Исследователи обнаружили страницу Coinbase с запросом сид-фраз, инструмент удален

Coinbase удалил недавно обнаруженный инструмент "восстановления устаревших данных" после того, как блокчейн-следователи предупредили, что он может быть использован для обмана пользователей с целью получения их мнемонических слов.

Этот инцидент вновь вызвал обеспокоенность по поводу того, как дизайнерские решения платформ могут противоречить давно устоявшимся практикам безопасности.

Проблемы безопасности страницы восстановления Coinbase

Все началось 18 марта, когда Cos, основатель компании по безопасности блокчейна SlowMist, спросил, почему страница, размещенная на Coinbase, просит пользователей вводить свои 12-словные фразы восстановления в виде простого текста. Cos поделился скриншотами, показывающими интерфейс вывода средств Coinbase Commercial, который требовал от людей вставить свое мнемоническое слово, а также предлагал получить его из резервных копий Google Drive.

Вскоре после этого известный блокчейн-следователь ZachXBT опубликовал сообщение о том, что эта страница может быть использована злоумышленниками в качестве инструмента социальной инженерии, учитывая, что она размещена на официальном домене Coinbase.

Другой член команды SlowMist, 23pds, указал на технические недостатки страницы, заявив, что на ней отсутствует правильная карта сайта и ее можно легко клонировать. Они добавили, что злоумышленники могут скопировать интерфейс и использовать похожие домены, чтобы обманом заставить людей предоставить им конфиденциальную информацию.

Также возникли опасения помимо риска клонирования: один пользователь X под ником Kieran утверждал, что более серьезная проблема носит поведенческий характер. Они заявили, что инструмент противоречит одному из наиболее широко преподаваемых правил безопасности в криптовалютах, которое гласит, что никогда нельзя делиться фразой восстановления или вводить ее на веб-сайте. По их мнению, наличие таких требований на официальных страницах может сделать фишинговые попытки более убедительными.

Alex, член команды Coinbase, ответил, заявив, что они удалили инструмент и активно разрабатывают новое решение.

На момент написания проверка страницы показала, что она действительно была удалена, с простым сообщением, информирующим пользователей о недоступности сервиса и предложением повторить попытку позже.

Риски социальной инженерии

Опасения, высказанные ZachXBT и командой SlowMist, не беспочвенны. Последние данные показывают, что произошел сдвиг в том, как злоумышленники осуществляют атаки, связанные с криптовалютами, в настоящее время.

По данным компании по безопасности блокчейна Nominis, в феврале общие потери, связанные с криптовалютными мошенничествами и эксплойтами, снизились почти на 87%. Но что еще более важно, Nominis выявила, что злоумышленники теперь с большей вероятностью нацеливаются на пользователей, а не эксплуатируют код.

Компания отметила, что недавние инциденты в большей степени опирались на фишинг и вводящие в заблуждение подсказки, а не на технические уязвимости. И поскольку такие схемы становятся все более распространенными, крайне важно лишить злоумышленников того преимущества, которое, по мнению ZachXBT, могли бы дать им подобные случаи, как инструмент восстановления Coinbase.

Публикация "Следователи отметили страницу Coinbase, запрашивающую мнемонические слова, инструмент удален" впервые появилась на CryptoPotato.