ZachXBT แจ้งเตือนหน้ากู้คืน Coinbase Commerce ที่ขอให้ผู้ใช้ป้อนรหัสเมล็ดพันธุ์ 12 คำ ซึ่งเสี่ยงต่อการฟิชชิ่งและการหลอกลวงทางสังคม
หน้าที่ใช้งานจริงบนโดเมนทางการของ Coinbase กำลังสร้างความกังวลด้านความปลอดภัยจากนักวิจัย หน้านี้โฮสต์อยู่ที่ withdraw.commerce.coinbase.com ซึ่งขอให้ผู้ใช้ป้อนรหัสเมล็ดพันธุ์ 12 คำเป็นส่วนหนึ่งของกระบวนการกู้คืนสินทรัพย์ที่เชื่อมโยงกับ Coinbase Commerce การแลกเปลี่ยนยังไม่ได้ลบหน้านี้ออก
นักสืบบนบล็อกเชน ZachXBT ได้แจ้งเตือนบน X โดยตั้งคำถามว่า Coinbase คิดให้รอบคอบแล้วหรือยังว่าหน้าแบบนี้อาจเปิดโอกาสให้ใครบางคนทำอะไรได้บ้าง “ดังนั้น Coinbase จึงมีหน้าทางการที่แฮกเกอร์สามารถใช้เพื่อโจมตีผู้ใช้ Coinbase ผ่านการหลอกลวงด้วยรหัสเมล็ดพันธุ์ได้ใช่ไหม?” ZachXBT เขียนโพสต์นี้ได้รับความสนใจเป็นจำนวนมากในทันที
เมื่อหน้าทางการกลายเป็นอาวุธ
นักวิจัยด้านความปลอดภัย evilcos ได้แจ้งเตือนบน X เกี่ยวกับหน้านี้เช่นกัน โดยกล่าวว่าการขอให้ผู้ใช้ป้อนรหัส mnemonic เป็นข้อความธรรมดานั้นเป็นเรื่องที่ยากจะเชื่อได้จากบริษัทแลกเปลี่ยนรายใหญ่ นักวิจัยกล่าวว่าหน้าดังกล่าวดูเหมือนจะถูกแฮก แต่จริงๆ แล้วเป็นหน้าทางการ
เอกสารช่วยเหลือของ Coinbase Commerce ที่แสดงบนหน้ากู้คืนอธิบายกระบวนการไว้ โดยบอกว่ากองทุนของผู้ค้าอาจถูกกระจายอยู่ในหลายร้อยหรือหลายพันที่อยู่กระเป๋าเงิน เนื่องจาก Commerce สร้างที่อยู่ใหม่สำหรับแต่ละการชำระเงิน การนำรหัสเมล็ดพันธุ์เข้าไปในกระเป๋าเงินมาตรฐานอาจไม่แสดงยอดเต็ม กระเป๋าเงินมาตรฐานมักจะสแกนเฉพาะ 20 ที่อยู่แรกที่ยังไม่ได้ใช้งานเท่านั้น สำหรับ Bitcoin และสินทรัพย์ที่อิง UTXO อื่นๆ Coinbase แนะนำให้ผู้ใช้ใช้เครื่องมือถอนเงินก่อนวันที่ 31 มีนาคม 2026
เอกสารยังแนะนำวิธีการกู้รหัสเมล็ดพันธุ์ที่สำรองไว้บน Google Drive แล้วนำเข้าในเครื่องมือถอนเงิน ซึ่งนักวิจัยชี้ว่านี่คือจุดเสี่ยง
ปัญหาสองอย่าง แต่หน้าเดียวที่อันตรายมาก
นักวิจัยด้านความปลอดภัย im23pds โพสต์บน X แยกประเด็นเป็นสองปัญหาแรก แม้ลิงก์จะมาจากโดเมนทางการของ Coinbase แต่การขอให้ผู้ใช้ส่งรหัส mnemonic เพื่อยืนยันสินทรัพย์นั้นเป็นการละเมิดความปลอดภัยอย่างร้ายแรง ประการที่สอง เว็บไซต์มีแผนผังไซต์ที่ผิดพลาด ผู้โจมตีสามารถใช้เครื่องมืออย่าง ResourcesSaver เพื่อดาวน์โหลดโค้ดหน้าเว็บทั้งหมดและสร้างสำเนาที่เกือบเหมือนเดิมได้ เมื่อรวมกับโดเมนที่ดูเหมือนกันแล้ว การทำแคมเปญฟิชชิ่งของ Coinbase ก็จะง่ายขึ้นมาก
ในโพสต์ก่อนหน้านี้ im23pds ยังกล่าวว่า หน้านี้ถูกสร้างขึ้นอย่างไม่รอบคอบ โดยทีมงานเปิดตัวโดยไม่ได้ตั้งค่าแผนผังไซต์ ซึ่งความผิดพลาดนี้ทำให้หน้าเว็บนี้ง่ายต่อการคัดลอกโครงสร้าง
而且页面做的非常不讲究… sitemap 这种不设置就直接上线了:-)
👇 pic.twitter.com/wdzBOti5w8
— 23pds (山哥) (@im23pds) March 19, 2026
แหล่งที่มา: im23pds
อันตรายหลักนั้นชัดเจน ผู้ไม่หวังดีไม่จำเป็นต้องแฮกเข้าสู่ระบบของ Coinbase พวกเขาแค่ชี้เป้าผู้ใช้ไปยังเวอร์ชันปลอมของหน้าทางการที่ขอรหัสเมล็ดพันธุ์ แล้วผู้ใช้ที่ถูกฝึกให้เชื่อในหน้าจริงก็จะส่งรหัสไปให้
รูปแบบที่กว้างขึ้น
นี่ไม่ใช่แนวทางใหม่ของบริษัท ZachXBT เคยบันทึกไว้แล้วว่าผู้ไม่หวังดีใช้แบรนด์ Coinbase ในแคมเปญทางสังคม โดยใช้การแอบอ้างและช่องทางสนับสนุนปลอมเพื่อขโมยกระเป๋าเงิน หน้ากู้คืน Coinbase Commerce ก็เป็นพื้นฐานให้กับกลโกงโดยไม่ต้องมีใครแอบอ้างใดๆ
หน้าดังกล่าวยังคงใช้งานอยู่ Coinbase ยังไม่ได้ตอบสนองต่อความกังวลที่ยกขึ้นมาอย่างเป็นทางการ
