资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Coinbase移除恢复短语输入工具引争议
Coinbase因一项要求用户输入“恢复短语”的工具而陷入争议。链上调查人员指出其安全风险,平台设计可能与现行的“种子短语安全原则”发生冲突。
此次争议始于3月18日,SlowMist创始人余弦指出,Coinbase域名托管的一个页面要求用户明文输入“12单词恢复短语”。该界面甚至包含引导用户从Google Drive备份中获取短语的提示。
链上调查员ZachXBT也随即指出问题。他警告称:“官方域名上的这个页面可能被攻击者利用,成为‘种子短语社会工程攻击’的工具。”其核心风险在于,官方网站的可信度会提高网络钓鱼攻击的说服力。
SlowMist研究员23pds进一步指出了技术漏洞。分析认为,该页面网站结构简陋,易于“复制”,很可能被利用于使用相似域名进行的钓鱼攻击。
争议不仅聚焦于技术问题,更集中于其“行为引导方式”。用户Kieran指出:“加密货币的基本安全原则是在任何情况下都不输入恢复短语。”官方页面提出此类要求,其本身就可能产生为钓鱼攻击正名的效果。
实际上,恢复短语是完全控制钱包访问权限的核心信息。诱导用户输入的设计,可能传递与用户安全教育相悖的信息,引发了行业担忧。
争议出现后,Coinbase方面立即移除了该工具。内部团队成员Alex表示:“感谢社区提出问题,团队正在开发更安全的解决方案。”目前,相关页面仅显示“服务不可用”的提示。
安全攻击趋势的转变
此事也与近期加密货币攻击趋势的变化相呼应。据链上安全公司Nominis数据,今年2月加密货币相关损失金额下降约87%,但攻击方式正从“代码漏洞”转向“用户欺骗”。
Nominis分析指出,近期的攻击更多地集中于“钓鱼”和“具有误导性的界面”,而非技术性黑客攻击。这意味着,针对“人”而非“系统”的攻击方式正在增加。
在此趋势下,Coinbase事件已非单纯的个案,而是留下了重要的启示。若平台设计削弱了安全认知,就可能为攻击者提供新的机会。行业评价认为,在整个业界,“考虑用户行为的安全设计”正变得愈发重要。
