ZachXBT แจ้งเตือนหน้ากู้คืน Coinbase Commerce ที่ขอให้ผู้ใช้ป้อนรหัสเมล็ดพันธุ์ 12 คำ ซึ่งก่อให้เกิดความกังวลเรื่องฟิชชิ่งและวิศวกรรมสังคม
หน้าที่ใช้งานจริงบนโดเมนทางการของ Coinbase กำลังสร้างความกังวลด้านความปลอดภัยจากนักวิจัย หน้านี้โฮสต์อยู่ที่ withdraw.commerce.coinbase.com ซึ่งขอให้ผู้ใช้ป้อนรหัสเมล็ดพันธุ์ 12 คำเป็นส่วนหนึ่งของกระบวนการกู้คืนสินทรัพย์ที่เชื่อมโยงกับ Coinbase Commerce การแลกเปลี่ยนยังไม่ได้ลบหน้านี้ออกไป
นักสืบบนบล็อกเชน ZachXBT ได้แจ้งเตือนบน X โดยตั้งคำถามว่า Coinbase คิดรอบคอบแล้วหรือไม่ว่าหน้าแบบนี้จะสามารถเปิดโอกาสให้ใครบางคนทำอะไรได้บ้าง “ดังนั้น Coinbase จึงมีหน้าทางการที่แฮกเกอร์สามารถใช้เพื่อโจมตีผู้ใช้ Coinbase ผ่านวิศวกรรมสังคมรหัสเมล็ดพันธุ์ได้ใช่ไหม?” ZachXBT เขียนโพสต์นี้ได้รับความสนใจเป็นจำนวนมากในทันที
เมื่อหน้าทางการกลายเป็นอาวุธ
นักวิจัยด้านความปลอดภัย evilcos ได้แจ้งเตือนบน X เกี่ยวกับหน้านี้เช่นกัน โดยกล่าวว่าการขอให้ผู้ใช้ป้อนรหัส mnemonic เป็นข้อความธรรมดานั้นเป็นเรื่องที่ยากจะเชื่อได้จากแพลตฟอร์มการแลกเปลี่ยนรายใหญ่ นักวิจัยกล่าวว่าหน้าดังกล่าวดูเหมือนจะถูกแฮก แต่จริง ๆ แล้วเป็นหน้าทางการ
เอกสารช่วยเหลือของ Coinbase Commerce ที่แสดงบนหน้ากู้คืนอธิบายกระบวนการไว้ โดยบอกว่าสินทรัพย์ของผู้ค้าอาจกระจายอยู่ในหลายร้อยหรือพันกว่าที่อยู่ เนื่องจาก Commerce สร้างที่อยู่ใหม่สำหรับแต่ละการชำระเงิน การนำรหัสเมล็ดพันธุ์เข้าไปในวอลเล็ตมาตรฐานอาจไม่แสดงยอดเต็ม เนื่องจากวอลเล็ตมาตรฐานมักจะสแกนเฉพาะ 20 ที่อยู่แรกที่ยังไม่ได้ใช้งาน สำหรับ Bitcoin และสินทรัพย์ที่อิง UTXO อื่น ๆ Coinbase แนะนำให้ผู้ใช้ใช้เครื่องมือถอนเงินก่อนวันที่ 31 มีนาคม 2026
เอกสารยังแนะนำวิธีการกู้คืนรหัสเมล็ดพันธุ์ที่สำรองไว้บน Google Drive แล้วป้อนเข้าเครื่องมือถอนเงิน ซึ่งนักวิจัยชี้ว่านี่คือจุดเสี่ยง
ปัญหาสองอย่างในหน้าเดียว แต่เป็นอันตรายมาก
นักวิจัยด้านความปลอดภัย im23pds ได้โพสต์บน X แยกปัญหาออกเป็นสองประเด็น ประเด็นแรก แม้ลิงก์จะมาจากโดเมนทางการของ Coinbase แต่การขอให้ผู้ใช้ส่งรหัส mnemonic เพื่อยืนยันสินทรัพย์นั้นเป็นการละเมิดความปลอดภัยอย่างร้ายแรง ประเด็นที่สอง เว็บไซต์มีแผนผังไซต์ที่ผิดพลาด ผู้โจมตีสามารถใช้เครื่องมืออย่าง ResourcesSaver เพื่อดาวน์โหลดโค้ดหน้าเว็บทั้งหมดและสร้างสำเนาได้เกือบสมบูรณ์ เมื่อรวมกับโดเมนที่ดูเหมือนกันแล้ว แคมเปญฟิชชิ่งของ Coinbase ก็จะง่ายขึ้นมาก
ในโพสต์ก่อนหน้านี้ im23pds ยังกล่าวว่าหน้านี้ถูกสร้างขึ้นอย่างไม่รอบคอบ โดยทีมงานเปิดตัวโดยไม่ได้ตั้งค่าแผนผังไซต์ ซึ่งความผิดพลาดนี้ทำให้หน้าเว็บนี้ง่ายต่อการคัดลอกโครงสร้าง
而且页面做的非常不讲究… sitemap 这种不设置就直接上线了:-)
👇 pic.twitter.com/wdzBOti5w8
— 23pds (山哥) (@im23pds) March 19, 2026
แหล่งที่มา: im23pds
ความเสี่ยงหลักนั้นชัดเจน ผู้ไม่หวังดีไม่จำเป็นต้องแฮกเข้าสู่ระบบของ Coinbase พวกเขาแค่ชี้เป้าผู้ใช้ไปยังเวอร์ชันปลอมของหน้าทางการที่ขอรหัสเมล็ดพันธุ์ แล้วผู้ใช้ที่ถูกฝึกให้เชื่อในหน้าจริงก็จะส่งรหัสไปให้
รูปแบบที่กว้างขึ้น
นี่ไม่ใช่แนวทางใหม่ของแพลตฟอร์ม ZachXBT เคยบันทึกไว้แล้วว่าผู้ไม่หวังดีใช้แบรนด์ Coinbase ในแคมเปญวิศวกรรมสังคม โดยใช้การแอบอ้างและช่องทางสนับสนุนปลอมเพื่อขโมยสินทรัพย์ หน้ากู้คืน Coinbase Commerce ก็เป็นพื้นฐานให้กับกลุ่มมิจฉาชีพโดยไม่จำเป็นต้องแอบอ้างอะไรเลย
หน้าดังกล่าวยังคงใช้งานอยู่ Coinbase ยังไม่ได้ตอบสนองต่อความกังวลที่เกิดขึ้นอย่างเป็นทางการ
