Coinbase ব্যবহারকারীদের একই 'বোকামি' ধাপ অনুসরণ করতে নির্দেশ দেয় যা স্ক্যামাররা ওয়ালেট থেকে তহবিল উত্তোলনে ব্যবহার করে

Coinbase কিছু Commerce ব্যবহারকারীদের ৩১ মার্চের মাইগ্রেশন সময়সীমার আগে একটি সিড-ফ্রেজ পুনরুদ্ধার প্রক্রিয়ার নির্দেশনা দিচ্ছে।

সমস্যাটি Coinbase-এর লিগ্যাসি Commerce ওয়ালেটের জন্য বন্ধ পরিকল্পনার মধ্যে রয়েছে। এর ট্রানজিশন গাইডে, Coinbase বলেছে যে Commerce ওয়ালেটে তহবিল থাকা ব্যবহারকারীদের অবশ্যই ৩১ মার্চ, ২০২৬-এর আগে সেগুলি উত্তোলন করতে হবে, যখন Commerce পোর্টাল এবং উত্তোলন টুল অ্যাক্সেসযোগ্য থাকবে না।

যেসব ব্যবহারকারী তাদের ওয়ালেট Google Drive-এ ব্যাকআপ করেছেন, Coinbase বলছে তাদের Commerce ড্যাশবোর্ডে যেতে হবে, সেটিংস এবং সিকিউরিটি খুলতে হবে, ১২-শব্দের সিড ফ্রেজ প্রকাশ করতে হবে এবং withdraw.commerce.coinbase.com-এ উত্তোলন টুল ব্যবহার করতে হবে।

Coinbase বলছে যে প্রক্রিয়াটি বিশেষভাবে গুরুত্বপূর্ণ সেসব মার্চেন্টদের জন্য যারা Bitcoin বা অন্যান্য UTXO-ভিত্তিক সম্পদ পেয়েছেন কারণ অন্যথায় স্ট্যান্ডার্ড ওয়ালেটে ব্যালেন্স প্রদর্শন করা কঠিন হতে পারে।

একটি সিড ফ্রেজ হল সেলফ-কাস্টডি ওয়ালেটের জন্য মাস্টার রিকভারি কী। Coinbase-এর নিজস্ব ওয়ালেট ডকুমেন্টেশন এটিকে ১২-শব্দের রিকভারি ফ্রেজ হিসাবে বর্ণনা করে যা শুধুমাত্র ব্যবহারকারীর অ্যাক্সেস রয়েছে।

যে কেউ সেই ফ্রেজটি নিয়ন্ত্রণ করে সে ওয়ালেট এবং এর তহবিলের অ্যাক্সেস নিয়ন্ত্রণ করে। এটি হারিয়ে ফেললে, তহবিলের অ্যাক্সেস হারিয়ে যেতে পারে। এটি প্রকাশ করলে, ওয়ালেটের তহবিল নিঃশেষ হতে পারে।

এখানেই দ্বন্দ্বটি মিস করা কঠিন হয়ে যায়। Coinbase-এর ওয়ালেট নির্দেশিকা ব্যবহারকারীদের বলে কখনও রিকভারি ফ্রেজ শেয়ার না করতে, বলে যে ফার্ম কখনও এটি জিজ্ঞাসা করবে না, এবং একটি পৃথক সতর্কতা যোগ করে: "কখনও এটি কোনও ওয়েবসাইটে পেস্ট করবেন না।"

তবুও Commerce ট্রানজিশন গাইড কিছু ব্যবহারকারীদের বলে একটি অফিসিয়াল Coinbase-হোস্টেড রিকভারি পথের অংশ হিসাবে একই ফ্রেজ প্রকাশ করতে।

কোম্পানির ব্যাখ্যা হল যে Commerce ওয়ালেটগুলি সেলফ-কাস্টডিয়াল, এবং Coinbase-এর ফ্রেজ বা তহবিলে অ্যাক্সেস নেই, যা বন্ধের আগে ব্যবহারকারীদের রিকভারির দায়িত্ব ছেড়ে দেয়।

