Trang Coinbase Cảnh báo Rủi ro Bảo mật Liên quan đến Nhập Seed Phrase

ZachXBT cảnh báo trang khôi phục Coinbase Commerce yêu cầu người dùng nhập cụm từ seed 12 từ, gây lo ngại về lừa đảo và xã hội kỹ thuật.

Một trang web trực tiếp trên tên miền chính thức của Coinbase đang gây cảnh báo về an ninh từ các nhà nghiên cứu. Trang này, được lưu trữ tại withdraw.commerce.coinbase.com, yêu cầu người dùng nhập cụm từ seed 12 từ như một phần của quá trình khôi phục tài sản liên quan đến Coinbase Commerce. Sàn giao dịch chưa rút trang này xuống.

Nhà điều tra on-chain ZachXBT đã cảnh báo trên X, đặt câu hỏi liệu Coinbase có nghĩ kỹ về những gì một trang như vậy có thể cho phép hay không. “Vậy là Coinbase có một trang chính thức trực tiếp mà các tác nhân đe dọa có thể sử dụng để tấn công người dùng Coinbase qua xã hội kỹ thuật seed phrase nếu họ muốn?” ZachXBT viết. Bài đăng này ngay lập tức thu hút hàng nghìn tương tác.

Khi một Trang Chính Thức Trở Thành Vũ Khí

Nhà nghiên cứu bảo mật evilcos đã cảnh báo về cùng một trang trước đó trên X, nói rằng việc yêu cầu người dùng nhập cụm từ mnemonic dạng plaintext là điều khó tin từ một sàn lớn. Nhà nghiên cứu cho biết subdomain ban đầu trông như bị xâm phạm. Tuy nhiên, không phải vậy. Trang này là chính thức.

Tài liệu trợ giúp của Coinbase Commerce, hiển thị trên trang khôi phục, giải thích quy trình. Nó cho biết các nhà bán hàng có thể có số tiền phân bổ trên hàng trăm hoặc thậm chí hàng nghìn địa chỉ ví vì Commerce tạo ra một địa chỉ mới cho mỗi khoản thanh toán nhận được. Việc nhập seed phrase vào ví tiêu chuẩn, theo hướng dẫn, có thể không hiển thị toàn bộ số dư. Ví tiêu chuẩn thường chỉ quét 20 địa chỉ chưa sử dụng đầu tiên. Đối với Bitcoin và các tài sản dựa trên UTXO khác, Coinbase hướng dẫn người dùng sử dụng công cụ rút tiền trước ngày 31 tháng 3 năm 2026.

Tài liệu cũng hướng dẫn người dùng cách lấy seed phrase đã sao lưu vào Google Drive, rồi nhập vào công cụ rút tiền. Đây chính là nơi các nhà nghiên cứu cho rằng rủi ro nằm.

Hai vấn đề riêng biệt, một trang cực kỳ nguy hiểm

Nhà nghiên cứu bảo mật im23pds đã đăng trên X, phân tích rõ ràng thành hai vấn đề riêng biệt. Thứ nhất, mặc dù liên kết bắt nguồn từ tên miền chính thức của Coinbase, việc yêu cầu người dùng gửi seed phrase để xác minh tài sản là cẩu thả theo tiêu chuẩn an ninh nào đó. Thứ hai, trang web có sơ đồ trang web (sitemap) bị lỗi. Kẻ tấn công có thể dùng các công cụ như ResourcesSaver để tải toàn bộ mã front-end và triển khai một bản sao gần như giống hệt. Kết hợp với một tên miền giả mạo, chiến dịch lừa đảo qua Coinbase sẽ dễ dàng hơn nhiều.

Trong một bài đăng trước đó, im23pds đã lưu ý trên X rằng trang này được xây dựng một cách cẩu thả. Nhóm đã ra mắt mà không thiết lập sitemap. Sự sơ suất này khiến trang dễ bị sao chép cấu trúc hơn bao giờ hết.

而且页面做的非常不讲究… sitemap 这种不设置就直接上线了:-)
👇 pic.twitter.com/wdzBOti5w8

— 23pds (山哥) (@im23pds) March 19, 2026

Nguồn: im23pds

Nguy cơ chính là rõ ràng. Các tác nhân đe dọa không cần phải xâm nhập hệ thống của Coinbase. Họ chỉ cần hướng người dùng đến một phiên bản giả mạo của trang chính thức đã tồn tại, yêu cầu seed phrase. Người dùng, bị điều kiện bởi trang thật, sẽ cung cấp nó.

Mô hình rộng hơn ở đây

Đây không phải là mô hình mới của sàn. ZachXBT đã từng ghi nhận cách các tác nhân xấu lợi dụng thương hiệu Coinbase trong các chiến dịch xã hội kỹ thuật, sử dụng giả mạo và kênh hỗ trợ giả để rút tiền trong ví. Trang khôi phục Commerce, trong trường hợp này, đã tạo nền tảng cho các kẻ lừa đảo mà không cần ai phải giả mạo bất cứ thứ gì.

Trang vẫn còn hoạt động. Coinbase chưa phản hồi công khai về các mối quan ngại đã nêu.