- Coinbase опубликовала страницу миграции с просьбой ввести seed-фразы кошелька.
- Эксперты по безопасности предупреждают, что такой подход может способствовать фишинговым и социальным инженерным атакам.
- Критики утверждают, что раскрытие seed-фраз в интернете создает серьёзные риски для кошельков с самосохранением.
Coinbase подвергается критике со стороны сообщества безопасности после публикации официальной страницы, в которой пользователи просят ввести свои seed-фразы напрямую в веб-форму. Исследователи называют это опасным, ненужным и готовым шаблоном для мошенников.
Что происходит
Страница была создана для того, чтобы помочь торговцам перемещать средства, поскольку Coinbase объединяет свой продукт Commerce с Coinbase Business до крайнего срока 31 марта. Торговцы, получившие Bitcoin и другие криптовалютные платежи через Commerce, направляются на инструмент вывода средств на субдомене Coinbase, где их просят ввести свою 12-словную seed-фразу для консолидации и перевода своих средств.
Для пользователей, которые сделали резервную копию своей seed-фразы в Google Drive, процесс включает в себя её открытие через настройки панели Commerce и ввод в инструмент вывода средств. Coinbase ясно дала понять, что если пользователи потеряют свою стартовую фразу, она не сможет вернуть средства.
Почему исследователи безопасности обеспокоены
Он-чейн-следователь ZachXBT сказал: «То есть, по сути, у Coinbase есть официальная страница, которую живые злоумышленники могут использовать для таргета пользователей Coinbase с помощью seedphrase social engineering, если захотят?»
Один пользователь прокомментировал, что был удивлён, почему у Coinbase появилась страница с просьбой ввести мнемонические фразы для восстановления активов, назвав эту практику крайне небезопасной и даже подозревая, что поддомен мог быть скомпрометирован.
Связано: SBI ARUHI запускает программу XRP Rewards для инвесторов
Проблема в том, что seed-фраза — это самая чувствительная информация, которой обладает пользователь криптовалюты. Тот, кто его владеет, имеет полный и необратимый доступ к кошельку. Официально выглядящая страница Coinbase, которая нормализует ввод seed-фраз в веб-форму, даёт преступникам идеальный план фишинговых атак.
Исследователи также заявили, что страница была опубликована без базовых оперативных мер безопасности, что говорит о её развертывании без надлежащей проверки безопасности. Всё, что нужно злоумышленнику — это клонировать страницу, отправлять письма с направлением пользователей на почти идентичный URL и собирать seed-фразы в больших масштабах.
Что должны делать пользователи
- Используйте инструмент вывода средств только по URL, введённому вручную, никогда по ссылке на email
- Никогда не вводите свою seed-фразу на странице, на которую попадали по ссылке
- Свяжитесь с [email protected] напрямую, если у вас есть вопросы
- Проверяйте каждый URL независимо перед вводом конфиденциальной информации
Coinbase не дала публичного ответа на критику на момент публикации.
Связанно: Бутан снова сбросил $72 млн в биткоин: прекратил ли он майнинг?
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
