Coinbase 要求輸入 12 字復原片語掀資安爭議：工具緊急下架、專家警告恐助長釣魚攻擊

加密貨幣交易所「詞」Coinbase 在用戶安全機制上再度掀起爭議。由於其官方網頁一度要求用戶輸入「詞」12 個單字的「詞」錢包復原片語（Recovery Phrase），並被多名「詞」區塊鏈安全研究員點名存在「詞」重大資安風險，Coinbase 目前已緊急將該工具下架，僅顯示「服務無法使用」的提示。

根據「詞」SlowMist 安全團隊創辦人 Cos 於 18 日（當地時間）公開的調查內容，爭議焦點是一個架設在 Coinbase 官方網域底下的頁面。這個工具會要求使用者以「明文」輸入 12 字復原片語，甚至指示用戶可以直接從「詞」Google Drive 備份中擷取並貼上完整片語。由於該頁面掛在 Coinbase 正式網域之下，在視覺與信任感上都與一般官方服務無異。

知名「詞」鏈上調查員 ZachXBT 隨後也在社群媒體上發出警告，指出這個設計等同於為攻擊者提供一個「社交工程攻擊」的完美模板。他強調，只要駭客複製相同介面與流程，再搭配類似網域或釣魚郵件，就能利用「這看起來像官方服務」的信任感，引導用戶主動輸入自己的「詞」種子片語（Seed Phrase）。

「詞」SlowMist 研究員 23pds 進一步從技術角度補充風險。他表示，該工具頁面本身的站台結構相對簡陋，前端介面極易「複製貼上」，若配合相似網址建立假網站，幾乎可以一比一重現 Coinbase 的官方流程，使一般使用者難以辨別真偽，將大幅提高「詞」釣魚攻擊成功率。

在這場爭議中，批評焦點不只在技術問題，更集中於「行為引導」本身。社群用戶 Kieran 指出，加密資產最基本的「詞」安全守則之一，就是「任何情況都不要在網站上輸入完整復原片語」。當一個主流平台在官方頁面上要求用戶違反這項原則時，實際效果就是在幫釣魚網站「正當化」這種行為，弱化用戶的警覺心。

從安全本質來看，復原片語是掌控整個「詞」加密錢包的最高權限，一旦外流，資產幾乎無法挽回。因此，任何誘導用戶「手動輸入」或「貼上」完整片語的流程，都被資安社群視為與既有「詞」種子片語安全原則相衝突。這也是為什麼此次 Coinbase 工具會在安全研究員之間引發高度關注。

爭議浮上檯面後，Coinbase 迅速將該工具下架。據內部成員 Alex 對社群的說明，團隊已感謝社群及時通報風險，並表示正在設計「更安全的解決方案」，未來將以其他方式協助用戶管理備份與復原流程。目前原本的操作頁面只剩下「服務暫停」的簡短告示。

此次事件也反映了當前「詞」加密貨幣攻擊手法的變化趨勢。鏈上安全公司 Nominis 的數據顯示，今年 2 月整體加密貨幣相關損失金額大幅下降約 87%，然而攻擊重心正從傳統的「程式碼漏洞」轉移到「詞」用戶欺騙與社交工程。Nominis 指出，近來案件更常見的是「詞」釣魚網站、「誤導性介面」和「偽裝成官方工具」的設計，而非高難度的智能合約攻擊。

評論：也就是說，駭客現在不一定要突破區塊鏈本身的安全機制，而是直接繞過技術防線，把矛頭指向「人」。只要平台設計稍有不慎，讓使用者習慣在看似官方的表單中輸入關鍵憑證，就等於在社交工程面向為攻擊者打開一扇門。

在這種環境下，Coinbase 這起事件不只是一次單一工具下架的插曲，而是一個明確警訊：當大型平台在設計流程時，若忽略「詞」用戶心理與行為模式，即便本身不存在明確程式漏洞，也可能無意間削弱整體「詞」資安教育成效，替未來的釣魚攻擊鋪路。

評論：對整個產業而言，接下來的關鍵不只是修補「看得見的漏洞」，更在於將「詞」用戶行為納入安全設計核心，把「任何人、在任何地方都不該被要求輸入完整復原片語」這類原則，真正落實到每一個產品介面與流程中。這不僅是 Coinbase 要面對的課題，也是所有錢包服務與交易平台接下來必須正視的方向。