Coinbase उपयोगकर्ताओं को वही 'मूर्खतापूर्ण' कदम उठाने का निर्देश देता है जिनका उपयोग स्कैमर्स वॉलेट से फंड निकालने के लिए करते हैं

Coinbase कुछ Commerce उपयोगकर्ताओं को 31 मार्च की माइग्रेशन समय सीमा से पहले seed-phrase रिकवरी फ्लो की ओर निर्देशित कर रहा है।

यह मुद्दा Coinbase की लीगेसी Commerce वॉलेट के लिए बंद करने की योजना में है। अपनी ट्रांज़िशन गाइड में, Coinbase कहता है कि Commerce वॉलेट में फंड वाले उपयोगकर्ताओं को 31 मार्च, 2026 से पहले उन्हें निकालना होगा, जब Commerce पोर्टल और निकासी टूल दुर्गम हो जाएगा।

जिन उपयोगकर्ताओं ने अपने वॉलेट को Google Drive पर बैकअप किया है, Coinbase कहता है कि उन्हें Commerce डैशबोर्ड पर जाना चाहिए, Settings और Security खोलना चाहिए, 12-शब्द seed phrase प्रकट करना चाहिए, और withdraw.commerce.coinbase.com पर निकासी टूल का उपयोग करना चाहिए।

Coinbase का कहना है कि यह प्रक्रिया विशेष रूप से उन व्यापारियों के लिए महत्वपूर्ण है जिन्हें Bitcoin या अन्य UTXO-आधारित एसेट्स प्राप्त हुए हैं क्योंकि स्टैंडर्ड वॉलेट में बैलेंस को सामने लाना अन्यथा कठिन हो सकता है।

एक seed phrase सेल्फ-कस्टडी वॉलेट के लिए मास्टर रिकवरी की है। Coinbase का अपना वॉलेट डॉक्यूमेंटेशन इसे 12-शब्द रिकवरी फ्रेज़ के रूप में वर्णित करता है जिसकी एक्सेस केवल उपयोगकर्ता के पास होती है।

जो कोई भी उस फ्रेज़ को नियंत्रित करता है वह वॉलेट और उसके फंड तक एक्सेस को नियंत्रित करता है। इसे खो दें, और फंड तक एक्सेस खो सकती है। इसे उजागर करें, और वॉलेट में फंड खाली हो सकते हैं।

यहीं पर विरोधाभास चूकना मुश्किल हो जाता है। Coinbase का वॉलेट मार्गदर्शन उपयोगकर्ताओं को रिकवरी फ्रेज़ कभी साझा न करने के लिए कहता है, कहता है कि फर्म कभी इसके लिए नहीं पूछेगी, और एक अलग चेतावनी जोड़ती है: "इसे कभी भी किसी वेबसाइट में पेस्ट न करें।"

फिर भी Commerce ट्रांज़िशन गाइड कुछ उपयोगकर्ताओं को आधिकारिक Coinbase-होस्टेड रिकवरी पाथ के हिस्से के रूप में उसी फ्रेज़ को प्रकट करने के लिए कहती है।

कंपनी की व्याख्या यह है कि Commerce वॉलेट सेल्फ-कस्टोडियल हैं, और Coinbase के पास फ्रेज़ या फंड तक एक्सेस नहीं है, जो शटडाउन से पहले रिकवरी के लिए उपयोगकर्ताओं को जिम्मेदार बनाता है।

सुरक्षा शोधकर्ता एक फ़िशिंग टेम्पलेट देखते हैं

फिर भी, Coinbase की इस मांग ने कई सुरक्षा विशेषज्ञों के लिए अलार्म बजाया है, जो प्लेटफ़ॉर्म की उस व्यवहार के लिए आलोचना कर रहे हैं जो इसका पेज उपयोगकर्ताओं को स्वीकार करना सिखाता है।

ब्लॉकचेन सुरक्षा फर्म SlowMist के संस्थापक Yu Xian ने कहा कि वे हैरान थे कि Coinbase एक ऐसा पेज होस्ट करेगा जो उपयोगकर्ताओं से एसेट रिकवरी के लिए प्लेन टेक्स्ट में mnemonic phrase दर्ज करने के लिए कहता है और कहा कि यह प्रथा इतनी असुरक्षित थी कि उन्होंने पहले सोचा कि क्या सबडोमेन हैक कर लिया गया था।

चेतावनी ने पेज के चारों ओर मुख्य आलोचना को तेज कर दिया: एक आधिकारिक ब्रांड, एक जरूरी समय सीमा, और एक seed-phrase वर्कफ्लो एक ऐसे प्रारूप में संयुक्त होते हैं जिसकी हमलावर नियमित रूप से नकल करते हैं।

इसी बीच, SlowMist के मुख्य सूचना सुरक्षा अधिकारी 23pds ने X पर लिखा कि फ्लो के साथ "दो मुद्दे" थे। सबसे पहले, उन्होंने कहा:

