慢霧餘弦:Coinbase已將用戶輸入明文助記詞進行資產恢復的頁面下線
事件背景
慢霧創始人餘弦在X平臺發文,指出Coinbase Commerce某子域名頁面被發現要求用戶輸入明文助記詞以恢復資產,此做法引發安全專家強烈質疑。
安全風險分析
- 在線網頁的安全模型遠低於擴展或App,安全性薄弱。
- 明文助記詞容易被釣魚網頁模仿與學習,是釣魚攻擊的常見手法。
- 此類行為嚴重違反基本安全紅線,對用戶資產安全構成重大威脅。
官方回應與後續發展
在餘弦披露風險後,慢霧首席信息安全官23pds補充表示,該頁面存在嚴重安全隱患,並指出其操作不符合安全標準。
目前,Coinbase已將要求用戶輸入明文助記詞的資產恢復頁面下線,以回應安全質疑。