Исследователи в области кибербезопасности выразили обеспокоенность из-за связанной с Coinbase страницы сервиса Commerce, которая, по их словам, предлагала пользователям ввести фразу восстановления криптокошелька. Эксперты предупреждают, что такой подход может закреплять опасную практику, часто используемую в фишинговых схемах.
Обсуждение страницы широко распространилось в соцсетях после того, как на нее обратил внимание основатель блокчейн-платформы безопасности SlowMist Юй Сянь, известный как Cos. Он заявил, что его удивляет наличие у Coinbase страницы, где пользователей напрямую просят вводить мнемоническую фразу в открытом виде для восстановления активов, и назвал такую практику небезопасной.
Coinbase публично ситуацию пока не комментировала. В компании сообщили, что изучают вопрос, но дополнительных деталей не предоставили.
Что вызвало обеспокоенность
Фраза восстановления дает полный контроль над некастодиальным кошельком, поэтому ее нельзя передавать третьим лицам, сотрудникам поддержки или вводить на недоверенных сайтах. Обычно такие фразы используются только в проверенных сценариях восстановления или импорта кошелька.
По словам блокчейн-аналитика ZachXBT, спорная страница упоминалась в справочном материале Coinbase, связанном с продуктом Commerce. Это руководство, которое теперь, как сообщается, удалено, описывало возможность вернуть средства путем импорта seed-фразы в совместимый кошелек, например Coinbase Wallet или MetaMask. Там же была ссылка на инструмент вывода средств, размещенный на том же субдомене, который и вызвал вопросы.
В справке также подчеркивалось, что кошельки Commerce являются некастодиальными. Это означает, что Coinbase не имеет доступа к seed-фразам пользователей и не может восстановить средства, если такие данные утеряны.
Противоречие с собственными рекомендациями
ZachXBT отметил, что наличие официальной страницы с подобным сценарием потенциально может быть использовано злоумышленниками для социальной инженерии, направленной на пользователей Coinbase.
При этом остается неясным, стала ли спорная страница следствием технической ошибки или другой проблемы на стороне Coinbase.
В другом руководстве Coinbase прямо советует пользователям никогда не вставлять seed-фразы на каких-либо сайтах. Кроме того, во вторник компания предупреждала, что мошенники выдают себя за сотрудников поддержки по телефону и в интернете, чтобы украсть данные для входа и коды подтверждения. Coinbase указала, что никогда не связывается с пользователями таким образом и рекомендовала ориентироваться только на официальные каналы компании в X и Reddit.
Источник: cointelegraph.com
