近日,Coinbase官方子域名上的一项功能引发了区块链安全专家的广泛关注和担忧。该页面要求用户以明文形式输入其助记词(seed phrases)以恢复加密资产,这种设计被认为极易暴露用户于典型的社会工程学攻击之下,甚至可能已落入不法分子之手。
该页面是Coinbase Commerce业务在3月31日截止日期前进行收尾工作的一部分。安全研究人员于2026年3月19日公开指出了这一问题,其中就包括知名区块链安全公司SlowMist的创始人Yu Xian(网名Evilcos)。
在Coinbase及其部分用户面临敏感时期之际,这一警报的出现尤为引人注目。Coinbase Commerce平台即将关闭,迫使数千家商户急于回收资金。这种紧迫的截止日期压力,恰恰是促使用户疏忽大意、草率输入敏感凭证的温床。此外,该页面还提供了将保存在Google Drive等云存储服务上的助记词复制粘贴的选项。
值得注意的是,Coinbase自身的帮助文档明确指出,公司绝不会索要或访问用户的恢复短语。然而,此次Commerce页面的设计似乎与这一核心安全原则直接相悖。
安全隐患与潜在的攻击途径
研究人员的担忧不仅限于Coinbase自身可能如何处理这些数据,更在于该页面的设计本身,他们认为这为欺诈行为提供了一个“蓝图”。
安全研究员23pds补充指出,该页面另一个潜在问题在于其“链接网站的站点地图存在缺陷”。他解释说,攻击者可以轻易利用ResourcesSaver等工具下载前端代码,并部署一个类似的网站。一旦与类似Coinbase的域名结合进行网络钓鱼攻击,用户极易上当受骗。
“所以,基本上Coinbase有一个官方页面上线,如果威胁行为者想要利用它,就可以通过助记词社会工程学来针对Coinbase用户?”一位研究员在社交媒体上写道。他随后补充道:“希望团队尽快修复并移除它。”
截至发稿时,Coinbase尚未对此事发表任何声明,也未移除该页面。
Coinbase及用户过往的被攻击经历
Coinbase此前也曾因处理针对其客户的网络钓鱼威胁不当而受到批评。
2025年2月,调查记者ZachXBT曾报道称,在短短两个月内,用户因此类攻击损失已超过6500万美元,这仅是他估计的每年3亿美元损失的一部分。该调查记者指出,欺诈者通常会冒充Coinbase客服人员,并利用仿冒的管理面板实时自动化攻击。
针对此前的事件,Coinbase解雇了涉事员工,通知了监管机构,并为受影响用户提供了一年的信用监控服务。此外,公司还拨备了1.8亿至4亿美元用于赔偿和客户退款,并悬赏2000万美元征集相关信息线索。