Coinbase移除恢复短语输入功能引发安全争议
加密货币交易平台Coinbase近期因一项要求用户直接输入12词恢复短语的功能陷入舆论漩涡。链上安全研究机构指出,该设计与核心的“种子短语保密原则”严重背离,存在重大安全隐患。
官方页面被指成钓鱼温床
争议始于3月18日,慢鱼(SlowMist)创始人余弦揭露,Coinbase所托管的某个网页竟引导用户以明文形式输入其钱包恢复短语,并附带提示如何从Google Drive等云服务提取备份信息。
链上调查员ZachXBT迅速发声,警告称:‘即便位于官方网站,此类页面也可能被恶意劫持,成为针对种子短语的社会工程攻击入口。’其关键风险在于,用户对官网的信任感会极大提升钓鱼链接的可信度。
界面结构暴露可复制性漏洞
SlowMist研究员23pds进一步分析发现,该页面采用极简架构,缺乏基本防复制机制,极易被攻击者仿制并部署于相似域名之下,形成高仿真钓鱼站点。
安全教育与平台行为的冲突
用户Kieran质疑道:‘加密资产的核心安全准则就是绝不向任何方透露恢复短语。’平台主动提出此类操作指引,实则可能在无形中为诈骗行为提供合法性背书。
作为掌控钱包全部权限的关键凭证,恢复短语一旦泄露将导致资产永久丢失。诱导用户输入的设计,不仅违背安全共识,更可能误导普通用户,加剧风险传播。
平台快速响应并下线功能
面对持续发酵的批评,Coinbase迅速作出反应,已将该工具彻底移除。内部成员Alex在社区回应称:‘感谢社区及时反馈,团队正着手开发更符合安全规范的新方案。’目前相关页面仅显示‘服务不可用’状态。
攻击模式转向“人因弱点”
此次事件恰逢加密领域安全态势发生结构性转变。据链上安全公司Nominis统计,2024年2月,加密资产相关损失金额同比骤降约87%,但攻击手段正由传统的代码漏洞利用,转向更具隐蔽性的“用户诱导”策略。
Nominis分析指出,当前多数攻击聚焦于精心设计的钓鱼页面、误导性引导流程以及心理操控话术,而非技术层面的系统入侵。这表明,攻击者正将目标从“系统”转向“人”的认知盲区。
平台设计需重塑安全思维
Coinbase此番事件不再是个例,而是整个行业面临的新挑战。当平台自身的设计逻辑削弱了用户的安全意识,便等于为攻击者敞开了大门。业内普遍认为,在未来的产品开发中,必须将‘用户行为安全’置于核心位置,构建以防御人为失误为导向的系统架构。