Исследователи безопасности предупреждают о странице Coinbase Commerce, которая, по всей видимости, предлагала пользователям ввести фразы восстановления кошелька. Этот инцидент вновь поднял опасения о том, что использование seed-фраз может стать нормой, что увеличит риск их эксплуатации в фишинговых атаках, особенно когда речь идет о доверенных платформах.
Спор начался после того, как Ю Сянь, основатель компании по безопасности блокчейнов SlowMist и заметная фигура в кругах безопасности, обратил внимание на страницу в X. Он задался вопросом, почему страница, размещенная Coinbase, запрашивает открытые мнемонические фразы для восстановления активов, назвав такую практику недопустимым нарушением безопасности.
Coinbase не публиковала официальных объяснений происхождения этой страницы, кроме заявления о том, что компания рассматривает этот вопрос. В разговоре с Cointelegraph компания сообщила, что занимается расследованием, но дополнительных деталей на момент публикации не предоставила. Ю Сянь не ответил к моменту выхода статьи, и Cointelegraph с тех пор не получал комментариев от него после первоначальных обращений.
В криптосообществе seed-фразы считаются ключами к кошелькам с самостоятельным управлением. Пользователи, делящиеся ими, рискуют передать контроль злоумышленникам, поскольку эти фразы дают полный доступ к активам, хранящимся в совместимых кошельках. Рекомендации остаются однозначными: никогда не раскрывайте seed-фразы третьим лицам, службе поддержки или ненадежным сайтам.
Источник: Ю Сянь (Cos)
Coinbase указала, что субдомен использовался как инструмент для вывода средств в рамках своего продукта Commerce.
Члены криптосообщества, включая ZachXBT, отметили, что эта страница была упомянута в публичной документации Coinbase, касающейся их продукта Commerce. ZachXBT отметил, что руководство, похоже, описывает способ восстановления средств через импорт seed-фраз в совместимые кошельки, такие как Coinbase Wallet или MetaMask, указывая на инструмент для вывода, размещенный на том же субдомене, который привлек внимание.
Это подтверждается и в официальных материалах Coinbase, где описываются кошельки с самостоятельным управлением — то есть Coinbase не имеет доступа к seed-фразам и не может восстановить средства, если они потеряны. Однако этот документ вызвал вопросы о том, как такая рекомендация сочетается с обнаруженной страницей, запрашивающей seed-фразы.
«Значит, Coinbase имеет официальную страницу, которую злоумышленники могут использовать для фишинга пользователей через социальную инженерию, если захотят?»
Это высказывание, опубликованное ZachXBT в X, подчеркивает потенциальную угрозу фишинга, использующего якобы официальный канал для восстановления seed-фраз, особенно если страница окажется легитимной или неправильно настроенной. Инцидент поднимает вопросы о безопасности пользовательского обучения, доверии к платформам и усложнении процессов самостоятельного управления активами.
Почему это важно для пользователей и разработчиков
Seed-фразы — это основа безопасности самостоятельных кошельков. Страница, которая в неформальной форме запрашивает такие данные, даже в контексте, звучащем официально, противоречит лучшим практикам, широко распространенным среди провайдеров кошельков и специалистов по безопасности. Для пользователей это увеличивает риск социальной инженерии, когда злоумышленники используют легитимные бренды и обманные подсказки. Для разработчиков и бирж этот инцидент подчеркивает необходимость балансировать между предоставлением функций восстановления и межоперабельности и защитой пользователей от новых угроз.
Самостоятельные кошельки дают пользователям прямой контроль над приватными ключами и seed-фразами, но с этим контролем приходит и ответственность. Если доверенный портал случайно или намеренно запрашивает мнемонические данные, пользователи могут быть склонны к их передаче, особенно в периоды риска потери активов. Поэтому этот случай поднимает важные вопросы о том, как разрабатывать процессы восстановления, которые будут удобными и одновременно защищать от манипуляций.
Ответ Coinbase и дальнейшие шаги
Coinbase признала проблему и заявила, что проводит расследование, однако публичных деталей пока не предоставила. Компания ранее рекомендовала пользователям не вставлять seed-фразы на сторонние сайты и подчеркнула, что их кошельки Commerce являются с самостоятельным управлением, то есть Coinbase не имеет доступа к seed-фразам и не может восстановить средства при их утрате. Текущий инцидент вызывает вопросы о том, была ли страница официальной функцией, ошибкой конфигурации или уязвимостью в документации по Commerce.
Отдельно Coinbase активно предупреждает о признаках фишинга и социальной инженерии, отмечая, что мошенники могут выдавать себя за службу поддержки по телефону или онлайн для получения логинов и кодов подтверждения. Компания призывает пользователей обращаться только к официальным каналам поддержки в X и Reddit. В ситуации остаются несколько неопределенностей:
Была ли страница техничесической ошибкой, неправильной настройкой субдомена или реальной попыткой направить пользователей к восстановлению seed-фраз?
Отражала ли упомянутая документация текущие рабочие процессы продукта или была изменена/удалена в ответ на критику?
Какие меры предпримет Coinbase для предотвращения подобных случаев в будущем, и будут ли обновлены руководства по Commerce для разъяснения лучших практик по seed-фразам?
Контекст из более широкой области безопасности
Фишинг и социальная инженерия остаются распространенными угрозами в криптоиндустрии, злоумышленники постоянно адаптируют свои методы, маскируясь под знакомые бренды и сервисы. Например, инцидент с OpenClaw показал, как злоумышленники используют сообщения о «бесплатных токенах» в сочетании с поддельными интерфейсами для заманивания жертв. В такой среде любой функционал, связанный с seed-фразами — будь то восстановление или импорт из другого кошелька — требует особенно строгих мер защиты и ясного обучения пользователей. Cointelegraph ранее освещал, как исследователи безопасности призывают к бдительности в отношении раскрытия seed-фраз, подчеркивая важность держать данные восстановления в тайне и офлайн, по возможности.
Что стоит ожидать дальше
В ближайшие дни и недели станет ясно, как Coinbase решит вопросы, связанные с страницей Commerce и её упоминаниями о восстановлении. Следите за:
— Официальными заявлениями Coinbase о результатах расследования и возможных изменениях в документации или пользовательских потоках Commerce.
— Разъяснениями о том, была ли страница технической ошибкой, экспериментом или неправильной настройкой, связанной с общей системой помощи.
— Продолжающимися рекомендациями от провайдеров кошельков и экспертов по безопасности о безопасных практиках восстановления, особенно для самостоятельных кошельков, связанных с биржевыми сервисами.
Пока индустрия взвешивает этот инцидент, он подчеркивает важность для пользователей и разработчиков помнить: seed-фразы — очень чувствительный актив, и даже кажущиеся легитимными интерфейсы требуют критического подхода. Будущее зависит от разработки более прозрачных и безопасных механизмов восстановления, которые сохранят контроль пользователя и снизят риски социальной инженерии.
Эта статья изначально публиковалась под заголовком Coinbase Commerce prompts seed phrases, raising security concerns на Crypto Breaking News — вашем надежном источнике новостей о криптовалютах, биткоине и блокчейне.
