Компания Coinbase направляет некоторых пользователей своего сервиса Commerce к процессу восстановления с использованием seed-фразы перед окончательным сроком миграции, который истекает 31 марта 2026 года. Эта проблема возникла в рамках плана по закрытию устаревших кошельков Commerce. В своем руководстве по переходу Coinbase сообщает, что пользователи, имеющие средства в кошельке Commerce, должны вывести их до указанной даты, когда портал Commerce и инструмент для вывода средств станут недоступны.
Процесс восстановления средств
Для пользователей, которые сохранили свою seed-фразу в Google Drive, Coinbase рекомендует зайти в панель управления Commerce, открыть раздел «Настройки и безопасность», раскрыть 12-словную seed-фразу и использовать инструмент для вывода средств по адресу withdraw.commerce.coinbase.com. Coinbase подчеркивает, что этот процесс особенно важен для торговцев, которые получили Bitcoin или другие активы на основе UTXO, поскольку балансы могут быть трудно доступны в стандартных кошельках.
Что такое seed-фраза?
Seed-фраза является основным ключом для восстановления доступа к кошельку с самоуправлением. Документация Coinbase описывает ее как 12-словную фразу, доступ к которой есть только у пользователя. Тот, кто контролирует эту фразу, контролирует доступ к кошельку и его средствам. Если фраза будет потеряна, доступ к средствам может быть утерян. Если фраза будет раскрыта, средства в кошельке могут быть украдены.
Противоречия в рекомендациях Coinbase
Однако здесь возникает противоречие, которое трудно не заметить. Руководство Coinbase по кошелькам предостерегает пользователей никогда не делиться своей seed-фразой, утверждает, что компания никогда не будет ее запрашивать, и добавляет отдельное предупреждение: «Никогда не вставляйте ее на какие-либо веб-сайты». Тем не менее, руководство по переходу Commerce предлагает некоторым пользователям раскрыть ту же самую фразу в рамках официального процесса восстановления, организованного Coinbase.
Компания объясняет, что кошельки Commerce являются самоуправляемыми, и Coinbase не имеет доступа к фразе или средствам, что оставляет пользователям ответственность за восстановление доступа до закрытия сервиса. Это требование Coinbase вызвало тревогу у многих экспертов по безопасности, которые критикуют платформу за поведение, которое ее страница учит пользователей принимать.
Критика со стороны экспертов по безопасности
Основатель блокчейн-компании безопасности SlowMist Ю Сян выразил недоумение по поводу того, что Coinbase размещает страницу, на которой пользователи должны вводить свою мнемоническую фразу в открытом виде для восстановления активов. Он отметил, что такая практика является крайне небезопасной и сначала подумал, что поддомен был взломан. Внимание к этому вопросу подчеркивает основную критику страницы: официальный бренд, срочный срок и процесс работы с seed-фразой объединяются в формат, который злоумышленники часто имитируют.
Тем временем, главный специалист по информационной безопасности SlowMist 23pds отметил на платформе X, что у данного процесса есть «две проблемы». Во-первых, он сказал: «Хотя ссылка ведет на официальный сайт Coinbase, прямой запрос к пользователям о передаче их мнемонической фразы для проверки активов является крайне неразумным». Во-вторых, он указал на наличие ошибочной карты сайта, которая может позволить злоумышленникам скопировать интерфейс и развернуть почти точную копию на похожем домене, создавая сильный фишинговый приманку для пользователей, которые уже готовы доверять версии Coinbase.
Проблемы с фишингом и социальной инженерией
Дополнительно, блокчейн-исследователь ZachXBT более прямо указал на этот момент в своем посте на X, написав: «Таким образом, по сути, Coinbase имеет активную страницу, которую злоумышленники могут использовать для нацеливания на пользователей Coinbase через социальную инженерию с использованием seed-фразы?» Их опасения не являются неожиданными, учитывая, что фишинг и мошенничество с социальной инженерией остаются одним из самых мощных векторов атак против криптоиндустрии.
В прошлом году ZachXBT сообщил, что пользователи Coinbase теряют более 300 миллионов долларов ежегодно из-за мошенничества с социальной инженерией. Это подчеркивает, почему процесс Commerce вызвал такую сильную реакцию. Команды безопасности потратили годы на обучение пользователей тому, что любой запрос, связанный с seed-фразой, является началом мошенничества. Однако страница, принадлежащая Coinbase, обрабатывающая ту же фразу, может изменить визуальные и поведенческие сигналы, на которые пользователи привыкли полагаться.
История нарушений безопасности Coinbase
Тем временем, дебаты по безопасности становятся более острыми, поскольку Coinbase уже сталкивается с последствиями прошлых инцидентов, связанных с социальной инженерией. В мае 2025 года Coinbase сообщила, что киберпреступники подкупили группу зарубежных агентов поддержки, чтобы украсть данные клиентов для атак социальной инженерии. Биржа, возглавляемая Брайаном Армстронгом, заявила, что злоумышленники получили данные учетных записей менее чем 1% пользователей, совершающих транзакции, и использовали их для составления списков клиентов, с которыми они могли связаться, притворяясь представителями платформы.
Компания заявила, что никакие приватные ключи не были раскрыты и пообещала возместить клиентам, которые были обмануты и отправили средства злоумышленникам. Кроме того, у компании также есть предыдущий опыт нарушений безопасности. Coinbase сообщила в своем годовом отчете за 2024 год, что в 2021 году третьи лица получили учетные данные для входа и личную информацию как минимум 6000 клиентов и использовали эти данные для эксплуатации уязвимости в процессе восстановления учетной записи. Компания заявила, что возместила пострадавшим клиентам около 25,1 миллиона долларов.
Эта история поднимает ставки вокруг любого официального процесса, который требует от пользователей обработки seed-фразы на активной веб-странице. Исследователи безопасности предупреждают, что такой брендированный интерфейс, который нормализует ввод seed-фразы, еще больше увеличит фишинговые и имитационные атаки, которые остаются одними из самых эффективных методов атаки в индустрии.
Заключение
Таким образом, ситуация с Coinbase и процессом восстановления средств из кошельков Commerce подчеркивает важность безопасности в криптоиндустрии. Пользователи должны быть особенно внимательными к запросам, связанным с seed-фразами, и осознавать риски, связанные с их раскрытием. Coinbase, как одна из ведущих криптобирж, должна учитывать эти риски и обеспечивать безопасность своих пользователей, чтобы предотвратить возможные мошеннические действия. В условиях растущих угроз со стороны злоумышленников, важно, чтобы пользователи оставались бдительными и информированными о методах защиты своих активов.
