Coinbase направляет некоторых пользователей Commerce на процедуру восстановления с помощью сид-фразы в преддверии крайнего срока миграции 31 марта.
Проблема заключается в плане Coinbase по закрытию устаревших кошельков Commerce. В руководстве по переходу Coinbase заявляет, что пользователи со средствами на кошельке Commerce должны вывести их до 31 марта 2026 года, после чего портал Commerce и инструмент вывода средств станут недоступны.
Пользователям, которые сохранили резервную копию своего кошелька в Google Drive, Coinbase рекомендует зайти на панель управления Commerce, открыть «Настройки и безопасность», отобразить 12-словную сид-фразу и использовать инструмент вывода средств по адресу withdraw.commerce.coinbase.com.
Coinbase заявляет, что этот процесс особенно важен для мерчантов, получивших Bitcoin или другие активы на основе UTXO, поскольку в противном случае может быть сложно получить доступ к балансам в стандартных кошельках.
Сид-фраза — это мастер-ключ восстановления для кошелька с самостоятельным хранением. В собственной документации кошелька Coinbase она описывается как 12-словная фраза восстановления, доступная только пользователю.
Кто контролирует эту фразу, тот контролирует доступ к кошельку и его средствам. Потеряйте ее — и доступ к средствам может быть утерян. Раскройте ее — и средства в кошельке могут быть выведены.
Именно здесь противоречие становится очевидным. Руководство по кошельку Coinbase советует пользователям никогда не делиться фразой восстановления, заявляет, что фирма никогда ее не запросит, и добавляет отдельное предупреждение: «Никогда не вставляйте ее ни на какой веб-сайт».
Однако в руководстве по переходу Commerce некоторым пользователям предписывается раскрыть ту же фразу в рамках официального пути восстановления, размещенного Coinbase.
Объяснение компании состоит в том, что кошельки Commerce являются некастодиальными, и Coinbase не имеет доступа к фразе или средствам, что оставляет пользователей ответственными за восстановление до закрытия.
Исследователи безопасности видят шаблон фишинга
Тем не менее, это требование Coinbase вызвало тревогу у многих экспертов по безопасности, которые критикуют платформу за поведение, которому ее страница учит пользователей.
Основатель блокчейн-фирмы SlowMist Ю Сянь заявил, что был озадачен тем, что Coinbase размещает страницу с просьбой ввести мнемоническую фразу открытым текстом для восстановления активов, и назвал эту практику настолько небезопасной, что сначала он заподозрил взлом субдомена.
Предупреждение обострило основную критику в адрес страницы: официальный бренд, срочный дедлайн и рабочий процесс с сид-фразой создают формат, который злоумышленники регулярно имитируют.
Тем временем главный специалист по информационной безопасности SlowMist 23pds написал в X, что в этом процессе есть «две проблемы». Во-первых, он заявил:
«Хотя ссылка исходит с официального веб-сайта Coinbase, прямая просьба к пользователям передать свою мнемоническую фразу для верификации активов — это крайне глупо».
Во-вторых, он отметил, что на сайте была дефектная карта сайта, которая могла позволить злоумышленникам скопировать фронтенд и развернуть почти точный клон на домене с похожим названием, создав сильную фишинговую приманку для пользователей, уже настроенных доверять версии Coinbase.
Кроме того, блокчейн-следователь ZachXBT еще более прямо поднял этот вопрос. В посте на X он написал:
«То есть, по сути, у Coinbase есть официальная страница, которую могут использовать злоумышленники для нацеливания на пользователей Coinbase посредством социальной инженерии с использованием сид-фразы, если они захотят?»
Их опасения неудивительны, учитывая, что фишинг и мошенничество с использованием социальной инженерии остаются одним из самых эффективных векторов атак на криптоиндустрию.
В прошлом году ZachXBT сообщил, что пользователи Coinbase теряют более 300 миллионов долларов ежегодно из-за мошенничества с использованием социальной инженерии.
Это объясняет, почему рабочий процесс Commerce вызвал такую сильную реакцию. Команды безопасности годами учили пользователей, что любой запрос, связанный с сид-фразой, является началом мошенничества.
Однако страница, принадлежащая Coinbase и обрабатывающая ту же фразу, может изменить визуальные и поведенческие сигналы, на которые пользователи привыкли полагаться.
История взломов Coinbase нависает над дебатами
Тем временем дебаты о безопасности становятся более острыми, поскольку Coinbase уже разбирается с последствиями прошлых инцидентов с социальной инженерией.
В мае 2025 года Coinbase сообщила, что киберпреступники подкупили группу зарубежных агентов поддержки, чтобы украсть данные клиентов для атак социальной инженерии.
Биржа под руководством Брайана Армстронга заявила, что злоумышленники получили доступ к данным учетных записей менее чем у 1% пользователей, совершающих транзакции ежемесячно, и использовали их для составления списков клиентов, которым они могли бы позвонить, представляясь сотрудниками платформы.
Компания заявила, что закрытые ключи не были скомпрометированы, и пообещала возместить ущерб клиентам, которых обманом заставили отправить средства злоумышленникам.
Помимо этого, у компании есть и более ранние данные о взломах.
Coinbase сообщила в своем годовом отчете за 2024 год о том, что в 2021 году третьи стороны получили учетные данные для входа и личную информацию как минимум 6000 клиентов и использовали эти данные для использования уязвимости в процессе восстановления учетной записи. Фирма заявила, что возместила пострадавшим клиентам около 25,1 миллиона долларов.
Эта история повышает ставки в отношении любого официального рабочего процесса, который требует от пользователей вводить сид-фразу на работающей веб-странице.
Исследователи безопасности предупреждают, что такой брендированный интерфейс, нормализующий ввод сид-фразы, еще больше усилит фишинговые атаки и атаки с выдачей себя за других, которые остаются одними из самых эффективных методов атак в отрасли.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Oluwapelumi Adejumo




