Trang Coinbase Cảnh báo Rủi ro Bảo mật Liên quan đến Nhập Seed Phrase

ZachXBT cảnh báo trang khôi phục Coinbase Commerce yêu cầu người dùng nhập cụm từ seed 12 từ, gây lo ngại về lừa đảo và xã hội kỹ thuật.

Trang web trực tiếp trên tên miền chính thức của Coinbase đang gây cảnh báo về an ninh từ các nhà nghiên cứu. Trang này, được lưu trữ tại withdraw.commerce.coinbase.com, yêu cầu người dùng nhập cụm từ seed 12 từ như một phần của quá trình khôi phục tài sản liên quan đến Coinbase Commerce. Sàn giao dịch chưa rút trang này xuống.

Nhà điều tra on-chain ZachXBT đã cảnh báo trên X, đặt câu hỏi liệu Coinbase có nghĩ kỹ về những gì một trang như vậy có thể cho phép hay không. “Vậy là Coinbase có một trang chính thức trực tiếp mà các tác nhân đe dọa có thể sử dụng để tấn công người dùng Coinbase qua xã hội kỹ thuật seed phrase nếu họ muốn?” ZachXBT viết. Bài đăng ngay lập tức thu hút hàng nghìn tương tác.

Khi một Trang Chính Thức Trở Thành Vũ Khí

Nhà nghiên cứu bảo mật evilcos đã cảnh báo về cùng một trang trước đó trên X, nói rằng việc yêu cầu người dùng nhập cụm từ mnemonic dạng plaintext là khó tin từ một sàn giao dịch lớn. Nhà nghiên cứu cho biết subdomain ban đầu trông như đã bị xâm phạm. Tuy nhiên, không phải vậy. Trang này là chính thức.

Tài liệu trợ giúp của Coinbase Commerce, hiển thị trên trang khôi phục, giải thích quy trình. Nó cho biết các nhà bán hàng có thể có số tiền phân bổ trên hàng trăm hoặc thậm chí hàng nghìn địa chỉ ví vì Commerce tạo ra một địa chỉ mới cho mỗi khoản thanh toán nhận được. Việc nhập seed phrase vào ví tiêu chuẩn, theo hướng dẫn, có thể không hiển thị toàn bộ số dư. Ví tiêu chuẩn thường chỉ quét 20 địa chỉ chưa sử dụng đầu tiên. Đối với Bitcoin và các tài sản dựa trên UTXO khác, Coinbase hướng dẫn người dùng sử dụng công cụ rút tiền trước ngày 31 tháng 3 năm 2026.

Tài liệu cũng hướng dẫn cách người dùng lấy seed phrase đã sao lưu vào Google Drive, rồi nhập vào công cụ rút tiền. Đây chính là nơi các nhà nghiên cứu cho rằng rủi ro nằm ở.

Hai vấn đề riêng biệt, một trang cực kỳ nguy hiểm

Nhà nghiên cứu bảo mật im23pds đã đăng trên X, phân tích rõ ràng thành hai vấn đề riêng biệt. Thứ nhất, mặc dù liên kết bắt nguồn từ tên miền chính thức của Coinbase, việc yêu cầu người dùng gửi seed phrase để xác minh tài sản là thiếu cẩn trọng theo tiêu chuẩn an ninh nào. Thứ hai, trang web có sơ đồ trang không hoàn chỉnh. Kẻ tấn công có thể dùng các công cụ như ResourcesSaver để tải toàn bộ mã front-end và triển khai một bản sao gần như giống hệt. Kết hợp với một tên miền giả mạo, chiến dịch lừa đảo qua phishing của Coinbase trở nên dễ dàng hơn nhiều.

Trong một bài đăng trước đó, im23pds đã lưu ý trên X rằng trang này được xây dựng một cách cẩu thả. Nhóm đã triển khai mà không hề thiết lập sơ đồ trang. Sự sơ suất này khiến trang dễ bị sao chép cấu trúc hơn bao giờ hết.

而且页面做的非常不讲究… sitemap 这种不设置就直接上线了:-)
👇 pic.twitter.com/wdzBOti5w8

— 23pds (山哥) (@im23pds) 19 tháng 3, 2026

Nguồn: im23pds

Nguy cơ chính là rõ ràng. Các tác nhân đe dọa không cần phải xâm nhập hệ thống của Coinbase. Họ chỉ cần hướng người dùng đến một phiên bản giả mạo của trang chính thức đã tồn tại, yêu cầu seed phrase. Người dùng, bị điều kiện hóa bởi trang thật, sẽ cung cấp nó.

Mô hình rộng hơn ở đây

Đây không phải là mô hình mới của sàn giao dịch này. ZachXBT đã từng ghi nhận cách các tác nhân xấu lợi dụng thương hiệu Coinbase trong các chiến dịch xã hội kỹ thuật, sử dụng giả mạo và kênh hỗ trợ giả để rút tiền khỏi ví. Trang khôi phục Commerce, trong trường hợp này, đã đặt nền móng cho các kẻ lừa đảo mà không cần ai phải giả mạo bất cứ thứ gì.

Trang vẫn còn hoạt động. Coinbase chưa phản hồi công khai về các mối quan ngại đã nêu.