Қауіпсіздік зерттеушілері пайдаланушылардан 12 сөзден тұратын сид-фразаны тікелей енгізуді талап ететін белсенді Coinbase Commerce беті туралы дабыл қақты.
SlowMist негізін қалаушысы, Evilcos лақап атымен танымал маман, бұл бет жайлы тікелей ескертіп, мұндай әрекеттің қауіпті екенін айтты.
«Мен Coinbase неге пайдаланушылардан активтерді қалпына келтіру үшін мнемоникалық фразаны жай мәтінде енгізуді сұрайтын осындай бетті жасағанын түсіне алмай отырмын. Мұндай қауіпті тәжірибе ақылға қонымсыз… Мен тіпті субдомен бұзылған екен деп ойладым», – деп жазды.
Жаңалықтармен алғашқылардың бірі болып танысу үшін бізді X желісінде оқыңыз
Блокчейн сарапшысы ZachXBT мәселеге назар аударды.
«Яғни, негізі Coinbase пайдаланушыларына қатысты сид-фразаға бағытталған әлеуметтік инженеринг жасау үшін хакерлер пайдалана алатын ресми бет іске қосылған ба?» – деп сұрады.
Әлеуметтік инженеринг схемасы — хакерлер жүйелерді тікелей бұзбай, адамдарды сеніміне кіріп, құпия ақпарат бөлісуге немесе қауіпсіздікті бұзатын әрекет жасауға көндіретін алаяқтық шабуыл түрі. Мұндай жағдайда, шабуылдаушылар техникалық қорғанысты бұзудың орнына, адамның психологиясын — сенім, шұғылдық, қорқыныш немесе беделге сенуді — пайдаланады.
Coinbase пайдаланушылардан қаражатты көшіруді талап етеді, өйткені Commerce платформасы Coinbase Business-пен біріктірілуде, ал соңғы мерзім — 31 наурыз, 2026 жыл. Екі шығару мүмкіндігі ұсынылады. Біріншісі — қаражатты бір ғана транзакцияға біріктіретін құрал. Coinbase мәліметінше, бұл құрал пайдаланушының Commerce мекенжайларын сканерлеудегі күрделілікті жеңілдетеді.
Биржа осыны ең жақсы тәсіл екендігін ерекше атап өтті. Дегенмен, пайдаланушылар Coinbase бетінде өз сид-фразасын тікелей енгізе алады.
«Егер сізде сид-фразаңыз болса, оны Coinbase Wallet немесе MetaMask секілді үйлесімді әмиянға импорттай аласыз», — делінген блогта. «Көптеген сатушылар, әсіресе Bitcoin немесе басқа UTXO негізіндегі активтер арқылы төлем қабылдағандар үшін, 31 наурыз, 2026 жылға дейін Commerce шығарылым құралын қолдануға кеңес береміз».
Coinbase бұл мәселеге қатысты BeInCrypto сұранысына дереу жауап берген жоқ.
