Coinbase gỡ bỏ công cụ yêu cầu nhập cụm từ khôi phục ví sau cảnh báo rủi ro bảo mật

Coinbase vừa gỡ bỏ một công cụ yêu cầu người dùng nhập *“cụm từ”* khôi phục ví, sau khi các nhà điều tra on-chain lên tiếng cảnh báo nguy cơ mất an toàn. Thiết kế nền tảng bị cho là mâu thuẫn với các *“từ”* bảo mật cốt lõi về seed phrase, thổi bùng tranh cãi trong cộng đồng tiền mã hóa.

Theo SlowMist đưa tin ngày 18 (giờ địa phương), nhà sáng lập Cos phát hiện một trang được lưu trữ trên tên miền chính thức của Coinbase yêu cầu người dùng nhập “12 từ khôi phục” ở dạng văn bản thuần. Giao diện này thậm chí còn hướng dẫn người dùng lấy cụm *“từ”* từ bản sao lưu Google Drive để dán vào.

Ngay sau đó, điều tra viên on-chain ZachXBT cũng công khai lên tiếng. Anh cảnh báo trang nằm trên tên miền chính thức có thể trở thành công cụ hoàn hảo cho các chiến dịch “tấn công xã hội nhắm vào cụm từ seed”, bởi yếu tố “trang chính chủ” sẽ khiến người dùng dễ tin hơn và sẵn sàng cung cấp cụm *“từ”* khôi phục.

Nhà nghiên cứu 23pds của SlowMist bổ sung thêm góc nhìn kỹ thuật. Theo phân tích của anh, cấu trúc trang quá đơn giản, dễ bị “nhân bản”, tạo điều kiện cho kẻ xấu dựng các trang dùng tên miền na ná nhằm triển khai chiến dịch phishing, đánh lừa người dùng nhập cụm *“từ”* khôi phục vào những bản sao giả mạo gần như y hệt.

bình luận: Trong môi trường mà người dùng vốn đã quen với giao diện Coinbase, chỉ cần một chi tiết “trông giống” là đủ để không ít người mất cảnh giác, đặc biệt khi yêu cầu nhập cụm *“từ”* khôi phục lại xuất hiện trên một trang có giao diện, logo và domain tương tự.

Cuộc tranh cãi không chỉ dừng ở khía cạnh kỹ thuật, mà còn chạm tới “thiết kế hành vi” đối với người dùng. Một người dùng có tên Kieran cho rằng nguyên tắc bảo mật cơ bản trong tiền mã hóa là “không bao giờ nhập cụm *“từ”* khôi phục trong bất kỳ hoàn cảnh nào”. Việc một trang “chính chủ” yêu cầu thao tác này sẽ vô hình trung hợp thức hóa và “bình thường hóa” các tình huống lừa đảo tương tự.

Thực tế, seed phrase chính là chìa khóa kiểm soát hoàn toàn quyền truy cập ví. Bất kỳ thiết kế nào khuyến khích người dùng quen tay gõ cụm *“từ”* khôi phục vào một form trên web đều đi ngược lại thông điệp giáo dục bảo mật đã được ngành công nghiệp này lặp đi lặp lại suốt nhiều năm.

Đáp lại làn sóng chỉ trích, Coinbase đã nhanh chóng xóa công cụ nói trên. Một thành viên nội bộ có tên Alex cho biết nhóm phát triển “cảm ơn cộng đồng đã kịp thời cảnh báo” và tiết lộ sàn đang xây dựng một giải pháp an toàn hơn. Hiện tại, đường dẫn cũ chỉ hiển thị thông báo “dịch vụ tạm ngừng” và không còn chấp nhận nhập cụm *“từ”* khôi phục.

bình luận: Động thái gỡ bỏ nhanh cho thấy Coinbase ý thức được mức độ nhạy cảm của việc “đụng” vào cụm *“từ”* khôi phục, nhất là trong bối cảnh niềm tin người dùng với các nền tảng tập trung đang chịu nhiều thách thức.

Vụ việc xảy ra trong bối cảnh xu hướng tấn công vào hệ sinh thái tiền mã hóa đang thay đổi. Theo công ty bảo mật on-chain Nominis, tổng thiệt hại liên quan đến tiền mã hóa trong tháng 2 vừa qua đã giảm khoảng 87%, nhưng chiến thuật của kẻ tấn công lại dịch chuyển rõ rệt từ việc khai thác lỗ hổng mã nguồn sang mô hình “lừa người dùng là chính”.

Nominis đánh giá các cuộc tấn công gần đây ít tập trung vào hack kỹ thuật thuần túy, mà thiên về phishing, giao diện dễ gây hiểu nhầm, hoặc các thao tác thiết kế trải nghiệm khiến người dùng vô tình tự trao quyền truy cập tài sản. Nói cách khác, hệ thống đang dần khó hack hơn, nên con người trở thành “mục tiêu mềm” hấp dẫn hơn.

Trong bối cảnh đó, câu chuyện Coinbase không chỉ là một sự cố nhất thời, mà là lời cảnh tỉnh về vai trò của thiết kế trải nghiệm trong bảo mật. Một nền tảng lớn nếu vô tình làm suy yếu “bản năng cảnh giác” của người dùng với cụm *“từ”* khôi phục, thì vô hình trung đã mở ra một mặt trận mới cho kẻ tấn công.

bình luận: Khi tiền mã hóa ngày càng phổ biến, “bảo mật theo hành vi” – thiết kế sản phẩm sao cho người dùng gần như không bao giờ phải nhập cụm *“từ”* khôi phục lên web – sẽ quan trọng không kém các lớp công nghệ như multisig, ví thông minh hay MPC. Vụ việc Coinbase là ví dụ điển hình cho thấy chỉ cần một công cụ thiết kế chưa chuẩn, toàn bộ *“từ”* nguyên tắc bảo mật quanh seed phrase có thể bị xói mòn trong mắt người dùng.