Дослідники з безпеки попереджають про сторінку Coinbase Commerce, яка з’явилася з запитом до користувачів ввести фрази для відновлення гаманця. Ця ситуація знову підняла питання про те, що використання seed-фраз може нормалізувати поведінку, яка регулярно експлуатується у фішингових атаках, особливо коли вона пов’язана з довіреними платформами.
Конфлікт почався після того, як Ю Сянь, засновник компанії з безпеки блокчейну SlowMist і видатна особа у колах безпеки, звернув увагу на цю сторінку у X. Він поставив під сумнів, чому сторінка, розміщена Coinbase, просить увести відкритий мнемонічний фразовий набір для відновлення активів, назвавши цю практику безсовісним порушенням безпеки.
Coinbase не оприлюднила офіційного пояснення щодо походження цієї сторінки, окрім заяви, що вона розглядає цю ситуацію. Компанія повідомила Cointelegraph, що досліджує проблему, але додаткової інформації на момент публікації не надала. Ю Сянь не відповів на запити прес-служби, і Cointelegraph з моменту першого контакту не отримала від нього коментарів.
У криптоспільноті seed-фрази вважаються ключами до гаманця з самостійним зберіганням. Користувачі, які їх поширюють, ризикують передати контроль зловмисникам, оскільки ці фрази дають повний доступ до активів у сумісних гаманцях. Рекомендації залишаються суворими: ніколи не розголошуйте seed-фрази третім особам, службі підтримки або недовіреним сайтам.
Джерело: Ю Сянь (Cos)
Coinbase посилається на піддомен як на інструмент для виведення коштів у комерції
Члени спільноти крипто-детективів, зокрема ZachXBT, підкреслили, що ця сторінка згадується у публічній документації Coinbase щодо продукту Commerce. ZachXBT зазначив, що у керівництві описується спосіб відновлення коштів шляхом імпорту seed-фраз у сумісні гаманці, такі як Coinbase Wallet або MetaMask, і вказується інструмент для виведення коштів, розміщений на тому ж піддомені, що викликав підозру.
Ця ідея підтверджується й у власних документах Coinbase, які описують гаманці з самостійним зберіганням — тобто Coinbase не має доступу до seed-фраз і не може відновити кошти у разі їх втрати. Однак ця ситуація викликала питання щодо того, наскільки така рекомендація узгоджується з тим, що сторінка фактично запитує seed-фрази.
«Тобто Coinbase має офіційну сторінку, яку зловмисники можуть використовувати для цілеспрямованих фішингових атак через соціальну інженерію, якщо вони захочуть?»
Ця фраза, яку опублікував ZachXBT у X, підкреслює потенціал фішингового вектору, що використовує нібито офіційний шлях для відновлення seed-фрази, якщо сторінка виявиться легітимною або неправильно налаштованою. Інцидент ставить питання про рівень обізнаності користувачів, довіру до платформи та складність процесів самостійного зберігання.
Чому це важливо для користувачів і розробників
Seed-фрази — це основа безпеки самостійного зберігання. Сторінка, яка неформально запитує такі дані, навіть у контексті, що здається офіційним, суперечить найкращим практикам, які широко пропагують провайдери гаманців і дослідники безпеки. Для користувачів це підвищує ризик соціальної інженерії, яка поєднує легітимний брендинг із обманними запитами. Для розробників і бірж ця ситуація підкреслює тонкий баланс: пропонувати функції відновлення та інтеграції без створення нових векторів атак.
Гаманці з самостійним зберіганням дають користувачам прямий контроль над приватними ключами та seed-фразами, але з цим контролем приходить і відповідальність. Якщо довірений портал випадково або навмисно запитує мнемонічні дані, користувачі можуть погодитися, особливо під час ризику втрати активів. Тому ця ситуація підкреслює необхідність розробки процесів відновлення, які є зручними для користувачів і водночас захищеними від маніпуляцій.
Реакція Coinbase і подальші кроки
Coinbase підтвердила, що досліджує цю ситуацію, але деталі не оприлюднила. Раніше компанія радить користувачам не вставляти seed-фрази на будь-які сайти і наголошує, що її гаманці Commerce є з самостійним зберіганням — тобто Coinbase не має доступу до seed-фраз і не може відновити кошти у разі їх втрати. Поточний інцидент ставить питання про те, чи була ця сторінка офіційною функцією, помилкою або вразливістю у документації щодо Commerce.
Крім того, Coinbase активно попереджає про фішинг і соціальну інженерію, зазначаючи, що шахраї можуть імітувати підтримку клієнтів по телефону або онлайн для збору логінів і кодів підтвердження. Компанія закликає користувачів користуватися офіційними каналами на X і Reddit для підтримки. Водночас залишаються невирішені питання:
Чи була ця сторінка технічною помилкою, неправильно налаштованим піддоменом або спробою спрямувати користувачів до відновлення seed-фрази?
Чи відображала посилання у документації актуальні процеси продукту, або її змінено/видалено у відповідь на увагу?
Які заходи вживе Coinbase для запобігання подібним запитам у майбутньому і чи будуть оновлення у документації щодо рекомендацій з безпеки seed-фраз?
Контекст із ширшого ландшафту безпеки
Фішинг і соціальна інженерія залишаються поширеними ризиками у криптовалютній сфері, оскільки зловмисники постійно адаптують свої тактики, маскуючись під знайомі бренди та сервіси. Наприклад, інцидент з OpenClaw показав, як шахраї поєднують повідомлення про «безкоштовні токени» з автентичними інтерфейсами для заманювання жертв. У такому середовищі будь-яка функція екосистеми, що має стосунок до seed-фраз — будь то процес відновлення або імпорт між гаманцями — вимагає особливої уваги та чіткої інструкції для користувачів. Cointelegraph раніше писав про те, як дослідники безпеки закликають бути обережними щодо розкриття seed-фраз і наголошують на важливості зберігання даних у приватному та офлайн-режимі.
Що слід стежити далі
Наступні дні і тижні, ймовірно, покажуть, як Coinbase вирішить питання щодо сторінки Commerce і її посилань на процес відновлення. Очікуйте:
Офіційних заяв від Coinbase з результатами розслідування і можливими змінами у документації або користувацьких процесах.
Пояснень щодо того, чи був цей піддомен активним, експериментальним або помилкою, пов’язаною з ширшим екосистемним допоміжним середовищем.
Подальших рекомендацій від провайдерів гаманців і дослідників безпеки щодо безпечних практик відновлення, особливо для самостійних гаманців, пов’язаних із сервісами бірж.
Загалом, ця ситуація підкреслює важливість для користувачів і розробників зберігати пильність: seed-фрази залишаються дуже чутливим активом, і навіть виглядаючі офіційно інтерфейси слід сприймати з обережністю. Майбутнє залежить від створення більш прозорих і безпечних механізмів відновлення, що зберігатимуть контроль користувача і водночас запобігатимуть соціальній інженерії.
Цю статтю спершу опублікували під назвою Coinbase Commerce prompts seed phrases, raising security concerns на Crypto Breaking News — вашому надійному джерелі новин про криптовалюти, Bitcoin і блокчейн.
