Coinbase指示用户遵循与诈骗者从钱包提取资金相同的"愚蠢"步骤

Coinbase 正指示部分 Commerce 用户在 3 月 31 日迁移截止日期前进行助记词恢复流程。

该问题存在于 Coinbase 关闭旧版 Commerce 钱包的计划中。在其过渡指南中,Coinbase 表示在 Commerce 钱包中持有资金的用户必须在 2026 年 3 月 31 日之前提取资金,届时 Commerce 门户和提款工具将无法访问。

对于已将钱包备份到 Google Drive 的用户,Coinbase 表示他们应该前往 Commerce 仪表板,打开设置和安全,显示 12 个单词的助记词,并使用 withdraw.commerce.coinbase.com 上的提款工具。

Coinbase 表示,该流程对于收到 Bitcoin 或其他基于 UTXO 资产的商家尤为重要,因为余额在标准钱包中可能难以显示。

助记词是自托管钱包的主恢复密钥。Coinbase 自己的钱包文档将其描述为只有用户才能访问的 12 个单词恢复短语。

谁控制该短语,谁就控制了对钱包及其资金的访问权限。失去它,资金访问权限就会丢失。泄露它,钱包中的资金就会被盗。

这就是矛盾难以忽视的地方。Coinbase 的钱包指南告诉用户永远不要分享恢复短语,称公司永远不会要求提供,并添加了一个单独的警告:"永远不要将其粘贴到任何网站。"

然而 Commerce 过渡指南却告诉一些用户要显示相同的短语,作为 Coinbase 官方托管恢复路径的一部分。

该公司的解释是 Commerce 钱包是自托管的,Coinbase 无法访问短语或资金,这使得用户需要在关闭前负责恢复。

安全研究人员看到了网络钓鱼模板

尽管如此,Coinbase 的这一要求已经为许多安全专家敲响了警钟,他们批评该平台教导用户接受的行为。

区块链安全公司 SlowMist 创始人余弦表示,他对 Coinbase 会托管一个要求用户以明文输入助记词来恢复资产的页面感到困惑,并表示这种做法非常不安全,以至于他最初怀疑该子域名是否被黑客入侵。

该警告强化了对该页面的核心批评:官方品牌、紧急截止日期和助记词工作流程结合成攻击者经常模仿的格式。

与此同时,SlowMist 首席信息安全官 23pds 在 X 上写道,该流程存在"两个问题"。首先,他说:

其次,他指出该网站存在缺陷的网站地图,可能让攻击者复制前端并在外观相似的域名上部署近乎克隆的版本,为已经准备好信任 Coinbase 版本的用户创造强大的网络钓鱼诱饵。

此外,区块链调查员 ZachXBT 更直接地进一步强调了这一点。在 X 上的一篇帖子中,他写道:

考虑到网络钓鱼和社交工程诈骗仍然是针对加密行业最有效的攻击载体之一,他们的担忧并不令人意外。

去年,ZachXBT 透露 Coinbase 用户每年因社交工程诈骗损失超过 3 亿美元。

这说明了为什么 Commerce 流程会引发如此强烈的反应。安全团队花了多年时间教导用户,任何涉及助记词的请求都是诈骗的开始。

然而,Coinbase 拥有的页面处理相同的短语可能会改变用户被教导依赖的视觉和行为线索。

Coinbase 的违规历史笼罩着这场辩论

与此同时,安全辩论的冲击力更大,因为 Coinbase 已经在处理过去社交工程事件的后续影响。

2025 年 5 月,Coinbase 报告称网络犯罪分子贿赂了一组海外支持人员,窃取客户数据进行社交工程攻击。

这家由 Brian Armstrong 领导的交易所表示,攻击者获得了不到 1% 月度交易用户的账户数据,并使用这些数据编制他们可以联系的客户名单,假装来自该平台。

该公司表示没有私钥被泄露,并承诺向被欺骗向攻击者发送资金的客户进行补偿。

除此之外,该公司还有更早的违规记录。

Coinbase 在其 2024 年年度报告中表示,2021 年第三方获得了至少 6,000 名客户的登录凭据和个人信息,并使用这些详细信息利用账户恢复流程中的漏洞。该公司表示已向受影响的客户补偿约 2,510 万美元。

这段历史提高了任何要求用户在实时网页上处理助记词的官方工作流程的风险。

安全研究人员警告说,这种将助记词输入正常化的品牌界面将进一步助长网络钓鱼和冒充攻击,这些仍然是该行业最有效的攻击方法之一。

文章《Coinbase 指示用户遵循与诈骗者从钱包提取资金相同的"愚蠢"步骤》首次出现在 CryptoSlate 上。