Автор Chao Cheng Zedong тема Новости

На странице Coinbase Commerce заметили запрос сид-фраз, что вызвало опасения у экспертов

На странице Coinbase Commerce заметили запрос сид-фраз, что вызвало опасения у экспертов

Исследователи в области безопасности обратили внимание на страницу, связанную с Coinbase Commerce: на ней пользователям, судя по всему, предлагалось ввести фразу восстановления кошелька. Эксперты предупреждают, что такой сценарий может «нормализовать» крайне опасное действие, которое часто используют фишинговые схемы.

Страница широко разошлась в соцсетях после того, как на нее указал основатель платформы блокчейн-безопасности SlowMist Юй Сянь (Cos).

«Мне действительно непонятно, зачем Coinbase нужна страница, которая прямо просит пользователей вводить их мнемонические фразы в открытом виде для восстановления активов. Такая небезопасная практика просто невероятна», — написал он в X.

Публичных разъяснений от Coinbase на момент публикации не было. Компания сообщила источнику, что изучает ситуацию, но дополнительных деталей не предоставила.

Фраза восстановления дает полный контроль над некастодиальным кошельком, поэтому ее нельзя передавать третьим лицам, «службе поддержки» или вводить на непроверенных сайтах. Обычно она используется только в надежных процессах восстановления или импорта кошелька.

Источник: Yu Xian

Coinbase назвала поддомен инструментом вывода для Commerce

По словам блокчейн-исследователя ZachXBT, спорная страница упоминалась в справочном материале Coinbase, связанном с продуктом Commerce.

Как сообщается, в инструкции (которая сейчас, вероятно, удалена) описывался вариант восстановления средств через импорт сид-фразы в совместимый кошелек, например Coinbase Wallet или MetaMask. Также пользователей направляли к инструменту вывода, размещенному на том же поддомене, который и вызвал вопросы у сообщества.

Источник: Coinbase Commerce

В документации также подчеркивалось, что кошельки Commerce являются некастодиальными — то есть Coinbase не имеет доступа к сид-фразам пользователей и не сможет восстановить средства, если фраза утеряна.

ZachXBT отметил в X, что наличие «официальной» страницы с таким сценарием потенциально может быть использовано злоумышленниками для атак социальной инженерии, нацеленных на пользователей Coinbase.

Coinbase советует не вставлять сид-фразы ни на каких сайтах

Пока неясно, была ли эта страница результатом технической ошибки или иной проблемы на стороне Coinbase.

В другом руководстве Coinbase настоятельно рекомендует никогда не вставлять сид-фразы на любых веб-сайтах.

Источник: Coinbase

Ранее Coinbase также предупреждала, что мошенники могут выдавать себя за службу поддержки по телефону или в интернете, чтобы похищать логины и коды подтверждения. Компания отмечала, что не будет инициировать такие контакты и призывала пользоваться только официальными каналами в X и Reddit.