Coinbase 正面臨安全專家的批評,原因在於其錢包恢復流程要求使用者輸入完整的明文助記詞。這種做法使用戶面臨重大的安全漏洞,最近英國法庭的一起案件就清晰地說明了這一風險,其中記錄下的助記詞據稱導致了 1.76 億美元比特幣的失竊。該事件加速了行業向更安全、更用戶友好的替代方案(如 Passkey 技術)的推進,旨在消除使用者直接處理敏感助記詞的需求。
3月19日,一位資深安全研究員公開批評了Coinbase的一項錢包恢復功能,該功能提示使用者以明文形式輸入其完整的助記詞。區塊鏈安全公司慢霧(SlowMist)的創始人余弦在社交媒體上稱這種做法「難以置信」,強調了其根本性的安全風險。要求使用者在網頁表單中輸入或黏貼其主密鑰,會使其暴露於剪貼簿攻擊、鍵盤記錄器和網路釣魚方案之下,從而實際上否定了助記詞始終保持離線這一核心安全原則。這種設計選擇將保護數位環境的責任完全推給了使用者,即使對於技術嫻熟的個人來說,這也是一個重大的失敗點。
暴露助記詞所帶來的確切風險,在近期英國高等法院的一起案件中得到了清晰的體現。原告 Ping Fai Yuen 聲稱,其妻子透過秘密使用監控攝影機錄下他的助記詞和錢包憑證,竊取了 2,323 個比特幣,價值約 1.76 億美元。法庭文件顯示,這筆資金隨後於 2023 年 12 月被轉移到 71 個不同的地址。這起案件提供了一個戲劇性的真實案例,說明即使是物理上的接近也可能在助記詞被視覺暴露時造成洩露。這起涉嫌竊盜案強調了恢復流程的必要性,即不要求使用者以任何數位或可觀察的形式洩露其主密鑰。
為了直接應對使用者管理助記詞的內在弱點,行業正在推進更強大的身份驗證方法。比特幣基礎設施公司 Breez 最近將其 Passkey 登入功能整合到其 SDK 中,允許開發人員構建不依賴傳統 12 字詞組進行日常存取的自託管錢包。這項基於 FIDO2 WebAuthn 標準的技術,使用裝置上的生物識別技術(如臉部識別或指紋掃描)來驗證使用者並派生密鑰。私鑰永遠不會離開裝置的受保護硬體,例如 Apple 的安全隔離區(Secure Enclave)或 Android 的 Titan 晶片,從而保護其免受線上威脅。這一轉變將安全模型重新構築在熟悉的裝置級保護之上,旨在使自主託管對主流使用者而言更安全、更易於存取。
