Страница Coinbase отмечает проблему безопасности при вводе seed-фразы

ZachXBT отмечает страницу восстановления Coinbase Commerce, которая просит пользователей ввести 12-словную seed-фразу, вызывая опасения по поводу фишинга и социальной инженерии.

Живая страница на официальном домене Coinbase вызывает тревогу у исследователей безопасности. Страница, размещенная на withdraw.commerce.coinbase.com, просит пользователей ввести 12-словную seed-фразу в рамках процесса восстановления активов, связанного с Coinbase Commerce. Биржа не убрала эту страницу.

Исследователь блокчейна ZachXBT поднял тревогу в X, задаваясь вопросом, продумали ли в Coinbase, к чему может привести такая страница. «То есть, по сути, у Coinbase есть официальная страница, которую злоумышленники могут использовать для целевых атак на пользователей Coinbase через социальную инженерию с seed-фразой?» — написал ZachXBT. Пост сразу же собрал тысячи взаимодействий.

Когда официальная страница становится оружием

Исследователь безопасности evilcos ранее отметил ту же страницу в X, заявив, что практика запрашивать у пользователей ввод открытых мнемонических фраз кажется невероятной для крупной биржи. Он отметил, что субдомен изначально выглядел взломанным, но это не так — страница официальная.

Документация поддержки Coinbase Commerce, видимая на странице восстановления, объясняет процесс. Там говорится, что средства могут быть разбросаны по сотням или даже тысячам адресов кошельков, поскольку Commerce создает новый адрес для каждого полученного платежа. Импорт seed-фразы в стандартный кошелек может не показать полный баланс, так как стандартные кошельки обычно сканируют только первые 20 неиспользуемых адресов. Для Bitcoin и других UTXO-активов Coinbase до 31 марта 2026 года направлял пользователей к инструменту вывода средств.

В документации также объясняется, как восстановить seed-фразу, сохраненную в Google Drive, и ввести ее в инструмент вывода. Именно здесь, по мнению исследователей, и скрывается риск.

Две отдельные проблемы, одна очень опасная страница

Исследователь безопасности im23pds в X разбил проблему на две части. Во-первых, несмотря на то, что ссылка идет с официального домена Coinbase, просьба передать свою мнемоническую фразу для проверки активов — это небрежность с точки зрения безопасности. Во-вторых, сайт имеет неправильную карту сайта. Злоумышленники могут использовать инструменты вроде ResourcesSaver для полного скачивания фронтенд-кода и развертывания почти идентичной копии. В сочетании с поддельным доменом это значительно облегчает проведение фишинговых кампаний.

В отдельном посте ранее, im23pds отметил, что страница была создана без должной подготовки карты сайта. Такой недосмотр делает страницу еще более уязвимой для тех, кто захочет скопировать ее структуру.

而且页面做的非常不讲究… sitemap 这种不设置就直接上线了:-)
👇 pic.twitter.com/wdzBOti5w8

— 23pds (山哥) (@im23pds) 19 марта 2026 г.

Источник: im23pds

Основная опасность очевидна. Злоумышленники не нуждаются в взломе систем Coinbase. Они направляют пользователя на поддельную версию уже существующей официальной страницы, которая запрашивает seed-фразу. Пользователь, привыкший к настоящей странице, передает ее.

Общий паттерн

Это не новый сценарий для биржи. ZachXBT ранее документировал, как злоумышленники используют бренд Coinbase в социальных инженерных атаках, используя impersonation и фальшивые каналы поддержки для вывода средств из кошельков. В данном случае страница восстановления Commerce создает предпосылки для мошенников, не требуя имитировать что-либо.

Страница остается активной. Coinbase не дала публичного комментария по поднятым вопросам.