Coinbase移除恢复短语输入工具引争议

近日，Coinbase因一项要求用户直接输入“恢复短语”的功能陷入舆论漩涡。链上安全专家指出，该设计违背了核心的“种子短语安全规范”，存在重大安全隐患。

事件起源于3月18日，SlowMist创始人余弦揭露，Coinbase所托管的一个网页页面竟要求用户以明文形式输入12个单词的恢复短语，且页面还提示用户可从Google Drive等云端备份中获取信息。

链上调查员ZachXBT迅速跟进，警示称：“出现在官方域名下的此类页面，极易被恶意方劫持，成为‘种子短语社会工程攻击’的温床。”其最大风险在于，利用平台公信力增强钓鱼链接的可信度，诱导用户误操作。

SlowMist研究员23pds进一步剖析技术缺陷。其分析显示，该页面结构极为简陋，缺乏基本防护机制，极容易被复制并部署于仿冒域名，形成大规模钓鱼陷阱。

争议焦点不仅限于技术层面，更延伸至行为引导逻辑。用户Kieran直言：“加密资产的核心安全准则之一是——永远不要在任何场景下输入恢复短语。”官方主动提出此类操作建议，实质上可能为网络钓鱼行为提供合法性背书。

事实上，恢复短语是掌控数字钱包的唯一密钥，任何诱导其输入的设计都与安全教育理念背道而驰，已引发行业普遍忧虑。

面对持续发酵的批评，Coinbase迅速作出回应，立即下线相关工具。内部成员Alex表示：“感谢社区及时反馈，团队正在推进更安全的替代方案。”目前，原页面仅显示“服务不可用”状态。

安全攻击趋势的转变

此次事件恰逢加密领域攻击模式的重大转型。据链上安全机构Nominis统计，今年2月，加密资产相关损失金额同比骤降约87%，但攻击手法正由传统的“代码漏洞”向“人为欺骗”迁移。

Nominis报告强调，当前多数攻击聚焦于“钓鱼诱导”和“误导性界面设计”，而非技术入侵。这表明，攻击者正将目标转向“人”这一最薄弱环节。

在此背景下，Coinbase案例不再是个别疏漏，而是整个行业必须正视的警示信号。若平台设计无形中削弱用户的安全意识，便可能为攻击者创造可乘之机。业内共识认为，未来安全体系构建的关键，正逐步转向“以用户行为为中心”的设计思维。