Meglepő lépés a Coinbase-től: a legérzékenyebb adatot kérik a felhasználóktól
Cikk meghallgatása
A kriptovilág egyik alapvető szabálya, hogy a seed phrase-t soha, semmilyen körülmények között nem adjuk meg senkinek. Ehhez képest most egy olyan eset borzolja a kedélyeket, ahol épp egy nagy tőzsde, a Coinbase egyik oldala kérte be ezt az érzékeny adatot a felhasználóktól. A biztonsági szakértők szerint ez nemcsak szokatlan, hanem kifejezetten veszélyes gyakorlat.
Egy szokatlan megoldás, ami sokaknál kiverte a biztosítékot
A problémát a Coinbase Commerce egyik oldala okozta, ahol a felhasználóknak lehetőségük volt a 12 szavas seed phrase megadásával hozzáférni a pénzükhöz. Bár ez technikailag működő megoldás lehet bizonyos helyzetekben, a szakértők szerint az, hogy ezt egy weboldalon, sima szövegként kell beírni, komoly kockázatot jelent.
A SlowMist alapítója nyilvánosan is bírálta a megoldást, hangsúlyozva, hogy egy ilyen gyakorlat teljesen szembemegy a kriptobiztonság alapelveivel. Szerinte még az is felmerült benne, hogy az oldal esetleg kompromittálódott.
A kritikák gyorsan terjedtek, és több ismert blokklánc-elemző is felhívta a figyelmet arra, hogy ez a megoldás akár visszaélésekre is lehetőséget adhat.
Miért ennyire veszélyes a seed phrase megadása
A seed phrase gyakorlatilag a teljes kriptotárca kulcsa. Aki ezt ismeri, az korlátlanul hozzáférhet az adott walletben tárolt összes eszközhöz. Éppen ezért az egyik legfontosabb szabály, hogy ezt az információt soha nem szabad online felületen megadni.
A jelenlegi helyzet azért különösen problémás, mert egy hivatalos oldal megjelenése könnyen hamis biztonságérzetet adhat a felhasználóknak. Ez pedig megnyitja az utat az úgynevezett social engineering támadások előtt, amikor a támadók nem technikai hibákat, hanem emberi bizalmat használnak ki.
Egy ilyen felület akár mintaként is szolgálhat csalók számára, akik hasonló kinézetű, hamis oldalakat hoznak létre, és így próbálják megszerezni a felhasználók seed phrase-ét.
Ez is érdekelhet: A Coinbase kriptotőzsde biometrikus azonosítóval köti emberhez az AI-ügynököket
Mi áll a háttérben
A Coinbase a Commerce szolgáltatás átalakítása miatt kérte a felhasználókat, hogy mozgassák át az eszközeiket egy új rendszerbe. A határidő közeledtével többféle megoldást kínáltak, köztük egy automatikus eszközkivonási eszközt, amely a legtöbb esetben biztonságosabb alternatíva.
A seed phrase alapú megoldás inkább egy opcionális lehetőség volt azok számára, akik manuálisan szeretnék kezelni az eszközeiket. Ennek ellenére a szakértők szerint már önmagában az is problémás, hogy egy ilyen opció hivatalosan megjelenik.
Egy rossz precedens veszélye
Az eset rávilágít arra, hogy még a legnagyobb szereplők döntései is okozhatnak bizonytalanságot a felhasználók körében. A kriptovilágban a biztonság nagyrészt az egyéni felelősségen alapul, de az iparági szereplőknek is kulcsszerepük van abban, hogy milyen gyakorlatokat tekintünk elfogadhatónak.
Ha a seed phrase megadása normalizálódik bizonyos helyzetekben, az hosszú távon növelheti a visszaélések számát. Éppen ezért a szakértők most egyértelműen azt hangsúlyozzák: bármilyen hivatalosnak tűnik is egy felület, a seed phrase megosztása továbbra is az egyik legnagyobb kockázat.