慢霧CISO：Coinbase Commerce資產恢復頁面站點地圖也存缺陷，有釣魚攻擊風險

事件背景

在慢霧創始人餘弦披露Coinbase Commerce資產恢復頁面直接要求用戶輸入明文助記詞存在風險後，慢霧首席信息安全官23pds進一步指出，該頁面的站點地圖（sitemap）也存在缺陷。

技術風險分析

惡意攻擊者可以輕易使用ResourcesSaver等工具下載前端代碼，並部署類似的網站。若將其與Coinbase等類似域名結合使用，即可構成網絡釣魚攻擊，用戶容易上當受騙。

安全建議

相關平臺應加強資產恢復頁面的安全設計，避免直接暴露用戶敏感信息，如明文助記詞，並應優化站點地圖結構，防止被惡意利用。

來源：https://www.panewslab.com/zh/articles/019d042a-e3c7-759b-9789-57ca686b516b