Saugumo tyrėjai kelia klausimų dėl su „Coinbase“ siejamo „Commerce“ puslapio, kuriame vartotojai, kaip teigiama, raginami įvesti kriptovaliutų piniginės atkūrimo frazę (seed). Specialistai perspėja, kad toks procesas gali normalizuoti elgesį, kuriuo dažnai pasinaudoja sukčiai vykdydami „phishing“ atakas.

Šis puslapis plačiai paplito socialiniuose tinkluose po to, kai apie jį pranešė blokų grandinės saugumo platformos „SlowMist“ įkūrėjas Yu Xian, dar žinomas kaip Cos.

„Nuoširdžiai nesuprantu, kodėl „Coinbase“ turėtų puslapį, kuris tiesiogiai prašo vartotojų įvesti savo mnemonic frazes paprastu tekstu tam, kad būtų atkurti aktyvai. Toks nesaugus sprendimas tiesiog neįtikėtinas“, – trečiadienį socialiniame tinkle „X“ rašė Yu Xian.

Viešai „Coinbase“ situacijos kol kas nekomentavo. Bendrovė nurodė, kad aiškinasi aplinkybes, tačiau papildomos informacijos nepateikė. Į Yu Xian taip pat buvo kreiptasi dėl komentaro, tačiau iki publikavimo atsakymo nebuvo gauta.

Atkūrimo frazės suteikia visišką savarankiškai valdomos (self-custody) piniginės kontrolę, todėl jų niekada nereikėtų atskleisti tretiesiems asmenims, klientų aptarnavimo darbuotojams ar nepatikimoms svetainėms. Paprastai jos naudojamos tik patikimuose piniginės atkūrimo ar importavimo procesuose.

Subdomeną „Coinbase“ siejo su „Commerce“ išėmimo įrankiu

Blokų grandinės tyrėjas ZachXBT teigė, kad aptariamas puslapis buvo minimas „Coinbase“ pagalbos gide, susijusiame su „Commerce“ produktu.

Pasak jo, šis gidas, kuris dabar, panašu, pašalintas, aprašė galimybę atkurti lėšas importuojant seed frazę į suderinamą piniginę, pavyzdžiui, „Coinbase Wallet“ arba „MetaMask“. Taip pat vartotojai buvo nukreipiami į išėmimo įrankį, talpinamą tame pačiame subdomeno domene, kuris ir sulaukė kritikos.

Pagalbos dokumentacijoje pabrėžta, kad „Commerce“ piniginės yra savarankiškai valdomos, vadinasi, „Coinbase“ neturi prieigos prie vartotojų seed frazių ir negali atkurti lėšų, jei jos prarandamos.

„Tai iš esmės reiškia, kad „Coinbase“ turi oficialų puslapį, kurį, jei norėtų, grėsmės veikėjai galėtų panaudoti „Coinbase“ vartotojams atakuoti per seed frazės socialinę inžineriją?“ – „X“ tinkle rašė ZachXBT.

„Coinbase“ pati perspėja neįklijuoti seed frazių jokiose svetainėse

Kol kas neaišku, ar aptariamas puslapis atsirado dėl techninės klaidos, ar dėl kitų „Coinbase“ pusės problemų.

Kituose savo giduose „Coinbase“ griežtai pataria niekada neįklijuoti seed frazių jokiose interneto svetainėse.

Be to, antradienį „Coinbase“ perspėjo, kad sukčiai apsimeta klientų aptarnavimo darbuotojais telefonu ar internete ir taip bando išvilioti prisijungimo duomenis bei patvirtinimo kodus. Bendrovė pabrėžė, kad pati niekada nepradeda tokio kontakto ir ragino naudotis tik oficialiais jos kanalais socialiniuose tinkluose.