নিরাপত্তা গবেষকরা একটি ফিশিং টেমপ্লেট দেখছেন

তা সত্ত্বেও, এই Coinbase দাবি অনেক নিরাপত্তা বিশেষজ্ঞদের জন্য অ্যালার্ম বেল বাজিয়েছে, যারা প্ল্যাটফর্মকে সমালোচনা করছেন তার পেজ যে আচরণ ব্যবহারকারীদের গ্রহণ করতে শেখায় তার জন্য।

ব্লকচেইন নিরাপত্তা ফার্ম SlowMist-এর প্রতিষ্ঠাতা Yu Xian বলেছেন তিনি বিভ্রান্ত হয়েছিলেন যে Coinbase একটি পেজ হোস্ট করবে যা ব্যবহারকারীদের সম্পদ পুনরুদ্ধারের জন্য সাধারণ টেক্সটে একটি নিমোনিক ফ্রেজ প্রবেশ করতে বলে এবং বলেছেন যে অনুশীলনটি এতটাই অনিরাপদ ছিল যে তিনি প্রথমে ভেবেছিলেন সাবডোমেইনটি হ্যাক হয়েছে কিনা।

সতর্কতাটি পেজের চারপাশে মূল সমালোচনাকে তীব্র করেছে: একটি অফিসিয়াল ব্র্যান্ড, একটি জরুরি সময়সীমা, এবং একটি সিড-ফ্রেজ ওয়ার্কফ্লো একটি ফর্ম্যাটে একত্রিত হয় যা আক্রমণকারীরা নিয়মিত অনুকরণ করে।

ইতিমধ্যে, SlowMist চিফ ইনফরমেশন সিকিউরিটি অফিসার 23pds X-এ লিখেছেন যে প্রবাহের সাথে "দুটি সমস্যা" ছিল। প্রথমত, তিনি বলেছেন:

দ্বিতীয়ত, তিনি উল্লেখ করেছেন যে সাইটটিতে একটি ত্রুটিপূর্ণ সাইটম্যাপ রয়েছে যা আক্রমণকারীদের ফ্রন্ট এন্ড কপি করতে এবং একটি সদৃশ ডোমেইনে একটি প্রায়-ক্লোন স্থাপন করতে দিতে পারে, যা ইতিমধ্যে Coinbase সংস্করণকে বিশ্বাস করতে প্রস্তুত ব্যবহারকারীদের জন্য একটি শক্তিশালী ফিশিং প্রলোভন তৈরি করে।

অতিরিক্তভাবে, ব্লকচেইন তদন্তকারী ZachXBT সেই বিন্দুতে আরও সরাসরিভাবে চাপ দিয়েছেন। X-এ একটি পোস্টে, তিনি লিখেছেন:

তাদের উদ্বেগ অবাক করার মতো নয়, বিবেচনা করে যে ফিশিং এবং সামাজিক প্রকৌশল স্ক্যাম ক্রিপ্টো শিল্পের বিরুদ্ধে সবচেয়ে শক্তিশালী আক্রমণ ভেক্টরগুলির মধ্যে একটি রয়ে গেছে।

গত বছর, ZachXBT প্রকাশ করেছেন যে Coinbase ব্যবহারকারীরা সামাজিক প্রকৌশল স্ক্যামের কারণে বার্ষিক $300 মিলিয়নেরও বেশি হারান।

এটি ব্যাখ্যা করে কেন Commerce প্রবাহ এত শক্তিশালী প্রতিক্রিয়া সৃষ্টি করেছে। নিরাপত্তা দলগুলি বছরের পর বছর ব্যবহারকারীদের শেখাতে ব্যয় করেছে যে সিড ফ্রেজ জড়িত যে কোনও অনুরোধ একটি স্ক্যামের শুরু।

