资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Coinbase因助长钓鱼风险遭安全专家警示
加密货币交易平台Coinbase官方子域名下存在一个页面,会引导用户以明文形式输入助记词以恢复加密资产,此举已被区块链安全专家标记为高风险行为。专家指出,该页面设计可能使用户暴露于典型的社会工程学攻击之下,且相关数据或许已落入犯罪者手中。
该页面是Coinbase商务平台在3月31日停止服务前逐步关闭流程的一部分。2026年3月19日,区块链安全公司SlowMist创始人于险(网络昵称Evilcos)公开揭露此问题,并在社交平台发布截图表示:“我实在无法理解Coinbase为何会设置这样的页面,直接要求用户输入明文助记词来恢复资产?这种缺乏安全性的操作令人难以置信……我一度怀疑该子域名已被入侵。”
当前正值Coinbase商务平台关闭的最后阶段,数千家商户急需转移资金,这种紧迫的时间压力容易导致用户仓促操作而降低对凭证输入环境的警惕性。页面甚至提供选项让用户从Google Drive等云存储服务中复制已保存的助记词,这与Coinbase官方帮助文档中“永不索要用户恢复短语”的原则直接矛盾。
攻击者可能如何利用此漏洞?
安全研究人员的担忧不仅限于Coinbase对数据的处理方式。他们指出,该页面设计实际上为欺诈行为提供了蓝图。SlowMist首席信息安全官23pds分析道:“虽然链接来自Coinbase官网,但直接要求用户传输助记词验证资产的做法极其危险。”他进一步补充说,该页面还存在网站地图结构缺陷,攻击者可轻易利用工具下载前端代码并部署仿冒网站。若结合类似Coinbase的钓鱼域名进行攻击,用户极易受骗。
链上调查员ZachXBT对此评估直言不讳:“这意味着Coinbase确实存在一个官方页面,可能被威胁行为者利用针对用户进行助记词社会工程学攻击。”他在后续评论中呼吁团队尽快修复并移除该页面。截至发稿时,Coinbase尚未就此问题发表声明或撤下相关页面。
Coinbase此前是否遭遇过类似攻击?
该平台过去就曾因应对针对客户的社会工程学威胁而受到批评。2025年2月,调查数据显示用户仅两个月内因此类攻击损失超过6500万美元,年损失预估达3亿美元。欺诈者通常冒充Coinbase客服人员,使用克隆管理面板实施实时自动化攻击。同年5月又发生数据泄露事件,Coinbase确认系犯罪者贿赂海外支持人员所致。公司虽已终止相关人员合作并设立数亿美元补救基金,但当前商务页面仍可能成为恶意行为者轻易利用的目标。近期安全警报应促使交易所采取紧急措施,防止未来可能出现的利用行为。
