Coinbase Commerce页面现在明摆着要用户输入12字助记词,这事一出,安全研究员们坐不住了。
SlowMist创始人Evilcos直接在X上发帖吐槽。他直言看不懂为什么Coinbase会搞这么个页面,让用户明文输入助记词来恢复资产。“这种不安全的操作太离谱,我差点以为子域名被黑了。”
区块链调查员ZachXBT跟着放大声音。他问得更直接:Coinbase官方页面摆在那,攻击者要是想用社交工程骗Coinbase用户的助记词,不是正好有现成工具吗?
社交工程骗局说白了就是骗子不靠技术硬攻,而是玩弄人的信任、急迫感、恐惧或者权威,让你自己把敏感信息交出去。这次Coinbase的页面,恰恰给了这种骗局一个官方入口。
事情起因是Coinbase要把Commerce业务并入Coinbase Business,强制商户在2026年3月31日前把资金挪走。他们给了两个选项。
第一个是官方推荐的Commerce提现工具,一键把所有地址里的钱打包成一笔交易。Coinbase说这工具能自动扫描Commerce地址,省得商户自己麻烦,尤其适合收到比特币或者其他UTXO资产的商家。
第二个选项就是直接用助记词。页面上写着:如果你有助记词,可以导入到兼容钱包,比如Coinbase Wallet或者MetaMask。
可问题就出在这第二个选项上。
安全圈的人一眼看出风险。助记词等于私钥,一旦输入假页面或者被骗子诱导,资金瞬间归零。过去几年,各种假客服、假官网已经坑掉无数人,现在Coinbase自己把输入框摆出来,等于给骗子发邀请函。
我翻了翻Coinbase的博客,他们确实强调优先用提现工具。但同时又把助记词导入写得清清楚楚,这就让人摸不着头脑。为什么不在页面上把助记词选项藏得深一点,或者至少加几层警告?
更扎心的是,Coinbase到现在还没给BeInCrypto回复。记者问了,他们没回应。
市场这边,BTC现报$70,745(跌4.45%),ETH现报$2,188(跌5.81%),整体加密市场今天集体回调,资金面本来就紧张。这种时候,用户对安全更敏感,Coinbase这一出,等于在伤口上撒盐。
商户们现在面临抉择。3月31日大限将至,不动资金就会被合并或者冻结。选提现工具还好,操作相对安全。可要是真有大量用户被“助记词恢复”这个选项吸引,风险可想而知。
我见过太多案例。去年某个大交易所也出过类似引导,用户以为官方页面绝对安全,结果助记词一输,钱包被清空。事后交易所推说用户操作不当,赔不赔另说,钱是真没了。
Coinbase作为行业头部,本该把安全做到极致。用户把钱存在你这儿,信任是基础。现在页面直接要助记词,等于自己打破这份信任。
Evilcos的困惑不是没道理。正常流程里,助记词永远不该离开用户本地设备,更不该在任何网页上明文输入。行业标准是让用户在本地钱包操作,或者用硬件钱包签名。
ZachXBT的质疑也戳中要害。这个页面如果被恶意利用,骗子可以伪造类似链接,发给Commerce老用户,说“官方要求尽快恢复资产”,附上假页面。用户一紧张,就中招。
我查了下历史,Coinbase过去在安全上口碑不算差,但这次操作确实让人看不懂。合并业务是正常商业动作,可安全细节处理得这么粗糙,多少有点意外。
商户们如果手里有Commerce地址,最好现在就去用官方推荐的提现工具,别碰助记词选项。操作前多确认网址,多开两步验证,别贪省事。
市场回调时,大家本来就盯着钱包余额。这种安全风波一出,难免让更多人心里打鼓。Coinbase需要尽快澄清这个页面到底怎么回事,是临时措施还是长期设计,至少给用户一个明白交代。
否则,信任裂痕一旦扩大,修复起来可就难了。