Śledczy zgłaszają stronę Coinbase proszącą o frazy seed, narzędzie usunięte

Coinbase usunął niedawno oznaczone jako problematyczne narzędzie „legacy recovery" po tym, jak śledczy blockchain ostrzegli, że może być wykorzystywane do nakłaniania użytkowników do ujawnienia ich fraz seed.

Incydent ponownie rozbudził obawy dotyczące tego, jak wybory projektowe platform mogą kolidować z długo ustalonymi praktykami bezpieczeństwa.

Obawy bezpieczeństwa dotyczące strony odzyskiwania Coinbase

Wszystko zaczęło się 18 marca, gdy Cos, założyciel SlowMist, firmy zajmującej się bezpieczeństwem blockchain, zapytał, dlaczego strona hostowana przez Coinbase prosi użytkowników o wpisanie ich 12-słownych fraz odzyskiwania w postaci zwykłego tekstu. Cos udostępnił zrzuty ekranu pokazujące interfejs wypłat Coinbase Commercial, który wymagał od użytkowników wklejenia frazy mnemonicznej, a także sugerował pobranie jej z kopii zapasowych Google Drive.

Krótko potem znany śledczy blockchain ZachXBT opublikował, że strona może być wykorzystywana przez atakujących jako narzędzie socjotechniczne, biorąc pod uwagę, że była hostowana na oficjalnej domenie Coinbase.

Inny członek zespołu SlowMist, 23pds, wskazał na techniczne wady strony, stwierdzając, że nie posiadała odpowiedniej mapy witryny i mogła być łatwo sklonowana. Dodali, że atakujący mogą skopiować interfejs i użyć domen, które wyglądają podobnie, aby nakłonić ludzi do podania im poufnych informacji.

Pojawiły się również obawy wykraczające poza ryzyko klonowania, a jeden z użytkowników X, znany jako Kieran, argumentował, że większym problemem jest aspekt behawioralny. Twierdził, że narzędzie jest sprzeczne z jedną z najczęściej nauczanych zasad bezpieczeństwa w krypto, którą jest nigdy nie udostępnianie ani nie wprowadzanie frazy odzyskiwania na stronie internetowej. Istnienie takich wymagań na oficjalnych stronach, według niego, może sprawić, że próby phishingu staną się bardziej przekonujące.

Alex, członek zespołu Coinbase, odpowiedział, stwierdzając, że usunęli narzędzie i aktywnie pracują nad nowym rozwiązaniem.

W momencie pisania sprawdzenie strony wykazało, że rzeczywiście została usunięta, z prostą wiadomością informującą użytkowników, że usługa jest niedostępna i że powinni spróbować ponownie później.

Ryzyko socjotechniczne

Obawy zgłoszone przez ZachXBT i zespół SlowMist nie są bezpodstawne. Najnowsze dane pokazują, że następuje zmiana w sposobie, w jaki złoczyńcy przeprowadzają ataki związane z kryptowalutami.

Według firmy zajmującej się bezpieczeństwem blockchain Nominis, w lutym całkowite straty związane z oszustwami kryptowalutowymi i exploitami spadły o prawie 87%. Ale co ważniejsze, Nominis ujawnił, że atakujący są teraz bardziej skłonni do atakowania użytkowników zamiast exploitowania kodu.

Firma zauważyła, że ostatnie incydenty w większym stopniu opierały się na phishingu i wprowadzających w błąd komunikatach zamiast na lukach technicznych. A ponieważ takie schematy stają się coraz bardziej powszechne, kluczowe jest, aby pozbawić atakujących takiej przewagi, jaką według ZachXBT mogły im dać przypadki takie jak narzędzie odzyskiwania Coinbase.

Post Investigators Flag Coinbase Page Asking For Seed Phrases, Tool Removed ukazał się najpierw na CryptoPotato.