Сторінка Coinbase позначає ризик безпеки при введенні фрази відновлення

ZachXBT вказує на сторінку відновлення Coinbase Commerce, яка просить користувачів ввести 12-словну seed-фразу, викликаючи побоювання щодо фішингу та соціальної інженерії.

Жива сторінка на офіційному домені Coinbase викликає тривогу у дослідників безпеки. Сторінка, розміщена на withdraw.commerce.coinbase.com, просить користувачів ввести 12-словну seed-фразу у рамках процесу відновлення активів, пов’язаного з Coinbase Commerce. Обмін не зняв цю сторінку.

Інвестигатор на блокчейні ZachXBT підняв тривогу в X, запитуючи, чи подумали в Coinbase, що може дозволити така сторінка. «Тобто, по суті, офіційна сторінка Coinbase є відкритою для зловмисників, які можуть використовувати її для цілей соціальної інженерії через seed-фразу?» — написав ZachXBT. Пост майже одразу отримав тисячі взаємодій.

Коли офіційна сторінка стає зброєю

Дослідник безпеки evilcos раніше на X повідомив про цю ж сторінку, зазначаючи, що практика запиту у користувачів введення відкритих мнемонічних фраз здається просто неймовірною для великої біржі. Дослідник сказав, що піддомен спочатку виглядав так, ніби його зламали. Але ні, сторінка є офіційною.

Документація допомоги Coinbase Commerce, яка доступна на сторінці відновлення, пояснює процес. Вона повідомляє торговцям, що їхні кошти можуть бути розподілені по сотнях або навіть тисячах адрес гаманців, оскільки Commerce генерує нову адресу для кожної отриманої оплати. Імпорт seed-фрази у стандартний гаманець може не показати повний баланс. Стандартні гаманці зазвичай сканують лише перші 20 невикористаних адрес. Для Bitcoin та інших активів на основі UTXO Coinbase рекомендує використовувати інструмент для виведення до 31 березня 2026 року.

У документації також описано, як відновити seed-фразу, збережену на Google Drive, і ввести її у інструмент для виведення. Саме тут, за словами дослідників, і криється ризик.

Дві окремі проблеми, одна дуже небезпечна сторінка

Дослідник безпеки im23pds опублікував у X, розділивши проблему на дві окремі частини. По-перше, хоча посилання походить з офіційного домену Coinbase, запит на передачу мнемонічної фрази для перевірки активів є недбалим з точки зору безпеки. По-друге, сайт має недосконалий sitemap. Зловмисники можуть використати інструменти, такі як ResourcesSaver, щоб повністю завантажити фронтенд-код і розгорнути майже ідентичну копію. У поєднанні з доменом-двійником це значно полегшує проведення фішингових кампаній.

У попередньому пості раніше im23pds зазначив, що сторінка була створена недбало. Вони запустили її навіть без налаштування sitemap. Така недбалість робить сторінку ще більш доступною для тих, хто хоче скопіювати її структуру.

而且页面做的非常不讲究… sitemap 这种不设置就直接上线了:-)
👇 pic.twitter.com/wdzBOti5w8

— 23pds (山哥) (@im23pds) 19 березня 2026 року

Джерело: im23pds

Основна небезпека очевидна. Зловмисники не потрібно зламувати системи Coinbase. Вони спрямовують користувача на фальшиву версію вже існуючої офіційної сторінки, яка запитує seed-фразу. Користувач, під впливом реальної сторінки, передає її.

Більш широка картина

Це не новий сценарій для біржі. ZachXBT раніше документував, як зловмисники використовують бренд Coinbase у кампаніях соціальної інженерії, застосовуючи підроблені канали підтримки та імітацію. Сторінка відновлення Coinbase Commerce, у цьому випадку, створює основу для шахраїв без необхідності імітації будь-чого.

Сторінка залишається активною. Coinbase не реагувала публічно на підняті питання.