Các nhà nghiên cứu an ninh đang cảnh báo về một trang Coinbase Commerce xuất hiện yêu cầu người dùng nhập cụm từ khôi phục ví. Sự việc này đã làm dấy lên lo ngại rằng một quy trình sử dụng seed phrase có thể làm bình thường hóa hành vi thường bị lợi dụng trong các cuộc lừa đảo phishing, đặc biệt khi liên quan đến một nền tảng đáng tin cậy.

Vấn đề bắt đầu khi Yu Xian, người sáng lập công ty an ninh blockchain SlowMist và là nhân vật nổi bật trong giới an ninh, đã chú ý đến trang này trên X. Ông đặt câu hỏi tại sao một trang do Coinbase lưu trữ lại yêu cầu nhập seed phrase dạng plaintext để khôi phục tài sản, mô tả hành động này là một sơ suất bảo mật không thể chấp nhận được.

Coinbase chưa công khai giải thích nguồn gốc của trang này, ngoài việc cho biết đang xem xét vấn đề. Công ty nói với Cointelegraph rằng họ đang điều tra nhưng chưa cung cấp thêm thông tin tại thời điểm xuất bản. Yu Xian không phản hồi khi báo chí liên hệ, và Cointelegraph chưa nhận được bình luận nào từ ông kể từ lần liên hệ ban đầu.

Trong cộng đồng tiền điện tử, seed phrase được coi là chìa khóa của ví tự quản lý. Người dùng chia sẻ chúng có nguy cơ giao quyền kiểm soát cho kẻ tấn công, vì seed phrase cho phép truy cập đầy đủ vào tài sản lưu trữ trong các ví tương thích. Hướng dẫn vẫn rõ ràng: không bao giờ tiết lộ seed phrase cho bên thứ ba, bộ phận hỗ trợ khách hàng hoặc các trang web không đáng tin cậy.

Nguồn: Yu Xian (Cos)

Coinbase đề cập đến tên miền phụ như một “công cụ rút tiền” trong thương mại

Các thành viên trong cộng đồng điều tra tiền điện tử, bao gồm ZachXBT, nhấn mạnh rằng trang này được đề cập trong tài liệu trợ giúp công khai của Coinbase liên quan đến sản phẩm Commerce. ZachXBT lưu ý rằng hướng dẫn dường như mô tả phương pháp để người dùng khôi phục quỹ bằng cách nhập seed phrase vào các ví tương thích như Coinbase Wallet hoặc MetaMask, chỉ ra một công cụ rút tiền được lưu trữ trên cùng tên miền phụ đã thu hút sự chú ý.

Câu chuyện còn được củng cố bởi các tuyên bố trong tài liệu trợ giúp của Coinbase, mô tả các ví tự quản lý — nghĩa là Coinbase không có quyền truy cập seed phrase và không thể khôi phục quỹ nếu bị mất. Tài liệu này đã gây ra nhiều câu hỏi về cách mà hướng dẫn như vậy phù hợp với trang yêu cầu nhập seed phrase mà người dùng đã thấy.

“Vậy là Coinbase có một trang chính thức mà các hacker có thể lợi dụng để tấn công người dùng qua social engineering dựa trên seed phrase nếu họ muốn?”

Câu hỏi này, được ZachXBT chia sẻ trên X, nhấn mạnh khả năng một phương thức lừa đảo phishing lợi dụng con đường chính thức để khôi phục seed phrase, nếu trang này là hợp lệ hoặc bị cấu hình sai. Sự cố này nằm ở điểm giao thoa giữa giáo dục người dùng, lòng tin vào nền tảng và sự phức tạp ngày càng tăng của quy trình tự quản lý.

Tại sao điều này quan trọng đối với người dùng và nhà phát triển

Seed phrase là trung tâm của an ninh tự quản lý ví. Một trang web yêu cầu dễ dàng như vậy các thông tin này, dù trong bối cảnh nghe có vẻ chính thức, đều đi ngược lại các thực hành tốt nhất mà các nhà cung cấp ví và các nhà nghiên cứu an ninh đã phổ biến. Đối với người dùng, điều này làm tăng nguy cơ bị lừa đảo social engineering kết hợp giữa thương hiệu hợp pháp và các yêu cầu lừa đảo. Đối với các nhà phát triển và sàn giao dịch, sự kiện này nhấn mạnh một cân nhắc tinh tế: cung cấp các tính năng khôi phục và khả năng tương tác mà không làm lộ ra các điểm tấn công mới.

Ví tự quản lý cho phép người dùng kiểm soát trực tiếp các khóa riêng và seed phrase, nhưng đi kèm với trách nhiệm. Nếu một cổng đáng tin cậy vô tình hoặc cố ý yêu cầu dữ liệu mnemonic, người dùng có thể bị dụ dỗ cung cấp, đặc biệt trong thời điểm có rủi ro hoặc mất mát tài sản. Sự cố này do đó đặt ra các cuộc tranh luận rộng hơn về cách thiết kế quy trình khôi phục vừa thân thiện với người dùng, vừa chống lại các hành vi thao túng.

