Coinbase Commerce的安全争议
Coinbase Commerce的种子短语提取页面引发了安全研究人员的强烈批评。他们警告称,该页面在3月31日关闭截止日期前,正常化了用户在网站上输入12个单词的恢复短语的行为。
Coinbase Commerce的一个子域页面——该公司的商户支付产品——因要求用户直接在网页表单中以明文输入他们的12个种子短语(也称为助记词或恢复短语)而受到区块链安全研究人员的尖锐批评。
“这种做法显示出一家主要行业参与者令人难以置信的安全意识缺失。”
——SlowMist创始人余贤(网络名为Cos)
争议于周三爆发,并在周四早晨加剧,发现这一问题的时机尤为敏感:Coinbase计划在2026年3月31日之前完全关闭Commerce,作为Coinbase Business更广泛平台整合的一部分,这意味着成千上万的商户只有短暂的时间窗口来提取他们的资金。
相关页面位于 withdraw.commerce.coinbase.com/seed-phrase,曾在一份现已删除的Coinbase Commerce帮助文档中提到,该文档指导用户通过将他们的恢复短语导入兼容的钱包(如Coinbase Wallet或MetaMask)来恢复资金。
链上调查员ZachXBT独立标记了该页面,警告其存在为针对Coinbase用户的社会工程攻击创造了直接的攻击面。
