安全研究人员对一家与Coinbase相关的Commerce页面表示担忧,该页面似乎引导用户输入钱包回暖短语。专家警告称,这一流程可能让用户习惯于在钓鱼骗局中常被利用的行为。
该页面在被区块链安全平台慢雾创始人余弦广泛关注后,迅速在社交媒体上传播。
“我真的很困惑,为什么Coinbase会有这样一个页面,直接要求用户输入明文助记词进行资产回暖,”余弦周三在X平台发文称,并补充道:“如此不安全的做法简直令人难以置信。”
Coinbase尚未就此事公开回应。公司方面对Cointelegraph表示正在调查此事,但未提供更多信息。Cointelegraph也曾就此联系余弦,截至发稿尚未收到回复。
回暖短语赋予了用户对自托管钱包的完全控制权,绝不应与第三方、客户服务人员或不受信任网站分享。通常情况下,这些短语只在受信任的钱包回暖或导入流程中使用。
Coinbase将该子域称为Commerce“提现工具”
据区块链调查员ZachXBT称,相关页面在Coinbase关于其Commerce产品的帮助指南中被提及。
据悉,该指南现已下架,曾介绍用户可通过将助记词导入Coinbase Wallet或MetaMask等兼容钱包来回暖资金。此外,还引导用户使用同一子域名下的提现工具,这也成为舆论关注焦点。
该帮助文档也明确指出,Commerce钱包为自托管,Coinbase无法获取用户助记词,也无法在遗失后回暖资金。
“所以,Coinbase实际上有一个官方页面,攻击者如果希望可以通过社会工程学利用助记词来锁定Coinbase用户?”ZachXBT在X平台写道。
Coinbase建议用户切勿将助记词粘贴进任何网站
目前尚不清楚该页面是否因技术失误或Coinbase方面的其他原因而出现。
在另一份指南中,Coinbase曾明确建议用户绝不要将助记词粘贴到任何网站。
周二,Coinbase警告称,有诈骗分子冒充客服通过电话或线上尝试窃取用户登录信息及验证码。公司表示绝不会主动联系用户,并引导用户通过其在X和Reddit的官方渠道获取帮助。
