Coinbase Commerce تطلب عبارات البذور، مما يثير مخاوف الأمان

(MENAFN- كريبتو بريكينغ) يحذر باحثو الأمن من صفحة على Coinbase Commerce ظهرت وكأنها تطلب من المستخدمين إدخال عبارات استرداد المحفظة. أعادت هذه الحادثة إلى الأذهان المخاوف من أن تدفقًا يستخدم عبارات الأمان قد يطبع سلوكًا يُستغل بشكل روتيني في محاولات التصيد، خاصة عندما يكون مرتبطًا بمنصة موثوقة.

بدأ الجدل بعد أن لفت يو شيان، مؤسس شركة SlowMist للأمن على البلوكشين وشخصية بارزة في دوائر الأمن، الانتباه إلى الصفحة على تويتر. تساءل عن سبب طلب صفحة مستضافة على Coinbase لعبارات تذكيرية نصية لاسترداد الأصول، ووصف الممارسة بأنها خلل أمني غير مقبول.

لم توضح Coinbase علنًا أصل الصفحة، سوى قولها إنها تراجع الأمر. وأخبرت الشركة Cointelegraph بأنها تدرس المشكلة لكنها لم تقدم مزيدًا من المعلومات عند النشر. لم يرد يو شيان على طلبات الصحافة، ولم تتلقَ Cointelegraph تعليقًا منه منذ التواصل الأول.

في مجتمع العملات الرقمية، تعتبر عبارات الأمان مفاتيح لمحفظة الحفظ الذاتي. يعرّض المستخدمون الذين يشاركونها للخطر، حيث تمنح العبارات وصولًا كاملًا للأصول المخزنة في المحافظ المتوافقة. التوجيه واضح: لا تكشف أبدًا عن عبارات الأمان لأطراف ثالثة أو دعم العملاء أو المواقع غير الموثوقة.

ذكرت Coinbase أن النطاق الفرعي هو أداة “سحب” للتجارة

سلط أعضاء مجتمع التحقيق في العملات الرقمية، بما في ذلك ZachXBT، الضوء على أن الصفحة وردت في وثائق المساعدة العامة الخاصة بـ Coinbase حول منتجها Commerce. أشار ZachXBT إلى أن الدليل يبدو وكأنه يصف طريقة للمستخدمين لاسترداد الأموال عن طريق استيراد عبارات الأمان إلى محافظ متوافقة مثل Coinbase Wallet أو MetaMask، مشيرًا إلى أداة سحب مستضافة على نفس النطاق الفرعي التي أثارت التدقيق.

تم تعزيز السرد من خلال تصريحات في مواد المساعدة الخاصة بـ Coinbase، التي تصف المحافظ ذات الحفظ الذاتي — مما يعني أن Coinbase لا تملك حق الوصول إلى عبارات الأمان ولا يمكنها استرداد الأموال إذا ضاعت. أثارت هذه الوثائق تساؤلات حول مدى توافق هذا التوجيه مع الصفحة التي تطلب إدخال عبارات الأمان.

تؤكد هذه العبارة، التي شاركها ZachXBT على تويتر، على إمكانية وجود ثغرة تصيد تستغل مسارًا رسميًا مزعومًا لاسترداد عبارات الأمان، إذا ثبت أن الصفحة شرعية أو تم تكوينها بشكل خاطئ. وتقع الحادثة عند تقاطع تعليم المستخدمين، ثقة المنصة، وتعقيد سير العمل للحفظ الذاتي.

لماذا يهم هذا المستخدمين والمطورين

عبارات الأمان هي محور أمان الحفظ الذاتي. صفحة تطلب هذه البيانات بشكل عادي، حتى في سياق رسمي، تتعارض مع أفضل الممارسات التي يوصي بها مزودو المحافظ والباحثون الأمنيون. بالنسبة للمستخدمين، يرفع الأمر من مخاطر حملات الهندسة الاجتماعية التي تدمج بين العلامة التجارية الشرعية والمطالب الخادعة. بالنسبة للمطورين والبورصات، تبرز الحادثة توازنًا حساسًا: تقديم ميزات الاسترداد والتشغيل البيني دون تعريض المستخدمين لسطح هجوم جديد.

