窃取登录信息和验证码。公司敦促用户通过X和Reddit的官方渠道寻求支持。局势的发展仍存在诸多不确定性:
该页面是技术错误、配置错误的子域名,还是试图引导用户进行助记词恢复的真实尝试?
提及的帮助指南是否反映了当前的产品流程,还是已被修改或删除以应对审查?
Coinbase将采取哪些措施防止未来出现类似提示?是否会更新Commerce文档以明确关于助记词的最佳实践?
来自更广泛安全环境的背景
钓鱼和社会工程攻击在加密领域依然普遍,攻击者不断调整策略,利用熟悉的品牌和服务进行诱骗。例如,OpenClaw钓鱼事件就展示了攻击者如何结合“免费代币”的信息和看似真实的界面来诱骗受害者。在这种环境下,任何涉及助记词的功能——无论是作为恢复流程的一部分还是跨钱包导入——都需要格外严格的安全措施和清晰的用户教育。Cointelegraph此前报道,安全研究人员呼吁对助记词暴露保持警惕,强调尽可能将恢复数据保持私密和离线的重要性。
读者接下来应关注的内容
未来几天或几周,可能会揭示Coinbase如何解决关于Commerce页面及其恢复流程的疑问。关注点包括:
Coinbase发布的官方声明,详细说明调查结果以及对Commerce文档或用户流程的任何变更。
关于子域名提示是否为操作中的、试验性的或与更广泛的帮助生态系统相关的配置错误的澄清。
钱包提供商和安全研究人员关于安全恢复实践的持续指导,特别是针对与交易所支持服务相关的自我托管设置。
随着行业对这一事件的反应,强调了一个核心原则:助记词仍然是高度敏感的资产,即使是看似合法的界面也必须保持警惕。未来的关键在于制定更清晰的恢复机制,既能保护用户控制权,又能防止社会工程攻击的发生。
本文最初发表在Crypto Breaking News,标题为“Coinbase Commerce prompts seed phrases, raising security concerns”。
