Исследователи безопасности выразили обеспокоенность по поводу страницы Commerce, связанной с Coinbase, которая предлагала пользователям вводить фразы для восстановления кошелька, предупреждая, что такой поток может нормализовать поведение, обычно используемое в фишинговых мошенничествах.
Страница получила широкое распространение в социальных сетях после того, как ее отметил основатель платформы безопасности блокчейна SlowMist Юй Сянь, широко известный как Cos.
«Я действительно озадачен, почему у Coinbase появилась такая страница, на которой пользователи напрямую просят ввести мнемонические фразы в виде открытого текста для восстановления активов», — написал Ю в посте X в среду, добавив: «Такая небезопасная практика просто невероятна».
Coinbase еще не решила эту проблему публично. Компания сообщила Cointelegraph, что изучает этот вопрос, но не предоставила дополнительной информации. Cointelegraph также обратился к Юй Сяню за комментариями, но не получил ответа от публикации.
Фразы восстановления дают полный контроль над кошельком самостоятельного хранения и никогда не должны передаваться третьим лицам, агентам службы поддержки или ненадежным веб-сайтам. Обычно они используются только в процессах восстановления доверенного кошелька или импорта.
Coinbase назвала поддомен коммерческим «инструментом вывода средств».
По словам эксперта по блокчейну ZachXBT, рассматриваемая страница упоминалась в справочном руководстве Coinbase, связанном с продуктом Commerce.
В руководстве, которое сейчас, по всей видимости, было удалено, как сообщается, предлагалась возможность пользователям восстановить средства, импортировав свою исходную фразу в совместимый кошелек, такой как Coinbase Wallet или MetaMask. Он также направил пользователей к инструменту вывода средств, размещенному на том же субдомене, который привлек внимание.
В справочной документации также подчеркивается, что кошельки Commerce являются самостоятельными, то есть Coinbase не имеет доступа к исходным фразам пользователей и не может восстановить средства в случае их потери.
«Значит, по сути, у Coinbase есть официальная страница, которую злоумышленники могут использовать для нацеливания на пользователей Coinbase с помощью социальной инженерии с использованием исходных фраз, если захотят?»ZachXBT написал на X.
Coinbase советует не вставлять начальные фразы на любой веб-сайт
Остается неясным, была ли рассматриваемая страница результатом технической ошибки или другой проблемы на стороне Coinbase.
В другом руководстве Coinbase настоятельно рекомендовала пользователям никогда не вставлять начальные фразы на какой-либо веб-сайт.
Во вторник Coinbase предупредила, что мошенники выдают себя за службу поддержки клиентов по телефону или через Интернет, чтобы украсть данные для входа и коды подтверждения. Компания заявила, что никогда не пойдет на контакт, перенаправив пользователей на свои официальные каналы на X и Reddit.
