Coinbase子域名页面被指要求用户输入助记词 引发安全担忧
安全研究人员发现一个与Coinbase关联的Commerce页面疑似要求用户输入钱包助记词,引发关于钓鱼攻击风险的担忧。该页面被区块链安全平台SlowMist创始人Yu Xian(Cos)在社交平台X上指出,称其行为“令人震惊”。
Coinbase尚未公开回应,仅表示正在调查。该页面曾被引用在已删除的Coinbase帮助文档中,作为Commerce产品的资金提取工具。文档曾指导用户通过导入助记词至兼容钱包(如Coinbase Wallet或MetaMask)来恢复资金,并指向同一子域名下的提款工具。
尽管Coinbase强调其Commerce钱包为自托管,公司不掌握用户助记词,也无法在用户丢失助记词时恢复资金,但该页面的存在可能被恶意行为者利用,进行针对Coinbase用户的社交工程攻击。区块链安全分析师ZachXBT在X上表示:“这本质上是Coinbase官方提供了一个攻击者可以利用的页面。”
此外,Coinbase在其他官方指南中明确警告用户,切勿在任何网站输入助记词。公司还于周二发出警告,称有诈骗者冒充客服人员通过电话或在线渠道窃取登录信息和验证码,强调其官方不会主动联系用户,建议通过其在X和Reddit的官方渠道获取帮助。
Cointelegraph已联系Yu Xian和Coinbase寻求进一步评论,截至发稿时未获回应。
编辑点评
此次事件凸显了即便在主流加密货币平台中,用户资产安全仍面临系统性风险。Coinbase作为全球领先的加密交易平台,其子域名页面要求用户输入助记词的行为,无论出于技术失误还是设计缺陷,都可能被恶意行为者利用,成为钓鱼攻击的合法化诱饵。这不仅挑战了用户对平台的信任,也暴露了加密行业在用户教育与系统安全设计之间的断层。在自托管钱包日益普及的背景下,平台方必须严格避免任何可能被解读为“官方授权”的敏感操作流程。未来,此类事件或推动行业在安全协议、用户界面设计和风险提示机制上进行系统性升级,以防止类似漏洞被滥用。同时,这也提醒全球用户在处理助记词等核心密钥时,必须保持高度警惕,避免任何形式的第三方输入。