Coinbase подвергается критике по вопросам безопасности после того, как попросил пользователей ввести seed-фразы

• Coinbase опубликовала страницу миграции с просьбой ввести seed-фразы кошелька.
• Эксперты по безопасности предупреждают, что такой подход может способствовать фишинговым и социальным инженерным атакам.
• Критики утверждают, что раскрытие seed-фраз в интернете создает серьёзные риски для кошельков с самосохранением.

Coinbase подвергается критике со стороны сообщества безопасности после публикации официальной страницы, в которой пользователи просят ввести свои seed-фразы напрямую в веб-форму. Исследователи называют это опасным, ненужным и готовым шаблоном для мошенников.

Что происходит

Страница была создана для того, чтобы помочь торговцам перемещать средства, поскольку Coinbase объединяет свой продукт Commerce с Coinbase Business до крайнего срока 31 марта. Торговцы, получившие Bitcoin и другие криптовалютные платежи через Commerce, направляются на инструмент вывода средств на субдомене Coinbase, где их просят ввести свою 12-словную seed-фразу для консолидации и перевода своих средств.

Для пользователей, которые сделали резервную копию своей seed-фразы в Google Drive, процесс включает в себя её открытие через настройки панели Commerce и ввод в инструмент вывода средств. Coinbase ясно дала понять, что если пользователи потеряют свою стартовую фразу, она не сможет вернуть средства.

Почему исследователи безопасности обеспокоены

Он-чейн-следователь ZachXBT сказал: «То есть, по сути, у Coinbase есть официальная страница, которую живые злоумышленники могут использовать для таргета пользователей Coinbase с помощью seedphrase social engineering, если захотят?»

Один пользователь прокомментировал, что был удивлён, почему у Coinbase появилась страница с просьбой ввести мнемонические фразы для восстановления активов, назвав эту практику крайне небезопасной и даже подозревая, что поддомен мог быть скомпрометирован.

Связано: SBI ARUHI запускает программу XRP Rewards для инвесторов

Проблема в том, что seed-фраза — это самая чувствительная информация, которой обладает пользователь криптовалюты. Тот, кто его владеет, имеет полный и необратимый доступ к кошельку. Официально выглядящая страница Coinbase, которая нормализует ввод seed-фраз в веб-форму, даёт преступникам идеальный план фишинговых атак.

Исследователи также заявили, что страница была опубликована без базовых оперативных мер безопасности, что говорит о её развертывании без надлежащей проверки безопасности. Всё, что нужно злоумышленнику — это клонировать страницу, отправлять письма с направлением пользователей на почти идентичный URL и собирать seed-фразы в больших масштабах.

Что должны делать пользователи

• Используйте инструмент вывода средств только по URL, введённому вручную, никогда по ссылке на email
• Никогда не вводите свою seed-фразу на странице, на которую попадали по ссылке
• Свяжитесь с [email protected] напрямую, если у вас есть вопросы
• Проверяйте каждый URL независимо перед вводом конфиденциальной информации

Coinbase не дала публичного ответа на критику на момент публикации.

Связанно: Бутан снова сбросил $72 млн в биткоин: прекратил ли он майнинг?