ZachXBT แจ้งเตือนหน้ากู้คืน Coinbase Commerce ที่ขอให้ผู้ใช้ป้อนรหัสเมล็ดพันธุ์ 12 คำ ซึ่งก่อให้เกิดความกังวลเรื่องฟิชชิ่งและวิศวกรรมสังคม
หน้าที่ใช้งานจริงบนโดเมนทางการของ Coinbase กำลังสร้างความกังวลด้านความปลอดภัยจากนักวิจัย หน้านี้โฮสต์อยู่ที่ withdraw.commerce.coinbase.com ซึ่งขอให้ผู้ใช้ป้อนรหัสเมล็ดพันธุ์ 12 คำเป็นส่วนหนึ่งของกระบวนการกู้คืนสินทรัพย์ที่เชื่อมโยงกับ Coinbase Commerce การแลกเปลี่ยนยังไม่ได้ลบหน้านี้ออกไป
นักสืบบนบล็อกเชน ZachXBT ได้แจ้งเตือนบน X โดยตั้งคำถามว่า Coinbase คิดให้รอบคอบแล้วหรือยังว่าหน้าแบบนี้จะสามารถเปิดโอกาสให้ใครบางคนทำอะไรได้บ้าง “ดังนั้น Coinbase จึงมีหน้าทางการที่แฮกเกอร์สามารถใช้เพื่อโจมตีผู้ใช้ Coinbase ผ่านวิศวกรรมสังคมรหัสเมล็ดพันธุ์ได้ใช่ไหม?” ZachXBT เขียนโพสต์นี้ได้รับการตอบสนองเป็นพันๆ ครั้งเกือบจะในทันที
เมื่อหน้าทางการกลายเป็นอาวุธ
นักวิจัยด้านความปลอดภัย evilcos ได้แจ้งเตือนบน X เกี่ยวกับหน้านี้ก่อนหน้านี้ โดยกล่าวว่าการขอให้ผู้ใช้ป้อนรหัส mnemonic เป็นข้อความธรรมดานั้นเป็นเรื่องที่ยากจะเชื่อได้จากแพลตฟอร์มการแลกเปลี่ยนขนาดใหญ่ นักวิจัยกล่าวว่าหน้าดังกล่าวดูเหมือนจะถูกแฮก แต่จริงๆ แล้วเป็นหน้าทางการ
เอกสารช่วยเหลือของ Coinbase Commerce ซึ่งปรากฏบนหน้ากู้คืนอธิบายกระบวนการนี้ มันบอกให้ผู้ค้าเข้าใจว่าสินทรัพย์ของพวกเขาอาจถูกกระจายอยู่ในหลายร้อยหรือหลายพันที่อยู่กระเป๋าเงิน เนื่องจาก Commerce สร้างที่อยู่ใหม่สำหรับแต่ละการชำระเงินที่ได้รับ การนำเข้าเมล็ดพันธุ์เข้าสู่กระเป๋าเงินมาตรฐานอาจไม่แสดงยอดเต็ม เนื่องจากกระเป๋ามาตรฐานมักจะสแกนเฉพาะ 20 ที่อยู่แรกที่ยังไม่ถูกใช้งาน สำหรับ Bitcoin และสินทรัพย์ที่อิง UTXO อื่นๆ Coinbase แนะนำให้ผู้ใช้ใช้เครื่องมือถอนเงินก่อนวันที่ 31 มีนาคม 2026
เอกสารยังแนะนำวิธีการกู้คืนรหัสเมล็ดพันธุ์ที่สำรองไว้บน Google Drive แล้วป้อนเข้าเครื่องมือถอนเงิน ซึ่งนักวิจัยชี้ว่านี่คือจุดเสี่ยง
ปัญหาสองอย่างในหน้าเดียว แต่เป็นอันตรายมาก
นักวิจัยด้านความปลอดภัย im23pds ได้โพสต์บน X แยกประเด็นเป็นสองปัญหาแรก แม้ว่าลิงก์จะมาจากโดเมนทางการของ Coinbase แต่การขอให้ผู้ใช้ส่งรหัส mnemonic เพื่อยืนยันสินทรัพย์นั้นเป็นการละเมิดความปลอดภัยอย่างร้ายแรง ประการที่สอง เว็บไซต์มีแผนผังเว็บไซต์ที่ผิดพลาด ผู้โจมตีสามารถใช้เครื่องมืออย่าง ResourcesSaver เพื่อดาวน์โหลดโค้ดหน้าเว็บทั้งหมดและสร้างสำเนาที่เกือบเหมือนเดิมได้ เมื่อรวมกับโดเมนที่ดูเหมือนกันแล้ว แคมเปญฟิชชิ่งของ Coinbase ก็จะง่ายขึ้นมาก
ในโพสต์ก่อนหน้านี้ im23pds ยังกล่าวว่า หน้านี้ถูกสร้างขึ้นอย่างไม่รอบคอบ โดยทีมงานเปิดตัวโดยไม่ได้ตั้งค่าแผนผังเว็บไซต์ ซึ่งความผิดพลาดนี้ทำให้หน้าเว็บนี้ง่ายต่อการคัดลอกโครงสร้าง
而且页面做的非常不讲究… sitemap 这种不设置就直接上线了:-)
👇 pic.twitter.com/wdzBOti5w8
— 23pds (山哥) (@im23pds) March 19, 2026
แหล่งที่มา: im23pds
อันตรายหลักนั้นชัดเจน ผู้ไม่หวังดีไม่จำเป็นต้องแฮกเข้าสู่ระบบของ Coinbase พวกเขาแค่ชี้เป้าผู้ใช้ไปยังเวอร์ชันปลอมของหน้าทางการที่ขอรหัสเมล็ดพันธุ์ แล้วผู้ใช้ที่ถูกชักจูงโดยหน้าจริงก็จะส่งรหัสนั้นไป
รูปแบบที่กว้างขึ้น
นี่ไม่ใช่แนวทางใหม่ของแพลตฟอร์มนี้ ZachXBT เคยบันทึกไว้แล้วว่าผู้ไม่หวังดีใช้แบรนด์ Coinbase ในแคมเปญวิศวกรรมสังคม โดยใช้การแอบอ้างและช่องทางสนับสนุนปลอมเพื่อขโมยกระเป๋าเงิน หน้ากู้คืน Coinbase Commerce ในกรณีนี้ก็เป็นการวางรากฐานให้กับกลุ่มมิจฉาชีพโดยไม่จำเป็นต้องแอบอ้างอะไรเลย
หน้านี้ยังคงใช้งานได้ Coinbase ยังไม่ได้ตอบสนองต่อความกังวลที่ยกขึ้นมาอย่างเป็นทางการ
