Coinbase关联页面被指诱导输入助记词，安全漏洞引发行业关注

近期，多位安全专家对Coinbase旗下某商务支持页面提出严重质疑，指出该页面存在诱导用户直接输入钱包恢复助记词的设计缺陷。这一行为被视作潜在的网络钓鱼攻击温床，可能使用户资产面临极高风险。区块链安全机构SlowMist创始人于贤（化名Cos）在社交媒体上公开标记该页面，迅速引发技术社区热议。

核心功能存疑：助记词输入流程违背基本安全原则

于贤在推文中直言：“无法理解为何一个主流交易所会设置需用户提供明文助记词的入口。”他强调，此类设计严重背离自托管钱包的基本安全准则，极有可能被恶意利用进行精准身份冒用与资金盗取。

官方尚未正面回应，调查仍在进行中

Coinbase目前未就此事发布正式声明。据Cointelegraph援引其内部消息，公司已启动相关排查，但未披露具体进展或原因。记者尝试联系于贤获取进一步说明，截至发稿仍未获得回应。

页面来源追溯：曾嵌入官方帮助文档并指向可疑子域

链上调查员ZachXBT披露，涉事页面曾出现在Coinbase商务产品使用指南中。该文档现已下架，但历史记录显示其中提及用户可通过将助记词导入Coinbase Wallet或MetaMask等兼容工具实现资产恢复，并引导至同一子域名下的提款接口。

值得注意的是，该指南同时明确标注：商务钱包为自托管类型，意味着Coinbase本身无法访问用户的助记词，亦无能力协助恢复丢失的密钥。

平台建议与现实操作形成矛盾

ZachXBT质疑道：“这是否意味着我们正面对一个由官方运营、却可被攻击者用于定向欺诈的合法页面？”目前尚无法确认该页面是系统误设还是策略性安排。

与此同时，Coinbase此前发布的多份安全指南中明确警告用户：严禁将助记词粘贴至任何非信任网站。本周二，该公司还发布紧急提醒，称诈骗分子正通过伪装客服电话及社交平台私信方式窃取登录凭证与双重验证信息。官方重申：绝不会主动联系用户，所有沟通应通过X平台和Reddit上的认证渠道进行。