दूसरे, उन्होंने नोट किया कि साइट में एक त्रुटिपूर्ण साइटमैप था जो हमलावरों को फ्रंट एंड की प्रतिलिपि बनाने और लुकलाइक डोमेन पर नियर-क्लोन तैनात करने दे सकता है, जो पहले से ही Coinbase संस्करण पर भरोसा करने के लिए तैयार उपयोगकर्ताओं के लिए एक मजबूत फ़िशिंग प्रलोभन बनाता है।

इसके अतिरिक्त, ब्लॉकचेन जांचकर्ता ZachXBT ने उस बिंदु पर और भी सीधे दबाव डाला। X पर एक पोस्ट में, उन्होंने लिखा:

उनकी चिंताएं आश्चर्यजनक नहीं हैं, यह देखते हुए कि फ़िशिंग और सोशल इंजीनियरिंग घोटाले क्रिप्टो इंडस्ट्री के खिलाफ सबसे शक्तिशाली हमले वेक्टर में से एक बने हुए हैं।

पिछले साल, ZachXBT ने खुलासा किया कि Coinbase उपयोगकर्ता सोशल इंजीनियरिंग घोटालों के कारण सालाना $300 मिलियन से अधिक खो देते हैं।

यह पकड़ता है कि Commerce फ्लो ने इतनी मजबूत प्रतिक्रिया क्यों ट्रिगर की है। सुरक्षा टीमों ने उपयोगकर्ताओं को यह सिखाने में वर्षों बिताए हैं कि seed phrase से जुड़ी कोई भी अनुरोध घोटाले की शुरुआत है।

हालांकि, एक Coinbase-स्वामित्व वाला पेज उसी फ्रेज़ को संभालते हुए दृश्य और व्यवहार संबंधी संकेतों को बदल सकता है जिन पर भरोसा करने के लिए उपयोगकर्ताओं को सिखाया गया है।

Coinbase का उल्लंघन इतिहास बहस पर लटका हुआ है

इसी बीच, सुरक्षा बहस कठिन रूप से उतरती है क्योंकि Coinbase पहले से ही पिछली सोशल-इंजीनियरिंग घटनाओं के बाद के प्रभावों से निपट रहा है।

मई 2025 में, Coinbase ने रिपोर्ट किया कि साइबर अपराधियों ने सोशल-इंजीनियरिंग हमलों के लिए ग्राहक डेटा चुराने के लिए विदेशी सपोर्ट एजेंटों के एक समूह को रिश्वत दी।

Brian Armstrong के नेतृत्व वाले एक्सचेंज ने कहा कि हमलावरों ने मासिक लेनदेन करने वाले उपयोगकर्ताओं के 1% से कम के लिए अकाउंट डेटा प्राप्त किया और इसका उपयोग ग्राहकों की सूची संकलित करने के लिए किया जिनसे वे प्लेटफ़ॉर्म से होने का दिखावा करते हुए संपर्क कर सकते थे।

कंपनी ने कहा कि कोई प्राइवेट की उजागर नहीं हुई और उन ग्राहकों को प्रतिपूर्ति करने का वादा किया जिन्हें हमलावरों को फंड भेजने के लिए धोखा दिया गया था।

इसके अलावा, कंपनी के पास पहले का उल्लंघन रिकॉर्ड भी है।

Coinbase ने अपनी 2024 की वार्षिक रिपोर्ट में कहा कि 2021 में, तीसरे पक्षों ने कम से कम 6,000 ग्राहकों के लिए लॉगिन क्रेडेंशियल्स और व्यक्तिगत जानकारी प्राप्त की और अकाउंट रिकवरी प्रक्रिया में कमजोरी का फायदा उठाने के लिए उन विवरणों का उपयोग किया। फर्म ने कहा कि उसने प्रभावित ग्राहकों को लगभग $25.1 मिलियन की प्रतिपूर्ति की।

वह इतिहास किसी भी आधिकारिक वर्कफ्लो के आसपास दांव बढ़ाता है जो उपयोगकर्ताओं से लाइव वेब पेज पर seed phrase को संभालने के लिए कहता है।

सुरक्षा शोधकर्ता चेतावनी देते हैं कि ऐसा ब्रांडेड इंटरफ़ेस जो seed-phrase एंट्री को सामान्य बनाता है, फ़िशिंग और प्रतिरूपण हमलों को और बढ़ावा देगा, जो इंडस्ट्री के सबसे प्रभावी हमले के तरीकों में से हैं।

पोस्ट Coinbase उपयोगकर्ताओं को उन्हीं 'मूर्खतापूर्ण' कदमों का पालन करने का निर्देश देता है जो घोटालेबाज वॉलेट से फंड निकालने के लिए उपयोग करते हैं, सबसे पहले CryptoSlate पर दिखाई दिया।