Сторінка Coinbase позначає ризик безпеки при введенні фрази відновлення

ZachXBT вказує на сторінку відновлення Coinbase Commerce, яка просить користувачів ввести 12-словну seed-фразу, викликаючи побоювання щодо фішингу та соціальної інженерії.

Жива сторінка на офіційному домені Coinbase викликає тривогу у дослідників безпеки. Сторінка, розміщена на withdraw.commerce.coinbase.com, просить користувачів ввести 12-словну seed-фразу як частину процесу відновлення активів, пов’язаного з Coinbase Commerce. Обмін не видалив цю сторінку.

Інвестигатор на блокчейні ZachXBT підняв тривогу в X, запитуючи, чи подумали в Coinbase, що може дозволити така сторінка. «Тобто, по суті, офіційна сторінка Coinbase жива і може бути використана зловмисниками для цілей соціальної інженерії через seed-фразу, якщо вони захочуть?» — написав ZachXBT. Пост майже одразу отримав тисячі взаємодій.

Коли офіційна сторінка стає зброєю

Дослідник безпеки evilcos раніше на X повідомив про цю ж сторінку, зазначаючи, що практика запитувати у користувачів відкритий мнемонічний фразовий рядок здається просто неймовірною для великої біржі. Він сказав, що піддомен спочатку виглядав так, ніби його зламали. Але ні — сторінка є офіційною.

Документація підтримки Coinbase Commerce, видима на сторінці відновлення, пояснює процес. Вона повідомляє торговцям, що їхні кошти можуть бути розподілені по сотнях або навіть тисячах адрес гаманців, оскільки Commerce генерує нову адресу для кожної отриманої оплати. Імпорт seed-фрази у стандартний гаманець може не показати повний баланс. Зазвичай стандартні гаманці сканують лише перші 20 не використаних адрес. Для Bitcoin та інших активів на основі UTXO Coinbase до 31 березня 2026 року рекомендував користувачам використовувати інструмент виведення.

У документації також описано, як відновити seed-фразу, збережену на Google Drive, і ввести її у інструмент виведення. Саме тут, за словами дослідників, і криється ризик.

Дві окремі проблеми, одна дуже небезпечна сторінка

Дослідник безпеки im23pds опублікував у X, розділивши проблему на дві окремі частини. По-перше, хоча посилання походить з офіційного домену Coinbase, запит користувачів на передачу мнемонічної фрази для перевірки активів є недбалим з точки зору безпеки. По-друге, сайт має недосконалий sitemap. Зловмисники можуть використати інструменти, такі як ResourcesSaver, щоб повністю завантажити фронтенд-код і розгорнути майже ідентичну копію. Поєднання цього з підробленим доменом значно полегшує запуск фішингової кампанії.

У попередньому пості, раніше, im23pds зазначив, що сторінка була створена недбало. Вона була запущена без навіть налаштування sitemap. Така недбалість робить її ще більш доступною для тих, хто хоче скопіювати її структуру.

而且页面做的非常不讲究… sitemap 这种不设置就直接上线了:-)
👇 pic.twitter.com/wdzBOti5w8

— 23pds (山哥) (@im23pds) 19 березня 2026 року

Джерело: im23pds

Основна небезпека очевидна. Зловмисники не потрібно зламувати системи Coinbase. Вони просто спрямовують користувача на підроблену версію вже існуючої офіційної сторінки, яка просить seed-фразу. Користувач, під впливом реальної сторінки, передає її.

Загальний патерн

Це не новий сценарій для біржі. ZachXBT раніше документував, як зловмисники використовують бренд Coinbase у кампаніях соціальної інженерії, застосовуючи підробки та фальшиві канали підтримки для крадіжки гаманців. У цьому випадку сторінка відновлення Commerce створює основу для шахраїв без необхідності імітації будь-чого.

Сторінка залишається активною. Coinbase не реагувала публічно на підняті питання.