Дослідники з питань безпеки висловили занепокоєння щодо сторінки Commerce, пов’язаної з Coinbase, яка, здавалося, пропонувала користувачам ввести фрази відновлення гаманця, попереджаючи, що такий потік може нормалізувати поведінку, яка зазвичай використовується під час фішингового шахрайства.
Сторінка широко поширилася в соціальних мережах після того, як засновник платформи безпеки блокчейнів SlowMist Ю Сянь, широко відомий як Кос, позначив її.
«Мене справді дивує, чому Coinbase має таку сторінку, на якій користувачам пропонується ввести свої відкриті мнемонічні фрази для повернення активів», — написав Ю в дописі X у середу, додавши: «Така небезпечна практика просто неймовірна».
Coinbase ще не виступила з цією проблемою публічно. Компанія повідомила Cointelegraph, що вивчає це питання, і не надала додаткової інформації. Cointelegraph також звернувся до Ю Сяня за коментарем, але не отримав відповіді від публікації.
Фрази відновлення дають повний контроль над гаманцем із самоохороною, і їх ніколи не можна повідомляти третім особам, агентам служби підтримки клієнтів або ненадійним веб-сайтам. Зазвичай вони використовуються лише для відновлення надійного гаманця або потоків імпорту.
Coinbase назвала субдомен комерційним «інструментом виведення коштів»
За словами детектива блокчейну ZachXBT, сторінка, про яку йде мова, згадується в довідковому посібнику Coinbase, пов’язаному з продуктом Commerce.
Повідомляється, що посібник, який тепер, здається, видалено, окреслив можливість для користувачів повернути кошти, імпортувавши початкову фразу в сумісний гаманець, такий як Coinbase Wallet або MetaMask. Він також спрямовував користувачів до інструменту виведення коштів, розміщеного на тому ж субдомене, який привернув увагу.
У довідковій документації також підкреслюється, що гаманці Commerce є самостійними, тобто Coinbase не має доступу до початкових фраз користувачів і не може відновити кошти, якщо вони втрачені.
«Тож, по суті, у Coinbase є офіційна сторінка, яку актори можуть використовувати для націлювання на користувачів Coinbase за допомогою соціальної інженерії початкових фраз?»ZachXBT написав на X.
Coinbase рекомендує не вставляти вихідні фрази на будь-який веб-сайт
Залишається незрозумілим, чи стала сторінка, про яку йде мова, результатом технічної помилки чи іншої проблеми з боку Coinbase.
В іншому посібнику Coinbase наполегливо радить користувачам ніколи не вставляти вихідні фрази на будь-який веб-сайт.
У вівторок Coinbase попередила, що шахраї видають себе за службу підтримки по телефону або в Інтернеті, щоб викрасти дані для входу та коди підтвердження. Компанія заявила, що ніколи не звертатиметься до неї, спрямовуючи користувачів на свої офіційні канали на X і Reddit.
