Coinbase移除恢复短语输入工具引争议

Coinbase近期因一项要求用户直接输入“恢复短语”的功能陷入广泛争议。链上安全研究者指出，该设计违背了核心的“种子短语安全准则”，存在显著安全隐患。

争议始于3月18日，慢雾科技创始人余弦揭露，Coinbase域名下托管的一处页面明确提示用户输入12个单词的恢复短语，并附带从Google Drive等云服务获取备份的指引。

链上调查员ZachXBT迅速回应，警告称：“在官方域名上出现此类页面，极可能被恶意方利用，成为‘种子短语社会工程攻击’的温床。”其关键风险在于，官方背书的可信度会极大增强网络钓鱼的欺骗性。

慢雾研究员23pds进一步分析发现，该页面结构极为简陋，缺乏基本防护机制，极易被复制并部署于仿冒域名，构成典型的钓鱼攻击模板。

更深层次的争议在于其行为引导逻辑。用户Kieran直言：“加密资产的核心安全信条是——永远不要在任何场景下输入恢复短语。”官方主动提出此类操作建议，实质上可能为欺诈行为提供合法性背书。

事实上，恢复短语是掌控钱包权限的唯一凭证，任何诱导输入的设计都与安全教育理念相悖，已引发行业对平台责任边界的广泛讨论。

事件发酵后，Coinbase迅速下线该功能。内部成员Alex回应称：“感谢社区反馈，团队正在研发更安全的替代方案。”目前相关页面仅显示“服务不可用”状态。

安全攻击趋势的转变

此次事件恰逢加密领域攻击模式转型的关键节点。据链上安全机构Nominis数据显示，2024年2月，加密资产相关损失金额同比骤降约87%，但攻击手法正从“技术漏洞”转向“人为诱骗”。

Nominis报告指出，当前主流攻击手段集中于“伪装成正规界面的钓鱼链接”及“误导性交互设计”，而非传统意义上的代码入侵。这表明，攻击重心已由系统层面转向用户心理层面。

在此背景下，Coinbase事件不再是个例，而是整个行业必须面对的警示。若平台设计模糊了安全边界，便可能无意中为攻击者创造可乘之机。业内普遍认为，未来安全架构的核心应转向“以用户行为为中心”的防御体系，真正实现从被动防御到主动保护的演进。