Coinbase移除恢复短语输入工具引争议

近期，Coinbase平台因一项要求用户明文输入“恢复短语”的功能陷入舆论漩涡。链上安全专家指出，该设计存在显著安全隐患，可能违背现行“种子短语安全准则”。

事件起源于3月18日，慢雾科技创始人余弦揭露，Coinbase所托管的某个网页页面，诱导用户直接输入12个单词的恢复短语。更令人担忧的是，该界面还提供从Google Drive等云端存储中提取短语的操作指引。

链上调查员ZachXBT迅速发声，警告称：“即便出现在官方域名下，此类页面也可能被恶意利用，成为‘种子短语社会工程攻击’的温床。”其核心风险在于，官方身份赋予了钓鱼链接极强的可信度，极大提升了攻击成功率。

慢雾研究员23pds进一步分析指出，该页面架构极为简单，缺乏基本防护机制，极易被复制并用于伪造相似域名的钓鱼网站，形成规模化攻击链条。

争议焦点不仅限于技术缺陷，更延伸至行为引导逻辑。用户Kieran直言：“加密资产的核心安全信条是——永远不要在任何场景下输入恢复短语。”而平台主动提出此类操作要求，实质上可能为网络钓鱼行为提供合法性背书。

事实上，恢复短语是钱包控制权的唯一凭证，任何诱导其输入的设计，都与用户安全教育背道而驰，已引发业界对平台责任边界的广泛讨论。

面对持续发酵的质疑，Coinbase迅速做出响应，立即下架该功能。内部成员Alex表示：“感谢社区及时反馈，团队正在研发更符合安全规范的新方案。”目前相关页面仅显示“服务不可用”提示。

安全攻击趋势的转变

此次事件与当前加密领域攻击模式的演变高度吻合。据链上安全机构Nominis数据显示，2024年2月，加密资产相关损失金额同比骤降约87%，但攻击手段正经历结构性转移。

Nominis分析表明，当前攻击重心已由传统的“代码漏洞”转向“用户欺骗”类手法，尤其是“钓鱼攻击”和“误导性界面设计”。这标志着攻击者正将目标从系统本身，转向人类认知弱点。

在此背景下，Coinbase事件不再是个别疏忽，而是一个典型缩影。它揭示出：若平台设计模糊了安全边界，便可能无意中为攻击者创造可乘之机。行业共识逐渐形成——未来的安全体系必须深度融合“用户行为建模”，实现从“系统防御”向“人因防护”的范式升级。