ZachXBT แจ้งเตือนหน้ากู้คืน Coinbase Commerce ที่ขอให้ผู้ใช้ป้อนรหัสเมล็ดพันธุ์ 12 คำ ซึ่งเสี่ยงต่อการฟิชชิ่งและการหลอกลวงทางสังคม
หน้าที่ใช้งานจริงบนโดเมนทางการของ Coinbase กำลังสร้างความกังวลด้านความปลอดภัยจากนักวิจัย หน้านี้โฮสต์อยู่ที่ withdraw.commerce.coinbase.com ซึ่งขอให้ผู้ใช้ป้อนรหัสเมล็ดพันธุ์ 12 คำเป็นส่วนหนึ่งของกระบวนการกู้คืนสินทรัพย์ที่เชื่อมโยงกับ Coinbase Commerce การแลกเปลี่ยนยังไม่ได้ลบหน้านี้ออก
นักสืบบนบล็อกเชน ZachXBT ได้แจ้งเตือนบน X โดยตั้งคำถามว่า Coinbase คิดให้รอบคอบแล้วหรือยังว่าหน้าแบบนี้อาจเปิดโอกาสให้ใครบางคนทำอะไรได้บ้าง “ดังนั้น Coinbase จึงมีหน้าทางการที่แฮกเกอร์สามารถใช้เพื่อโจมตีผู้ใช้ Coinbase ผ่านการหลอกลวงด้วยรหัสเมล็ดพันธุ์ได้ใช่ไหม?” ZachXBT เขียนโพสต์นี้ซึ่งมีการตอบสนองเป็นพันๆ ครั้งเกือบจะในทันที
เมื่อหน้าทางการกลายเป็นอาวุธ
นักวิจัยด้านความปลอดภัย evilcos ได้แจ้งเตือนบน X เกี่ยวกับหน้านี้ก่อนหน้านี้ โดยกล่าวว่าการขอให้ผู้ใช้ป้อนรหัส mnemonic เป็นข้อความธรรมดานั้นเป็นเรื่องที่ยากจะเชื่อได้จากแพลตฟอร์มการแลกเปลี่ยนรายใหญ่ นักวิจัยกล่าวว่าหน้าดังกล่าวดูเหมือนจะถูกแฮก แต่จริงๆ แล้วเป็นหน้าทางการ
เอกสารช่วยเหลือของ Coinbase Commerce ซึ่งปรากฏบนหน้ากู้คืนอธิบายกระบวนการนี้ โดยบอกว่านักเทรดอาจมีเงินกระจายอยู่ในหลายร้อยหรือหลายพันที่อยู่กระเป๋า เนื่องจาก Commerce สร้างที่อยู่ใหม่สำหรับแต่ละการชำระเงิน การนำรหัสเมล็ดพันธุ์เข้าไปในกระเป๋ามาตรฐานอาจไม่แสดงยอดเต็ม เนื่องจากกระเป๋ามาตรฐานมักจะสแกนเฉพาะ 20 ที่อยู่แรกที่ยังไม่ได้ใช้งาน สำหรับ Bitcoin และสินทรัพย์ที่อิง UTXO อื่นๆ Coinbase แนะนำให้ผู้ใช้ใช้เครื่องมือถอนเงินก่อนวันที่ 31 มีนาคม 2026
เอกสารยังแนะนำวิธีดึงรหัสเมล็ดพันธุ์ที่สำรองไว้ใน Google Drive แล้วป้อนเข้าเครื่องมือถอนเงิน ซึ่งนักวิจัยชี้ว่านี่คือจุดเสี่ยง
ปัญหาสองอย่าง แต่หน้าเดียวที่อันตรายมาก
นักวิจัยด้านความปลอดภัย im23pds โพสต์บน X แยกประเด็นเป็นสองปัญหาแรก แม้ลิงก์จะมาจากโดเมนทางการของ Coinbase แต่การขอให้ผู้ใช้ส่งรหัส mnemonic เพื่อยืนยันสินทรัพย์นั้นเป็นการละเมิดความปลอดภัยอย่างร้ายแรง ประการที่สอง เว็บไซต์มีแผนผังไซต์ที่ผิดพลาด ผู้โจมตีสามารถใช้เครื่องมืออย่าง ResourcesSaver เพื่อดาวน์โหลดโค้ดหน้าเว็บทั้งหมดและสร้างสำเนาที่เกือบเหมือนเดิมได้ เมื่อรวมกับโดเมนที่ดูเหมือนกันแล้ว แคมเปญฟิชชิ่งของ Coinbase ก็จะง่ายขึ้นมาก
ในโพสต์ก่อนหน้านี้ของ im23pds ก็ได้กล่าวว่า หน้านี้ถูกสร้างขึ้นอย่างไม่รอบคอบ โดยทีมงานไม่ได้ตั้งค่าแผนผังไซต์เลย ซึ่งความผิดพลาดนี้ทำให้หน้าเว็บเข้าถึงได้ง่ายขึ้นสำหรับใครก็ตามที่ต้องการลอกเลียนแบบโครงสร้าง
而且页面做的非常不讲究… sitemap 这种不设置就直接上线了:-)
👇 pic.twitter.com/wdzBOti5w8
— 23pds (山哥) (@im23pds) March 19, 2026
แหล่งที่มา: im23pds
อันตรายหลักนั้นชัดเจน ผู้ร้ายไม่จำเป็นต้องแฮกเข้าสู่ระบบของ Coinbase พวกเขาแค่ชี้เป้าผู้ใช้ไปยังเวอร์ชันปลอมของหน้าทางการที่ขอรหัสเมล็ดพันธุ์ แล้วผู้ใช้ซึ่งถูกชักจูงโดยหน้าจริงก็จะส่งรหัสไปให้
รูปแบบที่กว้างขึ้น
นี่ไม่ใช่แนวทางใหม่ของแพลตฟอร์มนี้แล้ว ZachXBT เคยบันทึกไว้ว่าแฮกเกอร์ใช้แบรนด์ Coinbase ในแคมเปญทางสังคม โดยใช้การแอบอ้างและช่องทางสนับสนุนปลอมเพื่อขโมยกระเป๋าเงิน หน้ากู้คืน Coinbase Commerce ในกรณีนี้ก็เป็นการวางรากฐานให้กับกลุ่มมิจฉาชีพโดยไม่ต้องแอบอ้างอะไรเลย
หน้าดังกล่าวยังคงใช้งานอยู่ Coinbase ยังไม่ได้ตอบสนองต่อความกังวลที่ยกขึ้นมาอย่างเป็นทางการ
