Coinbase instruuje użytkowników, aby postępowali zgodnie z tymi samymi "głupimi" krokami, których używają oszuści do wypłacania środków z portfeli

Coinbase kieruje niektórych użytkowników Commerce do procesu odzyskiwania frazy seed przed terminem migracji 31 marca.

Problem tkwi w planie zamknięcia starszych portfeli Commerce przez Coinbase. W przewodniku przejścia Coinbase informuje, że użytkownicy posiadający środki w portfelu Commerce muszą je wypłacić przed 31 marca 2026 r., kiedy portal Commerce i narzędzie do wypłat staną się niedostępne.

W przypadku użytkowników, którzy wykonali kopię zapasową portfela na Dysku Google, Coinbase zaleca przejście do panelu Commerce, otwarcie Ustawień i Bezpieczeństwa, ujawnienie 12-słowej frazy seed i skorzystanie z narzędzia do wypłat na stronie withdraw.commerce.coinbase.com.

Coinbase twierdzi, że proces jest szczególnie ważny dla sprzedawców, którzy otrzymali Bitcoin lub inne aktywa oparte na UTXO, ponieważ salda mogą być trudne do wyświetlenia w standardowych portfelach.

Fraza seed to główny klucz odzyskiwania dla portfela z samodzielnym przechowywaniem. Własna dokumentacja portfela Coinbase opisuje ją jako 12-słową frazę odzyskiwania, do której dostęp ma tylko użytkownik.

Kto kontroluje tę frazę, kontroluje dostęp do portfela i jego środków. Zgub ją, a dostęp do środków może zostać utracony. Ujawnij ją, a środki w portfelu mogą zostać wyprowadzone.

W tym miejscu sprzeczność staje się trudna do przeoczenia. Wskazówki dotyczące portfela Coinbase mówią użytkownikom, aby nigdy nie udostępniali frazy odzyskiwania, firma nigdy o nią nie poprosi, a także dodaje osobne ostrzeżenie: „Nigdy nie wklejaj jej na żadną stronę internetową".

Jednak przewodnik przejścia Commerce każe niektórym użytkownikom ujawnić tę samą frazę w ramach oficjalnej ścieżki odzyskiwania hostowanej przez Coinbase.

Wyjaśnienie firmy brzmi, że portfele Commerce są przechowywane samodzielnie, a Coinbase nie ma dostępu do frazy ani środków, co pozostawia użytkowników odpowiedzialnych za odzyskiwanie przed zamknięciem.

Badacze bezpieczeństwa widzą szablon phishingowy

Niemniej jednak to żądanie Coinbase uruchomiło dzwonki alarmowe dla wielu ekspertów ds. bezpieczeństwa, którzy krytykują platformę za zachowanie, którego jej strona uczy użytkowników akceptować.

Założyciel firmy bezpieczeństwa blockchain SlowMist, Yu Xian, powiedział, że był zdziwiony, że Coinbase udostępnia stronę prosząc użytkowników o wprowadzenie frazy mnemonicznej w postaci zwykłego tekstu w celu odzyskania aktywów i powiedział, że praktyka ta była tak niebezpieczna, że ​​najpierw zastanawiał się, czy subdomena została zhakowana.

Ostrzeżenie wyostrzyło główną krytykę dotyczącą strony: oficjalna marka, pilny termin i przepływ pracy z frazą seed łączą się w format regularnie naśladowany przez atakujących.

Tymczasem główny dyrektor ds. bezpieczeństwa informacji SlowMist, 23pds, napisał na X, że były „dwa problemy" z tym przepływem. Po pierwsze, powiedział:

Po drugie, zauważył, że strona miała wadliwą mapę witryny, która mogła umożliwić atakującym skopiowanie frontendu i wdrożenie niemal identycznej kopii na podobnej domenie, tworząc silną przynętę phishingową dla użytkowników już przygotowanych, by zaufać wersji Coinbase.

Dodatkowo śledczy blockchain ZachXBT naciskał na ten punkt jeszcze bardziej bezpośrednio. W poście na X napisał:

Ich obawy nie są zaskakujące, biorąc pod uwagę, że phishing i oszustwa typu social engineering pozostają jednym z najsilniejszych wektorów ataków na branżę kryptowalut.

W zeszłym roku ZachXBT ujawnił, że użytkownicy Coinbase tracą rocznie ponad 300 milionów dolarów z powodu oszustw typu social engineering.

To wyjaśnia, dlaczego przepływ Commerce wywołał tak silną reakcję. Zespoły bezpieczeństwa przez lata uczyły użytkowników, że każde żądanie dotyczące frazy seed to początek oszustwa.

Jednak strona należąca do Coinbase obsługująca tę samą frazę może zmienić wizualne i behawioralne sygnały, na których użytkownicy zostali nauczeni polegać.

Historia naruszeń Coinbase wisi nad debatą

Tymczasem debata o bezpieczeństwie uderza mocniej, ponieważ Coinbase już radzi sobie z następstwami wcześniejszych incydentów typu social engineering.

W maju 2025 r. Coinbase poinformował, że cyberprzestępcy przekupili grupę zagranicznych agentów wsparcia, aby ukraść dane klientów do ataków typu social engineering.

Giełda prowadzona przez Briana Armstronga poinformowała, że ​​atakujący uzyskali dane konta dla mniej niż 1% miesięcznych użytkowników dokonujących transakcji i wykorzystali je do sporządzenia list klientów, z którymi mogli się skontaktować, udając, że pochodzą z platformy.

Firma powiedziała, że ​​żadne klucze prywatne nie zostały ujawnione i zobowiązała się zwrócić klientom, którzy zostali oszukani do wysyłania środków atakującym.

Poza tym firma ma również wcześniejszą historię naruszeń.

Coinbase powiedział w swoim raporcie rocznym za 2024 r., że w 2021 r. strony trzecie uzyskały dane logowania i informacje osobiste dla co najmniej 6000 klientów i wykorzystały te szczegóły do wykorzystania luki w procesie odzyskiwania konta. Firma powiedziała, że ​​zwróciła poszkodowanym klientom około 25,1 miliona dolarów.

Ta historia podnosi stawkę wokół każdego oficjalnego przepływu pracy, który prosi użytkowników o obsługę frazy seed na aktywnej stronie internetowej.

Badacze bezpieczeństwa ostrzegają, że taki markowy interfejs, który normalizuje wprowadzanie frazy seed, jeszcze bardziej wzmocni ataki phishingowe i podszywania się, które pozostają jednymi z najskuteczniejszych metod ataków w branży.

Post Coinbase instruuje użytkowników, aby postępowali zgodnie z tymi samymi „głupimi" krokami, których oszuści używają do wypłacania środków z portfeli, pojawił się po raz pierwszy na CryptoSlate.