- Coinbase veröffentlichte eine Migrationsseite, auf der Nutzer aufgefordert wurden, Wallet-Seed-Phrasen einzugeben.
- Sicherheitsexperten warnen, dass der Ansatz Phishing- und Social-Engineering-Angriffe ermöglichen könnte.
- Kritiker sagen, dass das Offenlegen von Seed-Phrasen online ernsthafte Risiken für selbstverwahrende Geldbörsen darstellt.
Coinbase sieht sich Kritik aus der Sicherheitsgemeinschaft ausgesetzt, nachdem es eine offizielle Seite veröffentlicht hat, auf der Nutzer gebeten werden, ihre Seed-Phrasen direkt in ein Webformular einzugeben. Forscher nennen es gefährlich, unnötig und eine fertige Vorlage für Betrüger.
Was passiert hier
Die Seite wurde erstellt , um Händlern zu helfen, Gelder zu übertragen, während Coinbase sein Commerce-Produkt vor einer Deadline am 31. März mit Coinbase Business zusammenführt. Händler, die Bitcoin und andere Krypto-Zahlungen über Commerce erhalten haben, werden an ein Auszahlungstool in einer Coinbase-Subdomain weitergeleitet, wo sie gebeten werden, ihre 12-Wörter-Seedphrase einzugeben, um ihre Gelder zu konsolidieren und zu bewegen.
Für Nutzer, die ihre Seed-Phrase in Google Drive gesichert haben, beinhaltet der Prozess, sie über die Einstellungen des Commerce-Dashboards anzuzeigen und in das Auszahlungstool einzugeben. Coinbase machte klar, dass Nutzer ihre Seed-Phrase verlieren können, um Gelder nicht zurückzugewinnen.
Warum Sicherheitsforscher alarmiert sind
Der On-Chain-Ermittler ZachXBT sagte : „Im Grunde hat Coinbase also eine offizielle Page, auf die Live-Bedrohungsakteure Coinbase-Nutzer mithilfe von Seed-Phrase-Social Engineering angreifen können, wenn sie möchten?“
Ein Nutzer kommentierte, dass er sich wundere, warum Coinbase eine Seite habe, auf der Nutzer ihre Klartext-Eselsbrücken zur Asset-Wiederherstellung eingeben sollten, bezeichnete die Praxis als hochgradig unsicher und vermutete sogar, dass die Subdomain kompromittiert worden sein könnte.
Verwandt: SBI ARUHI führt das XRP-Prämienprogramm für Investoren ein
Das Problem dabei ist, dass eine Seed-Phrase die mit Abstand sensibelste Information ist, die ein Krypto-Nutzer besitzt. Wer auch immer sie hat, hat vollständigen und irreversiblen Zugriff auf die Wallet. Eine offiziell aussehende Coinbase-Seite, die das Eingeben von Startphrasen in ein Webformular normalisiert, bietet Kriminellen einen perfekten Bauplan für Phishing-Angriffe.
Forscher sagten außerdem, die Seite sei ohne grundlegende operative Sicherheitsmaßnahmen veröffentlicht worden, was darauf hindeutet, dass sie ohne eine ordnungsgemäße Sicherheitsüberprüfung bereitgestellt wurde. Alles, was ein Angreifer tun muss, ist, die Seite zu klonen, E-Mails zu einer nahezu identischen URL zu senden und Seed-Phrasen in großem Maßstab zu sammeln.
Was Nutzer tun sollten
- Nutzen Sie das Auszahlungstool nur über eine manuell eingegebene URL, niemals über einen E-Mail-Link
- Gib niemals deine Seed-Phrase auf einer Seite ein, die über einen Link erreicht wird
- Kontaktieren Sie [email protected] direkt, wenn Sie Bedenken haben
- Verifizieren Sie jede URL unabhängig vor der Eingabe sensibler Informationen.
Coinbase hat zum Zeitpunkt der Veröffentlichung nicht öffentlich auf die Kritik reagiert.
Verwandt: Bhutan steckt erneut 72 Millionen Dollar in Bitcoin aus: Hat es aufgehört zu minen?
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
