Сторінка Coinbase позначає ризик безпеки при введенні фрази відновлення

ZachXBT вказує на сторінку відновлення Coinbase Commerce, яка просить користувачів ввести 12-словну seed-фразу, викликаючи побоювання щодо фішингу та соціальної інженерії.

Жива сторінка на офіційному домені Coinbase викликає тривогу у дослідників безпеки. Сторінка, розміщена на withdraw.commerce.coinbase.com, просить користувачів ввести 12-словну seed-фразу як частину процесу відновлення активів, пов’язаного з Coinbase Commerce. Обмін не зняв цю сторінку.

Інвестигатор на блокчейні ZachXBT підняв тривогу в X, запитуючи, чи подумали в Coinbase, що може дозволити така сторінка. «Тобто, по суті, офіційна сторінка Coinbase є відкритою для зловмисників, які можуть використовувати її для цілей соціальної інженерії через seed-фразу, якщо захочуть?» — написав ZachXBT. Пост майже одразу отримав тисячі взаємодій.

Коли офіційна сторінка стає зброєю

Дослідник безпеки evilcos раніше на X повідомив про цю ж сторінку, зазначаючи, що практика запиту у користувачів введення відкритих мнемонічних фраз здається просто неймовірною для великої біржі. Він сказав, що піддомен спочатку виглядав так, ніби його зламали. Але ні — сторінка офіційна.

Документація підтримки Coinbase Commerce, видима на сторінці відновлення, пояснює процес. Вона повідомляє торговцям, що їхні кошти можуть бути розподілені по сотнях або навіть тисячах адрес, оскільки Commerce генерує нову адресу для кожної отриманої оплати. Імпорт seed-фрази у стандартний гаманець може не показати повний баланс, оскільки стандартні гаманці зазвичай сканують лише перші 20 не використаних адрес. Для Bitcoin та інших активів на основі UTXO Coinbase до 31 березня 2026 року рекомендує використовувати інструмент для виведення.

У документації також описано, як відновити seed-фразу, збережену на Google Drive, і ввести її у інструмент для виведення. Саме тут, за словами дослідників, і криється ризик.

Дві окремі проблеми, одна дуже небезпечна сторінка

Дослідник безпеки im23pds опублікував у X, розділивши проблему на дві частини. По-перше, хоча посилання походить з офіційного домену Coinbase, запит користувачів на передачу мнемонічної фрази для перевірки активів є недбалим з точки зору безпеки. По-друге, сайт має недосконалий sitemap. Зловмисники можуть використати інструменти, такі як ResourcesSaver, щоб повністю завантажити фронтенд-код і розгорнути майже ідентичну копію. Поєднання цього з підробленим доменом значно полегшує проведення фішингової кампанії.

У попередньому пості, раніше, im23pds зазначив, що сторінка була зроблена недбало. Вона була запущена без навіть налаштування sitemap. Така недбалість робить її ще більш доступною для тих, хто хоче скопіювати її структуру.

而且页面做的非常不讲究… sitemap 这种不设置就直接上线了:-)
👇 pic.twitter.com/wdzBOti5w8

— 23pds (山哥) (@im23pds) 19 березня 2026

Джерело: im23pds

Основна небезпека очевидна. Зловмисники не потрібно зламувати системи Coinbase. Вони просто спрямовують користувача на підроблену версію вже існуючої офіційної сторінки, яка запитує seed-фразу. Користувач, під впливом реальної сторінки, передає її.

Загальний патерн

Це не новий сценарій для біржі. ZachXBT раніше документував, як зловмисники використовують бренд Coinbase у кампаніях соціальної інженерії, застосовуючи підробки та фальшиві канали підтримки для крадіжки гаманців. У цьому випадку сторінка відновлення Commerce створює основу для шахраїв без необхідності імітації будь-чого.

Сторінка залишається активною. Coinbase не реагувала публічно на підняті питання.