Страница Coinbase отмечает проблему безопасности при вводе seed-фразы

ZachXBT отмечает страницу восстановления Coinbase Commerce, которая просит пользователей ввести 12-словную seed-фразу, вызывая опасения по поводу фишинга и социальной инженерии.

Живая страница на официальном домене Coinbase вызывает тревогу у исследователей безопасности. Страница, размещенная на withdraw.commerce.coinbase.com, просит пользователей ввести 12-словную seed-фразу в рамках процесса восстановления активов, связанного с Coinbase Commerce. Биржа не удаляет эту страницу.

Исследователь блокчейна ZachXBT поднял тревогу в X, задаваясь вопросом, продумали ли в Coinbase, к чему может привести подобная страница. «То есть, по сути, у Coinbase есть официальная страница, которую злоумышленники могут использовать для целевых атак на пользователей Coinbase через социальную инженерию с seed-фразой?» — написал ZachXBT. Пост сразу же собрал тысячи взаимодействий.

Когда официальная страница становится оружием

Исследователь безопасности evilcos ранее отметил ту же страницу в X, заявив, что практика запрашивать у пользователей ввод открытых мнемонических фраз кажется просто невероятной для крупной биржи. Он отметил, что поддомен изначально выглядел так, будто был взломан, но это не так — страница официальная.

Документация поддержки Coinbase Commerce, видимая на странице восстановления, объясняет процесс. Там говорится, что средства могут быть разбросаны по сотням или даже тысячам адресов кошельков, поскольку Commerce создает новый адрес для каждого полученного платежа. Импорт seed-фразы в стандартный кошелек, по словам документации, может не показать полный баланс. Обычно стандартные кошельки сканируют только первые 20 неиспользуемых адресов. Для Bitcoin и других активов на базе UTXO Coinbase до 31 марта 2026 года направлял пользователей к инструменту вывода средств.

В документации также объясняется, как восстановить seed-фразу, сохраненную на Google Drive, и ввести ее в инструмент вывода. Именно здесь, по мнению исследователей, скрывается риск.

Две отдельные проблемы, одна очень опасная страница

Исследователь безопасности im23pds в X разбил проблему на две части. Во-первых, несмотря на то, что ссылка идет с официального домена Coinbase, просьба передать свою мнемоническую фразу для проверки активов — это небрежно с точки зрения безопасности. Во-вторых, сайт имеет неправильную карту сайта. Злоумышленники могут использовать такие инструменты, как ResourcesSaver, чтобы полностью скачать фронтенд-код и развернуть почти идентичную копию. В сочетании с поддельным доменом это значительно облегчает проведение фишинговых кампаний.

В отдельном посте ранее, im23pds отметил, что страница была создана без должной подготовки карты сайта. Такой недосмотр делает страницу еще более доступной для тех, кто хочет скопировать ее структуру.

而且页面做的非常不讲究… sitemap 这种不设置就直接上线了:-)
👇 pic.twitter.com/wdzBOti5w8

— 23pds (山哥) (@im23pds) 19 марта 2026 г.

Источник: im23pds

Основная опасность очевидна. Злоумышленники не нуждаются в взломе систем Coinbase. Они направляют пользователя на поддельную версию уже существующей официальной страницы, которая запрашивает seed-фразу. Пользователь, привыкший к настоящей странице, передает ее.

Общий паттерн

Это не новый сценарий для биржи. ZachXBT ранее документировал, как злоумышленники используют бренд Coinbase в социальных инженерных атаках, используя impersonation и фальшивые каналы поддержки для вывода средств из кошельков. В данном случае страница восстановления Commerce создает предпосылки для мошенников без необходимости имитировать что-либо.

Страница остается активной. Coinbase не дала публичного комментария по поднятым вопросам.