Coinbase在链上调查人员警告其可能被用于诱骗用户交出助记词后,已移除了最近被标记的”legacy recovery”工具。这一事件重新引发了人们对平台设计选择如何与长期安全实践相冲突的担忧。
Coinbase恢复页面的安全担忧
这一切始于3月18日,当时区块链安全公司SlowMist的创始人Cos询问为什么Coinbase托管的页面要求用户以纯文本形式输入12个单词的恢复短语。Cos分享了截图,显示Coinbase Commercial提款界面要求人们粘贴他们的助记词,同时还建议他们从Google Drive备份中获取。
不久之后,知名链上调查员ZachXBT发布消息称,鉴于该页面托管在官方Coinbase域名上,攻击者可以将其用作社会工程工具。”所以基本上Coinbase有一个官方页面,威胁行为者可以通过助记词社会工程来针对Coinbase用户?”他问道。
SlowMist团队的另一名成员23pds指出了页面上的技术缺陷,称其没有适当的站点地图,很容易被克隆。他们补充说,攻击者可以复制该界面,并使用看起来相似的域名来诱骗人们提供敏感信息。
除了克隆风险之外,还有其他担忧。一位名为Kieran的X用户认为,更大的问题是行为上的。他们声称该工具违反了加密货币中最广泛教授的安全规则之一:永远不要在网站上分享或输入恢复短语。根据他们的说法,官方页面上存在此类要求可能会使网络钓鱼尝试更具说服力。
Coinbase团队成员Alex回应称,他们已经移除了该工具,并正在积极开发新的解决方案。”感谢大家提出这个问题,并让我们保持最高标准,”他们补充道。
在撰写本文时,对该页面的检查显示它确实已被移除,只有一条简单的消息告知用户该服务不可用,他们应该稍后再试。
社会工程风险
ZachXBT和SlowMist团队提出的担忧并非毫无根据。最近的数据显示,如今恶意行为者实施加密货币相关攻击的方式正在发生变化。
根据链上安全公司Nominis的数据,2月份与加密货币诈骗和漏洞利用相关的总损失下降了近87%。但更重要的是,Nominis透露,攻击者现在更可能针对用户而不是利用代码漏洞。
该公司指出,最近的事件更多地依赖于网络钓鱼和误导性提示,而不是技术漏洞。随着此类计划变得越来越普遍,拒绝给攻击者提供ZachXBT认为像Coinbase恢复工具这样的事件可能给他们的优势至关重要。
本网站所有区块链相关数据与资料仅供用户学习及研究之用,不构成任何投资建议。转载请注明出处:https://www.lianxinshe666.com/2026/03/22/%e8%b0%83%e6%9f%a5%e4%ba%ba%e5%91%98%e6%a0%87%e8%ae%b0coinbase%e9%a1%b5%e9%9d%a2%e8%a6%81%e6%b1%82%e8%be%93%e5%85%a5%e5%8a%a9%e8%ae%b0%e8%af%8d%ef%bc%8c%e7%9b%b8%e5%85%b3%e5%b7%a5%e5%85%b7%e5%b7%b2/
