Исследователи в области безопасности выразили обеспокоенность по поводу страницы Commerce, связанной с Coinbase, которая, казалось, предлагала пользователям ввести фразы восстановления кошелька, предупреждая, что такая схема может нормализовать поведение, часто используемое в фишинговых атаках.
Страница широко распространилась в социальных сетях после того, как ее отметил основатель платформы безопасности блокчейна SlowMist, Yu Xian, известный как Cos.
“Я действительно удивлен, почему у Coinbase есть такая страница, которая напрямую запрашивает у пользователей ввод их мнемонических фраз в открытом виде для восстановления активов”, — написал Yu в X (Twitter) в среду, добавив: “Подобная небезопасная практика просто невероятна”.
Источник: Yu Xian
Фразы восстановления дают полный контроль над некастодиальным кошельком и никогда не должны передаваться третьим сторонам, агентам поддержки клиентов или ненадежным веб-сайтам. Обычно они используются только в надежных процессах восстановления или импорта кошелька.
Coinbase удаляет инструмент вывода средств со своего сайта, ищет другое решение
Coinbase подтвердил Cointelegraph, что упомянутый инструмент был частью его устаревшего продукта Commerce, который планируется прекратить поддержку 31 марта 2026 года и который с марта 2025 года находится в режиме постепенного вывода из эксплуатации.
“Мы удалили этот инструмент со своего сайта и изучаем обновленное решение для небольшого количества торговых аккаунтов Commerce, которые все еще его использовали”, — сообщил представитель Coinbase, добавив:
“Безопасность наших клиентов и защита их активов являются нашим главным приоритетом; все средства остаются в безопасности.”
Компания отметила, что все соответствующие торговые аккаунты в процессе миграции на Coinbase Business, ее корпоративную платформу для работы с криптовалютами.
Удаленная схема Coinbase Commerce запрашивала ввод seed-фразы
Согласно исследователю блокчейна ZachXBT, удаленное руководство описывало опцию восстановления средств путем импорта seed-фразы в совместимый кошелек, такой как Coinbase Wallet или MetaMask.
Оно также перенаправляло пользователей на инструмент вывода средств, размещенный на том же поддомене, который вызвал вопросы.
Источник: Coinbase Commerce
В документации к справке также подчеркивается, что кошельки Commerce являются некастодиальными, то есть Coinbase не имеет доступа к seed-фразам пользователей и не может восстановить средства в случае их утери.
В другом руководстве Coinbase настоятельно рекомендует пользователям никогда не вставлять seed-фразы на какие-либо веб-сайты.
Источник: Coinbase
Во вторник Coinbase предупредил о том, что мошенники выдают себя за службу поддержки клиентов по телефону или в Интернете, чтобы украсть информацию для входа и коды подтверждения. Компания заявила, что никогда не связывается с пользователями напрямую и просит обращаться в ее официальные каналы на X и Reddit.
