Halaman Coinbase Menandai Risiko Keamanan atas Entri Seed Phrase

ZachXBT menyoroti halaman pemulihan Coinbase Commerce yang meminta pengguna memasukkan frase seed 12 kata, menimbulkan kekhawatiran phishing dan rekayasa sosial.

Sebuah halaman langsung di domain resmi Coinbase menarik alarm keamanan dari para peneliti. Halaman tersebut, yang dihosting di withdraw.commerce.coinbase.com, meminta pengguna memasukkan frase seed 12 kata sebagai bagian dari proses pemulihan aset terkait Coinbase Commerce. Pertukaran tersebut belum menurunkan halaman tersebut.

Peneliti on-chain ZachXBT mengangkat kekhawatiran di X, mempertanyakan apakah Coinbase telah memikirkan apa yang bisa dilakukan oleh halaman seperti ini. "Jadi pada dasarnya Coinbase memiliki halaman resmi yang bisa digunakan oleh pelaku ancaman untuk menargetkan pengguna Coinbase melalui rekayasa sosial frase seed jika mereka mau?" tulis ZachXBT. Postingan ini langsung mendapatkan ribuan interaksi.

Ketika Halaman Resmi Menjadi Senjata

Peneliti keamanan evilcos menyoroti halaman yang sama sebelumnya di X, mengatakan bahwa praktik meminta pengguna memasukkan frase mnemonik dalam teks biasa sangat sulit dipercaya dari sebuah pertukaran besar. Peneliti tersebut mengatakan subdomain tersebut awalnya terlihat seperti telah diretas. Namun, tidak. Halaman tersebut resmi.

Dokumentasi bantuan Coinbase Commerce yang terlihat di halaman pemulihan menjelaskan prosesnya. Mereka memberitahu pedagang bahwa dana mereka mungkin tersebar di ratusan bahkan ribuan alamat dompet karena Commerce menghasilkan alamat baru untuk setiap pembayaran yang diterima. Mengimpor frase seed ke dompet standar, katanya, mungkin tidak menampilkan saldo penuh. Dompet standar biasanya hanya memindai 20 alamat tidak terpakai pertama. Untuk Bitcoin dan aset berbasis UTXO lainnya, Coinbase mengarahkan pengguna ke alat penarikan sebelum 31 Maret 2026.

Dokumentasi tersebut juga menginstruksikan pengguna bagaimana cara mendapatkan kembali frase seed yang dibackup ke Google Drive, lalu memasukkannya ke alat penarikan. Di sinilah para peneliti mengatakan risiko berada.

Dua Masalah Terpisah, Satu Halaman Sangat Berbahaya

Peneliti keamanan im23pds memposting di X dengan memecah kekhawatiran menjadi dua isu berbeda. Pertama, meskipun tautan berasal dari domain resmi Coinbase, meminta pengguna mengirimkan frase mnemonik mereka untuk memverifikasi aset adalah ceroboh menurut standar keamanan apa pun. Kedua, situs web tersebut memiliki sitemap yang cacat. Penyerang bisa menggunakan alat seperti ResourcesSaver untuk mengunduh seluruh kode front-end dan menyebarkan salinan yang hampir identik. Ditambah lagi dengan domain yang mirip, kampanye phishing Coinbase menjadi jauh lebih mudah dilakukan.

Dalam postingan sebelumnya di X, im23pds mencatat bahwa halaman tersebut dibangun dengan ceroboh. Tim meluncurkannya tanpa bahkan menyiapkan sitemap. Kelalaian semacam ini membuat halaman tersebut semakin mudah diakses oleh siapa saja yang ingin menyalin strukturnya.

而且页面做的非常不讲究… sitemap 这种不设置就直接上线了:-)
👇 pic.twitter.com/wdzBOti5w8

— 23pds (山哥) (@im23pds) 19 Maret 2026

Sumber: im23pds

Bahaya utama cukup sederhana. Pelaku ancaman tidak perlu membobol sistem Coinbase. Mereka cukup mengarahkan pengguna ke versi palsu dari halaman resmi yang sudah ada dan meminta frase seed. Pengguna, yang telah terbiasa dengan halaman asli, akan menyerahkannya.

Polanya Lebih Luas di Sini

Ini bukan pola baru untuk pertukaran tersebut. ZachXBT sebelumnya telah mendokumentasikan bagaimana pelaku jahat memanfaatkan merek Coinbase dalam kampanye rekayasa sosial, menggunakan impersonasi dan saluran dukungan palsu untuk menguras dompet. Halaman pemulihan Commerce, dalam kasus ini, menjadi dasar bagi penipu tanpa perlu meniru apa pun secara langsung.

Halaman tersebut tetap aktif. Coinbase belum menanggapi secara publik kekhawatiran yang diajukan.