Coinbase 告诉用户遵循诈骗者从钱包中提取资金的“愚蠢”步骤

Coinbase 正在引导一些 Commerce 用户在 3 月 31 日迁移截止日期之前使用种子短语恢复流程。这个问题存在于 Coinbase 关闭传统商务钱包的计划中。 Coinbase 在其过渡指南中表示，Commerce 钱包中拥有资金的用户必须在 2026 年 3 月 31 日之前提取资金，届时 Commerce 门户和提款工具将无法访问。 Coinbase 表示，对于将钱包备份到 Google Drive 的用户，他们应该进入 Commerce 仪表板，打开“设置和安全”，显示 12 个单词的助记词，然后使用withdraw.commerce.coinbase.com 上的提款工具。 Coinbase 表示，这一过程对于接收比特币或其他基于 UTXO 的资产的商家尤其重要，因为否则余额可能很难在标准钱包中显示。种子短语是自助钱包的主恢复密钥。 Coinbase 自己的钱包文档将其描述为只有用户有权访问的 12 个单词的恢复短语。谁控制了该短语，谁就控制了对钱包及其资金的访问。失去它，就可能失去获得资金的机会。暴露它，钱包里的资金就会被耗尽。这就是矛盾变得难以忽视的地方。 Coinbase 的钱包指南告诉用户永远不要分享恢复短语，并表示该公司永远不会要求它，并添加了单独的警告：“永远不要将其粘贴到任何网站上。”然而，Commerce 过渡指南告诉一些用户在 Coinbase 托管的官方恢复路径中透露相同的短语。该公司的解释是，Commerce 钱包是自我托管的，Coinbase 无权访问该短语或资金，这让用户负责在关闭之前恢复。安全研究人员看到了网络钓鱼模板尽管如此，Coinbase 的这一需求还是给许多安全专家敲响了警钟，他们批评该平台的页面教导用户接受的行为。区块链安全公司慢雾创始人于贤表示，他对 Coinbase 会开设一个页面要求用户以纯文本形式输入助记词进行资产恢复感到困惑，并表示这种做法非常不安全，他首先怀疑该子域名是否被黑客入侵。该警告加剧了页面上的核心批评：官方品牌、紧迫的截止日期和种子短语工作流程组合成攻击者经常模仿的格式。与此同时，慢雾首席信息安全官 23pds 在 X 上写道，流程存在“两个问题”。首先，他表示：“虽然链接来自Coinbase官方网站，但直接要求用户传输助记词来验证资产是极其愚蠢的。”其次，他指出该网站的站点地图存在缺陷，攻击者可以复制前端并在相似的域上部署近乎克隆的站点，从而为已经准备好信任 Coinbase 版本的用户创造强大的网络钓鱼诱惑。此外，区块链调查员 ZachXBT 更直接地进一步强调了这一点。在 X 上的一篇帖子中，他写道：“那么基本上 Coinbase 有一个官方页面，实时威胁攻击者可以通过助记词社交工程来攻击 Coinbase 用户，如果他们愿意的话？”考虑到网络钓鱼和社会工程诈骗仍然是针对加密行业最有力的攻击媒介之一，他们的担忧并不令人意外。去年，ZachXBT 透露，Coinbase 用户因社会工程诈骗每年损失超过 3 亿美元。这解释了为什么商务流引发了如此强烈的反应。安全团队花了数年时间教导用户，任何涉及助记词的请求都是骗局的开始。然而，处理相同短语的 Coinbase 拥有的页面可能会改变用户所依赖的视觉和行为提示。 Coinbase 的违规历史给这场争论带来了悬念 与此同时，安全争论变得更加困难，因为 Coinbase 已经在处理过去社会工程事件的后果。 2025 年 5 月，Coinbase 报告称网络犯罪分子贿赂了一个组织