تمكن المحافظ ذات الحفظ الذاتي المستخدمين من السيطرة المباشرة على المفاتيح الخاصة وعبارات الاسترداد، لكن مع ذلك تأتي المسؤولية. إذا ظهرت صفحة موثوقة بشكل غير مقصود أو تم تكوينها بشكل خاطئ، قد يُغرى المستخدمون بالامتثال، خاصة خلال فترات تعرض الأصول للخطر أو الفقدان. لذلك، تثير الحادثة نقاشات أوسع حول كيفية تصميم تدفقات الاسترداد بحيث تكون سهلة الاستخدام ومقاومة للتلاعب.

رد Coinbase والطريق إلى الأمام

أقرت Coinbase بالمشكلة وقالت إنها تدرس الأمر، لكن لم يتم تقديم تفاصيل علنًا. كانت الشركة قد نصحت المستخدمين سابقًا بعدم لصق عبارات الأمان في أي موقع إلكتروني، وأكدت أن محافظ Commerce ذات الحفظ الذاتي — مما يعني أن Coinbase لا يمكنها الوصول إلى عبارات الأمان أو استرداد الأموال إذا ضاعت. تثير الحادثة الحالية تساؤلات حول ما إذا كانت الصفحة ميزة رسمية، أو تكوين خاطئ، أو ثغرة أمنية في وثائق Commerce.

كما أن Coinbase كانت صريحة بشأن تحذيرات التصيد والهندسة الاجتماعية، مشيرة إلى أن المحتالين قد يتظاهرون بدعم العملاء عبر الهاتف أو الإنترنت لجمع بيانات الدخول ورموز التحقق. وحثت المستخدمين على الالتزام بالقنوات الرسمية على تويتر وReddit للدعم. تترك الحالة الحالية العديد من التساؤلات:

هل كانت الصفحة خطأ تقني، أو نطاق فرعي خاطئ، أو محاولة حقيقية لتوجيه المستخدمين نحو استرداد عبارات الأمان؟ هل عكس الدليل المراجع الحالي تدفقات المنتج، أم تم تعديله أو إزالته استجابةً للتدقيق؟ وما الخطوات التي ستتخذها Coinbase لمنع ظهور مطالبات مماثلة مستقبلًا، وهل ستتم تحديثات على وثائق Commerce لتوضيح أفضل الممارسات حول عبارات الأمان؟

السياق من مشهد الأمان الأوسع

لا تزال عمليات التصيد والهندسة الاجتماعية من المخاطر المستمرة في عالم العملات الرقمية، حيث يواصل المهاجمون تكييف خدعهم حول العلامات التجارية والخدمات المألوفة. على سبيل المثال، أظهرت حادثة التصيد OpenClaw كيف يخلط المهاجمون بين رسائل حول “رموز مجانية” وواجهات تبدو أصلية لجذب الضحايا. في هذا المناخ، أي ميزة في النظام البيئي تتعلق بعبارات الأمان — سواء كجزء من سير استرداد أو استيراد عبر محافظ متعددة — تتطلب إجراءات حماية صارمة وتوعية واضحة للمستخدمين. سبق أن غطت Cointelegraph كيف يحث الباحثون الأمنيون على اليقظة ضد كشف عبارات الأمان، مؤكدين على أهمية إبقاء بيانات الاسترداد خاصة و offline قدر الإمكان.

ما الذي يجب أن يراقبه القراء بعد ذلك

ستكشف الأيام والأسابيع القادمة كيف ستعالج Coinbase أسئلة حول صفحة Commerce ومرجعيات سير الاسترداد. تابع:

• التصريحات الرسمية من Coinbase التي توضح نتائج التحقيق وأي تغييرات في وثائق Commerce أو تدفقات المستخدم.
• توضيحات حول ما إذا كانت المطالبة عبر النطاق الفرعي كانت عملية، أو تجريبية، أو تكوين خاطئ مرتبط بالنظام المساعد الأوسع.
• التوجيه المستمر من مزودي المحافظ والباحثين الأمنيين حول ممارسات الاسترداد الآمنة، خاصة لإعدادات الحفظ الذاتي المرتبطة بالخدمات المدعومة من البورصات.

بينما يقيّم القطاع هذا الحادث، فإنه يعزز مبدأ أساسي للمستخدمين والمطورين على حد سواء: تظل عبارات الأمان أصولًا حساسة للغاية، ويجب التعامل مع أي واجهات تبدو شرعية بحذر. ستعتمد الطريق إلى الأمام على آليات استرداد أوضح تحافظ على سيطرة المستخدمين دون فتح فرص جديدة للهندسة الاجتماعية.

** ملاحظة المخاطر والترويج: تتسم الأصول الرقمية بالتقلب، ورأس المال معرض للخطر. قد يحتوي هذا المقال على روابط تابعة.