Coinbase Commerce запрашивает парольные фразы, вызывая опасения по безопасности

(MENAFN- Crypto Breaking) Исследователи безопасности предупреждают о странице Coinbase Commerce, которая, по их мнению, побуждала пользователей вводить фразы восстановления кошелька. Этот инцидент вновь поднял опасения, что использование seed-фраз может стать нормой, что особенно опасно при связке с доверенными платформами и фишинговыми атаками.

Обсуждение началось после того, как Ю Сянь, основатель компании по безопасности блокчейна SlowMist и заметная фигура в сфере безопасности, обратил внимание на страницу в X. Он задался вопросом, почему страница, размещенная на Coinbase, запрашивает открытые мнемонические фразы для восстановления активов, назвав такую практику недопустимым нарушением безопасности.

Coinbase пока не дала публичных объяснений происхождения этой страницы, лишь заявив, что занимается этим вопросом. Компания сообщила Cointelegraph, что изучает ситуацию, но на момент публикации не предоставила дополнительной информации. Ю Сянь не ответил на запросы прессы, и Cointelegraph с момента первого обращения не получил комментариев от него.

В криптосообществе seed-фразы считаются ключами к кошелькам с самостоятельным управлением. Пользователи, делящиеся ими, рискуют передать контроль злоумышленникам, так как эти фразы дают полный доступ к активам в совместимых кошельках. Рекомендации остаются однозначными: никогда не раскрывайте seed-фразы третьим лицам, службе поддержки или ненадежным сайтам.

Coinbase указала, что субдомен использовался как «инструмент для вывода средств».

Члены криптосообщества, включая ZachXBT, отметили, что эта страница упоминалась в публичной документации Coinbase, связанной с продуктом Commerce. ZachXBT отметил, что руководство, похоже, описывает способ восстановления средств через импорт seed-фраз в совместимые кошельки, такие как Coinbase Wallet или MetaMask, указывая на инструмент для вывода средств, размещенный на том же субдомене, который вызвал подозрения.

Это подтверждается и в официальных материалах Coinbase, где говорится, что кошельки с самостоятельным управлением — это такие, где Coinbase не имеет доступа к seed-фразам и не может восстановить средства, если они потеряны. Однако этот документ вызывает вопросы о соответствии такой инструкции с страницей, которая запрашивала ввод seed-фраз.

Цитата, опубликованная ZachXBT в X, подчеркивает возможность использования фишингового сценария, при котором злоумышленники могут создать видимость официального пути для восстановления seed-фразы, если страница окажется подлинной или неправильно настроенной. Этот инцидент поднимает вопросы о безопасности пользовательских данных, доверии к платформам и сложности самостоятельного управления кошельками.

Почему это важно для пользователей и разработчиков

Seed-фразы — это основа безопасности самостоятельных кошельков. Страница, которая легко запрашивает такие данные, даже в контексте, звучащем официально, противоречит лучшим практикам, распространенным у провайдеров кошельков и специалистов по безопасности. Для пользователей это увеличивает риск социальной инженерии, когда злоумышленники используют легитимные бренды и обманные подсказки. Для разработчиков и бирж — это напоминание о необходимости балансировать между предоставлением функций восстановления и межкошельковой совместимости и защитой пользователей от новых угроз.

Самостоятельные кошельки дают пользователям прямой контроль над приватными ключами и seed-фразами, но с этим контролем приходит и ответственность. Если доверенный портал случайно или намеренно запрашивает мнемонические данные, пользователи могут поддаться искушению, особенно в периоды риска или потери активов. Поэтому важно разрабатывать безопасные и понятные механизмы восстановления, которые не создают новых уязвимостей.

Ответ Coinbase и дальнейшие шаги

Coinbase признала проблему и заявила, что проводит расследование, однако публичных деталей пока не предоставила. Компания ранее рекомендовала не вставлять seed-фразы на сторонние сайты и подчеркнула, что ее кошельки Commerce — это кошельки с самостоятельным управлением, то есть Coinbase не имеет доступа к seed-фразам и не может восстановить средства при их утрате. Этот инцидент вызывает вопросы о том, была ли страница официальной функцией, ошибкой или уязвимостью в документации по Commerce.

Кроме того, Coinbase активно предупреждает о фишинге и социальной инженерии, отмечая, что мошенники могут выдавать себя за службу поддержки по телефону или онлайн для получения логинов и кодов подтверждения. Компания советует пользоваться только официальными каналами поддержки на X и Reddit. В ситуации остаются открытыми вопросы:

• Был ли этот инцидент технической ошибкой, неправильной настройкой субдомена или попыткой направить пользователей к восстановлению seed-фразы?
• Отражает ли текущая документация реальный рабочий процесс или она была изменена/удалена после выявленных проблем?
• Какие меры предпримет Coinbase для предотвращения подобных случаев в будущем, и будут ли обновлены руководства по использованию seed-фраз?

Обзор ситуации в контексте безопасности

Фишинг и социальная инженерия остаются широко распространенными угрозами в криптосфере, злоумышленники постоянно ищут новые способы обмана, маскируясь под известные бренды и сервисы. Например, инцидент с OpenClaw показал, как злоумышленники используют сообщения о «бесплатных токенах» и поддельные интерфейсы для заманивания жертв. В такой среде любые функции, связанные с seed-фразами — будь то восстановление или импорт между кошельками — требуют строгих мер безопасности и ясной пользовательской инструкции. Cointelegraph ранее писал о необходимости бдительности и сохранения конфиденциальности данных восстановления, особенно в офлайн-режиме.

Что следует ожидать дальше

В ближайшие дни и недели станет ясно, как Coinbase решит вопросы, связанные с страницей Commerce и её функциями восстановления. Следите за:

• Официальными заявлениями Coinbase о результатах расследования и возможных изменениях в документации или пользовательских потоках.
• Уточнениями, связаны ли текущие подсказки с реальными продуктами или это ошибка, связанная с системой помощи.
• Рекомендациями от провайдеров кошельков и специалистов по безопасности по безопасным практикам восстановления, особенно для кошельков с самостоятельным управлением.

Пока индустрия взвешивает этот инцидент, он напоминает о важности соблюдения принципа: seed-фразы — это очень чувствительный актив, и даже кажущиеся официальными интерфейсы требуют осторожности. В будущем ключевым станет создание более прозрачных и безопасных механизмов восстановления, которые сохранят контроль пользователя и снизят риски социальной инженерии.

** Предупреждение о рисках и партнерских программах:** Криптоактивы волатильны, и капитал подвержен рискам. В этой статье могут содержаться партнерские ссылки.