Phản hồi của Coinbase và hướng đi tiếp theo

Coinbase đã thừa nhận vấn đề và cho biết đang điều tra, mặc dù chưa công khai chi tiết. Công ty trước đó đã khuyên người dùng không dán seed phrase vào bất kỳ trang web nào và nhấn mạnh rằng các ví Commerce của họ là tự quản lý, nghĩa là Coinbase không thể truy cập seed phrase hoặc khôi phục quỹ nếu bị mất. Sự kiện này đặt ra câu hỏi liệu trang này có phải là một tính năng chính thức, một cấu hình sai hoặc một lỗ hổng bảo mật trong tài liệu liên quan đến Commerce.

Ngoài ra, Coinbase đã lên tiếng cảnh báo về các dấu hiệu lừa đảo phishing và social engineering, lưu ý rằng các kẻ lừa đảo có thể mạo danh bộ phận hỗ trợ khách hàng qua điện thoại hoặc trực tuyến để lấy cắp thông tin đăng nhập và mã xác minh. Công ty khuyên người dùng chỉ liên hệ qua các kênh chính thức như X và Reddit để được hỗ trợ. Tình hình đang tiếp tục phát triển, còn nhiều điều chưa rõ:

Trang này có phải là lỗi kỹ thuật, tên miền phụ bị cấu hình sai, hay là một cố gắng hướng người dùng đến quy trình khôi phục seed phrase không?

Hướng dẫn trong tài liệu trợ giúp có phản ánh đúng quy trình sản phẩm hiện tại, hay đã bị thay đổi hoặc gỡ bỏ sau khi bị phát hiện?

Coinbase sẽ thực hiện những bước nào để ngăn chặn các yêu cầu tương tự trong tương lai, và có cập nhật nào trong tài liệu của Commerce để làm rõ các thực hành tốt nhất về seed phrase không?

Bối cảnh từ cảnh quan an ninh rộng hơn

Lừa đảo phishing và social engineering vẫn là những rủi ro phổ biến trong lĩnh vực crypto, với các kẻ tấn công liên tục điều chỉnh các mồi nhử xung quanh các thương hiệu và dịch vụ quen thuộc. Ví dụ, vụ OpenClaw cho thấy cách các kẻ lừa đảo pha trộn thông điệp về “token miễn phí” với giao diện giả mạo để dụ dỗ nạn nhân. Trong bối cảnh đó, bất kỳ tính năng nào của hệ sinh thái liên quan đến seed phrase — dù là trong quy trình khôi phục hay nhập khẩu đa ví — đều đòi hỏi các biện pháp bảo vệ nghiêm ngặt và giáo dục rõ ràng cho người dùng. Cointelegraph đã đề cập trước đó về việc các nhà nghiên cứu an ninh kêu gọi cảnh giác với việc tiết lộ seed phrase, nhấn mạnh tầm quan trọng của việc giữ dữ liệu khôi phục riêng tư và ngoại tuyến càng nhiều càng tốt.

Những điều người đọc nên theo dõi tiếp theo

Những ngày tới, tuần tới sẽ tiết lộ cách Coinbase giải quyết các câu hỏi về trang Commerce và các tham chiếu đến quy trình khôi phục. Chờ đợi:

Các tuyên bố chính thức từ Coinbase về kết quả điều tra và bất kỳ thay đổi nào trong tài liệu hoặc quy trình người dùng của Commerce.

Các làm rõ về việc liệu yêu cầu dựa trên tên miền phụ có phải là hoạt động, thử nghiệm hay cấu hình sai liên quan đến hệ sinh thái trợ giúp rộng lớn hơn.

Hướng dẫn liên tục từ các nhà cung cấp ví và các nhà nghiên cứu an ninh về các thực hành an toàn khi khôi phục, đặc biệt đối với các thiết lập tự quản lý liên quan đến dịch vụ do sàn giao dịch hỗ trợ.

Khi ngành công nghiệp tiếp tục xem xét sự cố này, nó nhấn mạnh một nguyên tắc cốt lõi cho người dùng và nhà phát triển: seed phrase vẫn là tài sản cực kỳ nhạy cảm, và ngay cả các giao diện có vẻ hợp pháp cũng cần được xem xét cẩn thận. Con đường phía trước sẽ phụ thuộc vào các cơ chế khôi phục rõ ràng hơn, giữ vững quyền kiểm soát của người dùng mà không tạo ra các cơ hội mới cho social engineering.

Bài viết này ban đầu được đăng trên Crypto Breaking News với tiêu đề Coinbase Commerce prompts seed phrases, raising security concerns.

Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo Tuyên bố miễn trừ trách nhiệm.

Bình luận

0/400

Không có bình luận