Coinbase Commerce这事儿闹得沸沸扬扬,核心就一句话:一个跟Coinbase官方挂钩的子域名页面,竟然明目张胆让用户输入种子短语(助记词)来“恢复资产”。这不是开玩笑,是真把钱包的命根子往明面上摆。
事情最早被SlowMist创始人余弦(Yu Xian)在X上捅出来。他直接甩图,语气都带点懵:为什么Coinbase会有这么个页面,直接要用户把明文助记词敲进去做资产恢复?这种做法在业内简直不可想象。余弦发帖时间是3月18日,帖子迅速被转发几千次,评论区炸了锅。
页面地址指向Coinbase Commerce的某个子域名,功能标注为“withdrawal tool”(提现工具)。ZachXBT这个链上侦探也很快跟进,他翻出Coinbase Help曾经的一篇指南,里面明确提到:Commerce钱包是自托管的,Coinbase拿不到你的助记词,如果丢了也救不回来。但指南同时给了条路——把助记词导入Coinbase Wallet或者MetaMask等兼容钱包来恢复资金。而导入的入口,就跳到了这个被喷的子域名页面。
指南现在已经404了。Coinbase显然紧急下架了相关内容。ZachXBT一句话点睛:这等于给所有想搞Coinbase用户社工的坏人,提供了现成的官方钓鱼模板。你想冒充客服忽悠人交助记词?直接甩这个链接过去就行了,受害者一看是Coinbase域名,多半就信了。
助记词是什么大家都知道。12个或24个单词,掌握它就掌握了整个钱包。任何正规钱包、任何客服,都不可能让你在网页上直接输入这个东西。Coinbase自己另一篇安全指南里写得清清楚楚:永远不要把助记词粘贴到任何网站上。可现在自家Commerce工具却干了恰恰相反的事。这前后矛盾到让人想笑。
Coinbase对CoinTelegraph的回应只有一句:正在调查。没下文。余弦那边也没回。整个事件从曝光到现在,官方还没出正式声明。市场情绪已经受影响,今天BTC报$69,604(24h跌3.23%),ETH报$2,130(24h跌4.24%),主流币集体下挫,虽然大盘本身也在调整,但这种安全新闻一出,多少会加剧恐慌抛盘。
回过头看,Commerce是Coinbase专门给商家提供的加密支付工具,支持用户自托管钱包收款。理论上自托管就意味着用户自己管钥匙,平台不碰。但现在这个“恢复流程”设计得如此粗暴,直接把最危险的操作端到台面上。到底是代码bug、前端失误、还是内部审核集体摆烂?没人说得清。
更扎心的是,Coinbase上周二刚发公告警告大家:诈骗分子正冒充客服打电话或发消息骗登录信息和验证码,公司绝不会主动联系用户。现在自家页面却在干助记词收集的事,信任裂痕直接拉满。安全研究员们已经在喊:这不是技术失误,这是把用户往火坑推的严重疏忽。
加密圈最怕的就是这种“官方钓鱼”。过去几年,假客服、假官网、假空投已经骗走几十亿美元。Coinbase体量这么大,用户基数千万级别,一旦真有人拿这个页面做模板搞精准攻击,后果不堪设想。平台不赶紧把页面彻底下线并公开道歉解释,风波只会越烧越大。
现在币圈大家都在盯着:Coinbase到底怎么圆这个场。删个指南就能当没发生过?还是得给全网用户一个像样的交代?时间不等人,市场更不等人。