তবে, একটি Coinbase-মালিকানাধীন পেজ একই ফ্রেজ হ্যান্ডেল করলে ভিজ্যুয়াল এবং আচরণগত ইঙ্গিতগুলি পরিবর্তন করতে পারে যা ব্যবহারকারীদের নির্ভর করতে শেখানো হয়েছে।

Coinbase-এর লঙ্ঘনের ইতিহাস বিতর্কে ঝুলছে

ইতিমধ্যে, নিরাপত্তা বিতর্ক কঠিনভাবে আঘাত করছে কারণ Coinbase ইতিমধ্যে অতীতের সামাজিক-প্রকৌশল ঘটনাগুলির পরবর্তী প্রভাব মোকাবেলা করছে।

মে ২০২৫-এ, Coinbase রিপোর্ট করেছে যে সাইবার অপরাধীরা সামাজিক-প্রকৌশল আক্রমণের জন্য গ্রাহক ডেটা চুরি করতে বিদেশী সাপোর্ট এজেন্টদের একটি গ্রুপকে ঘুষ দিয়েছে।

Brian Armstrong-নেতৃত্বাধীন এক্সচেঞ্জ বলেছে যে আক্রমণকারীরা মাসিক লেনদেনকারী ব্যবহারকারীদের 1%-এর কম জন্য অ্যাকাউন্ট ডেটা পেয়েছে এবং এটি ব্যবহার করে গ্রাহকদের তালিকা সংকলন করেছে যাদের তারা যোগাযোগ করতে পারে, প্ল্যাটফর্ম থেকে ভান করে।

কোম্পানি বলেছে কোনও প্রাইভেট কী প্রকাশ করা হয়নি এবং যে গ্রাহকদের আক্রমণকারীদের কাছে তহবিল পাঠাতে প্রতারিত করা হয়েছিল তাদের ক্ষতিপূরণ দেওয়ার প্রতিশ্রুতি দিয়েছে।

এটি ছাড়াও, কোম্পানির আরও একটি পূর্ববর্তী লঙ্ঘনের রেকর্ড রয়েছে।

Coinbase তার 2024 বার্ষিক প্রতিবেদনে বলেছে যে 2021 সালে, তৃতীয় পক্ষগুলি কমপক্ষে 6,000 গ্রাহকের জন্য লগইন শংসাপত্র এবং ব্যক্তিগত তথ্য প্রাপ্ত করেছে এবং অ্যাকাউন্ট পুনরুদ্ধার প্রক্রিয়ায় একটি দুর্বলতা কাজে লাগাতে সেই বিবরণ ব্যবহার করেছে। ফার্ম বলেছে এটি প্রভাবিত গ্রাহকদের প্রায় $25.1 মিলিয়ন ক্ষতিপূরণ দিয়েছে।

সেই ইতিহাস যে কোনও অফিসিয়াল ওয়ার্কফ্লোর চারপাশে ঝুঁকি বাড়ায় যা ব্যবহারকারীদের একটি লাইভ ওয়েব পেজে একটি সিড ফ্রেজ হ্যান্ডেল করতে বলে।

নিরাপত্তা গবেষকরা সতর্ক করেন যে এই ধরনের ব্র্যান্ডেড ইন্টারফেস যা সিড-ফ্রেজ এন্ট্রি স্বাভাবিক করে তা ফিশিং এবং ছদ্মবেশ আক্রমণকে আরও বাড়াবে, যা শিল্পের সবচেয়ে কার্যকর আক্রমণ পদ্ধতিগুলির মধ্যে রয়ে গেছে।

পোস্ট Coinbase ব্যবহারকারীদের নির্দেশ দেয় একই 'বোকামি' পদক্ষেপ অনুসরণ করতে যা স্ক্যামাররা ওয়ালেট থেকে তহবিল উত্তোলন করতে ব্যবহার করে প্রথম CryptoSlate-এ প্রকাশিত হয়েছে।