Coinbase Commerce запитує про Seed Phrases, викликаючи занепокоєння щодо безпеки

(MENAFN- Crypto Breaking) Дослідники з безпеки попереджають про сторінку Coinbase Commerce, яка з’явилася з проханням ввести фрази відновлення гаманця. Ця ситуація знову підняла питання про те, що використання seed-фраз може нормалізувати поведінку, яка часто експлуатується у фішингових атаках, особливо коли вона пов’язана з довіреною платформою.

Обговорення почалося після того, як Ю Сян, засновник компанії з безпеки блокчейну SlowMist і відомий фігур у колах безпеки, звернув увагу на цю сторінку у X. Він поставив під сумнів, чому сторінка, розміщена на Coinbase, просить у користувачів plaintext-мінеонічні фрази для відновлення активів, назвавши цю практику безсовісним злом безпеки.

Coinbase не оприлюднила офіційного пояснення щодо походження цієї сторінки, окрім заяви, що вона розглядає цю ситуацію. Компанія повідомила Cointelegraph, що досліджує проблему, але додаткової інформації на момент публікації не надала. Ю Сян не відповів на запити прес-служби, і Cointelegraph з моменту першого контакту не отримала від нього коментарів.

У криптоспільноті seed-фрази вважаються ключами до гаманця з самостійним зберіганням. Користувачі, які діляться ними, ризикують передати контроль зловмисникам, оскільки ці фрази дають повний доступ до активів у сумісних гаманцях. Рекомендації залишаються суворими: ніколи не розголошуйте seed-фрази третім особам, службі підтримки або недовіреним сайтам.

Coinbase посилалася на піддомен як на «інструмент для виведення коштів»

Члени криптоспільноти, зокрема ZachXBT, підкреслили, що ця сторінка згадувалася у публічній документації Coinbase щодо продукту Commerce. ZachXBT зазначив, що у керівництві описується спосіб відновлення коштів шляхом імпорту seed-фраз у сумісні гаманці, такі як Coinbase Wallet або MetaMask, і вказується на інструмент для виведення коштів, розміщений на тому ж піддомені, що викликав підозру.

Ця історія підтверджується й у документації Coinbase, яка описує гаманці з самостійним зберіганням — тобто Coinbase не має доступу до seed-фраз і не може відновити кошти у разі їх втрати. Однак ця документація викликала питання щодо того, наскільки така рекомендація узгоджується з тією сторінкою, яка просить вводити seed-фрази.

Ця ситуація, яку опублікував ZachXBT у X, підкреслює потенціал фішингового вектору, що використовує нібито офіційний шлях для відновлення seed-фрази, якщо сторінка виявиться легітимною або неправильно налаштованою. Інцидент став у точці перетину освіти користувачів, довіри до платформи та зростаючої складності процесів самостійного зберігання.

Чому це важливо для користувачів і розробників

Seed-фрази — це ключовий елемент безпеки самостійного зберігання. Сторінка, яка випадково або навмисно запитує такі дані, навіть у контексті, що здається офіційним, суперечить найкращим практикам, які широко пропагують провайдери гаманців і дослідники безпеки. Для користувачів це підвищує ризик соціальної інженерії, коли зловмисники поєднують легітимний брендинг із обманними запитами. Для розробників і бірж цей випадок підкреслює делікатний баланс: пропонувати функції відновлення і взаємодії без створення нових векторів атак.

Гаманці з самостійним зберіганням дають користувачам прямий контроль над приватними ключами і seed-фразами, але з цим контролем приходить і відповідальність. Якщо довірений портал випадково або навмисно запитує мнемонічні дані, користувачі можуть погодитися, особливо під час ризику втрати активів. Тому ця ситуація піднімає ширші питання щодо дизайну процесів відновлення, які мають бути зручними для користувачів і водночас захищеними від маніпуляцій.

Реакція Coinbase і подальші кроки

Coinbase підтвердила, що розслідує цю ситуацію, але деталі не оприлюднила. Раніше компанія радили користувачам не вставляти seed-фрази на будь-які сайти і наголошували, що її гаманці Commerce є з самостійним зберіганням — тобто Coinbase не має доступу до seed-фраз і не може відновити кошти у разі їх втрати. Поточний інцидент став питанням, чи ця сторінка була офіційною функцією, помилкою або вразливістю у документації щодо Commerce.

Крім того, Coinbase активно попереджає про фішингові атаки і соціальну інженерію, зазначаючи, що шахраї можуть імітувати підтримку клієнтів по телефону або онлайн для збору логінів і кодів підтвердження. Компанія закликає користувачів користуватися офіційними каналами на X і Reddit для підтримки. У ситуації залишаються кілька невирішених питань:

• Чи була ця сторінка технічною помилкою, неправильно налаштованим піддоменом або спробою спрямувати користувачів до відновлення seed-фрази?
• Чи відображала посилання у документації актуальні поточні процеси продукту, або її змінили/видалили у відповідь на увагу?
• Які заходи вживе Coinbase, щоб запобігти подібним запитам у майбутньому, і чи будуть оновлення у документації щодо Commerce для уточнення найкращих практик роботи з seed-фразами?

Контекст із ширшого ландшафту безпеки

Фішинг і соціальна інженерія залишаються поширеними ризиками у криптовалютній сфері, оскільки зловмисники постійно адаптують свої тактики, маскуючись під знайомі бренди та сервіси. Наприклад, інцидент з OpenClaw показав, як зловмисники поєднують повідомлення про «безкоштовні токени» з автентичними інтерфейсами, щоб заманити жертв. У такому середовищі будь-яка функція екосистеми, що має стосунок до seed-фраз, — будь то процес відновлення або імпорт між гаманцями — вимагає особливої обережності та чіткої освіти користувачів. Cointelegraph раніше писав, що дослідники безпеки закликають бути обережними щодо розкриття seed-фраз і наголошують на важливості зберігання відновлювальних даних у приватному та офлайн-режимі.

Що слід стежити далі

Наступні дні і тижні, ймовірно, покажуть, як Coinbase вирішить питання щодо сторінки Commerce і її посилань на процес відновлення. Слідкуйте за:

• Офіційними заявами Coinbase щодо результатів розслідування і можливих змін у документації або користувацьких процесах.
• Уточненнями щодо того, чи був цей запит у піддомені робочим, експериментальним або помилкою, пов’язаною з ширшим екосистемним допоміжним середовищем.
• Постійними рекомендаціями від провайдерів гаманців і дослідників безпеки щодо безпечних практик відновлення, особливо для самостійних гаманців, пов’язаних із сервісами бірж.

Поки індустрія обмірковує цю ситуацію, вона підкреслює основний принцип для користувачів і розробників: seed-фрази залишаються високочутливим активом, і навіть виглядаючі легітимними інтерфейси потрібно сприймати з обережністю. Майбутнє залежатиме від створення більш прозорих механізмів відновлення, що зберігатимуть контроль користувача і водночас запобігатимуть соціальній інженерії.

** Попередження про ризики та партнерські програми:** Криптоактиви волатильні, і капітал під ризиком. Ця стаття може містити партнерські посилання.