Coinbase这回真把用户往火坑里推。Commerce老钱包要在2026年3月31日前迁移,过时就彻底关门,里面的币取不出来。公司发了份过渡指南,告诉部分用户:赶紧去Commerce仪表盘,点设置-安全,点开显示12词种子短语,然后跳到withdraw.commerce.coinbase.com用取款工具提币。听起来像官方流程,实际等于教用户把最敏感的私钥信息直接打在网页上。
种子短语就是自托管钱包的命根子。Coinbase自己文档里反复强调:这12个词只有用户知道,谁拿到谁就能卷走全部资产。丢了就永久锁死,泄露了就等于把银行卡密码+验证码全发给陌生人。可现在官方指南偏偏让用户在浏览器里“reveal”出来,还得手动输入到取款页面。安全研究员一看就炸了。
SlowMist创始人余弦直接开喷,说他第一反应是这个子域名被黑了。谁会相信一个正规交易所让用户把助记词明文传给服务器?就算链接是https://withdraw.commerce.coinbase.com,开头再怎么官方,行为本身就跟典型钓鱼一模一样:制造紧迫感、用品牌背书、要求输入种子短语。23pds在X上列了两大硬伤。第一,直接让用户把助记词传给网站,蠢到家了。第二,网站sitemap有漏洞,黑客轻松扒皮复制前端,搞个视觉一模一样的假域名,用户一看熟悉的界面和倒计时,很容易上当。
ZachXBT更狠,直接问:Coinbase这不等于给诈骗团伙送了个现成的模板?想钓鱼的直接拿官方页面当参照物,模仿UI、抄文案、套用相同紧急语调,就能批量收割那些已经被“官方要种子”洗脑的用户。去年ZachXBT就爆过,Coinbase用户每年光被社交工程骗走的钱就超3亿美元。现在官方自己把“输入种子短语”这个最危险的操作合法化,后果可想而知。
更扎心的是,Coinbase过去几年在社交工程上栽过大跟头。2025年5月,黑客收买海外客服,偷了不到1%月活跃用户的账户数据,然后冒充平台客服精准诈骗,公司最后只能认赔。往前翻,2021年第三方搞到至少6000个客户的登录凭证和个人信息,利用恢复流程漏洞入侵,Coinbase赔了2510万美元。这些黑历史摆在那,用户对任何涉及种子短语的官方要求本来就该高度警惕,结果平台自己跳出来说“没事,这是我们让你干的”。
Commerce钱包是自托管模式,Coinbase确实接触不到用户的私钥和短语,这点没毛病。可问题出在解决方案上。非要让用户在网页明文暴露助记词,而不是提供离线签名工具、硬件钱包兼容导出、甚至直接转到新版Coinbase Wallet的批量迁移通道?技术上完全可以做得更安全,非选最蠢的那条路。
现在时间紧,离3月31日只剩十来天,很多商户收到过BTC等UTXO资产,余额在普通钱包里可能显示不全,只能靠种子短语恢复。用户两难:不提就真丢币,提了又怕被钓。安全圈已经把这个流程批成“教科书级反面教材”。一个正规大所,用最经典的诈骗套路教育用户,等于亲手拆掉行业多年建立的“永不输入种子短语”防火墙。
BTC现报$70,695(24h +0.92%),市场还算平稳,可用户资产安全从来不是靠行情涨跌决定。Coinbase这波操作,等于把用户推到悬崖边上,还美其名曰“为了你们好”。真要命。