Страница Coinbase отмечает проблему безопасности при вводе seed-фразы

ZachXBT отмечает страницу восстановления Coinbase Commerce, которая просит пользователей ввести 12-словную seed-фразу, вызывая опасения по поводу фишинга и социальной инженерии.

Живая страница на официальном домене Coinbase вызывает тревогу у исследователей безопасности. Страница, размещенная на withdraw.commerce.coinbase.com, просит пользователей ввести 12-словную seed-фразу в рамках процесса восстановления активов, связанного с Coinbase Commerce. Биржа не убрала эту страницу.

Исследователь блокчейна ZachXBT поднял тревогу в X, задаваясь вопросом, продумали ли в Coinbase, к чему может привести такая страница. «То есть, по сути, у Coinbase есть официальная страница, которую злоумышленники могут использовать для целенаправленных атак на пользователей Coinbase через социальную инженерию с seed-фразой?» — написал ZachXBT. Пост сразу же собрал тысячи взаимодействий.

Когда официальная страница становится оружием

Исследователь безопасности evilcos ранее отметил ту же страницу в X, заявив, что практика запрашивать у пользователей ввод открытых мнемонических фраз кажется невероятной для крупной биржи. Он отметил, что субдомен изначально выглядел взломанным, но это не так — страница официальная.

Документация поддержки Coinbase Commerce, видимая на странице восстановления, объясняет процесс. Там говорится, что средства могут быть разбросаны по сотням или даже тысячам адресов кошельков, поскольку Commerce создает новый адрес для каждого платежа. Импорт seed-фразы в стандартный кошелек, по словам документации, может не показать полный баланс. Обычно стандартные кошельки сканируют только первые 20 неиспользуемых адресов. Для Bitcoin и других активов на базе UTXO Coinbase до 31 марта 2026 года направлял пользователей к инструменту вывода средств.

Также в документации объясняется, как восстановить seed-фразу, сохраненную на Google Drive, и ввести ее в инструмент вывода. Именно здесь, по мнению исследователей, и скрывается риск.

Две отдельные проблемы, одна очень опасная страница

Исследователь безопасности im23pds опубликовал в X разбор, выделивший две отдельные проблемы. Первая — несмотря на то, что ссылка идет с официального домена Coinbase, просьба передать seed-фразу для проверки активов — это небрежность с точки зрения безопасности. Вторая — сайт имеет ошибочный sitemap. Злоумышленники могут использовать инструменты вроде ResourcesSaver для полного скачивания фронтенд-кода и создания почти идентичной копии. В сочетании с поддельным доменом это значительно облегчает проведение фишинговых кампаний.

В отдельном посте im23pds отметил, что страница была создана без должной подготовки, без настройки sitemap. Такой недосмотр делает страницу еще более уязвимой для копирования структуры.

而且页面做的非常不讲究… sitemap 这种不设置就直接上线了:-)
👇 pic.twitter.com/wdzBOti5w8

— 23pds (山哥) (@im23pds) 19 марта 2026 г.

Источник: im23pds

Основная опасность очевидна. Злоумышленники не нуждаются в взломе систем Coinbase. Они направляют пользователя на поддельную версию уже существующей официальной страницы, которая запрашивает seed-фразу. Пользователь, привыкший к настоящей странице, передает ее.

Общий паттерн

Это не новая схема для биржи. ZachXBT ранее документировал, как злоумышленники используют бренд Coinbase в социнженерных атаках, используя impersonation и фальшивые каналы поддержки для вывода средств из кошельков. В данном случае страница для восстановления создает основу для мошенников без необходимости имитировать что-либо.

Страница остается активной. Coinbase не дала публичного комментария по поднятым вопросам.