Coinbase Commerceのシードフレーズ引き出しページに関する懸念
Coinbase Commerceのシードフレーズ引き出しページは、セキュリティ研究者から激しい批判を受けており、3月31日のシャットダウン期限を前に、12語のリカバリーフレーズをウェブサイトに入力することを促していると警告されています。このCoinbase Commerceに属するサブドメインページは、ユーザーに12語のシードフレーズ(ニーモニックまたはリカバリーフレーズとも呼ばれる)をプレーンテキストでウェブフォームに直接入力するよう促していることが発覚し、著名なブロックチェーンセキュリティ研究者から厳しい批判を受けています。
この行為は「主要な業界プレーヤーによる信じられないほどのセキュリティ意識の欠如」を示している。
この論争は水曜日に始まり、木曜日の朝に激化しました。この発見は特に敏感な時期に行われました。Coinbaseは2026年3月31日までにCommerceを完全に終了させる予定であり、これはCoinbase Businessの下でのプラットフォーム統合の一環です。つまり、数万の商人が資金を引き出すための狭いウィンドウを持っているということです。
セキュリティの懸念と影響
問題のページはwithdraw.commerce.coinbase.com/seed-phraseにホストされており、ユーザーにリカバリーフレーズをCoinbase WalletやMetaMaskなどの互換性のあるウォレットにインポートして資金を回収するよう指示する、現在削除されたCoinbase Commerceのヘルプドキュメントで言及されていました。SlowMistの創設者であるYu Xian(オンライン名:Cos)は、このページに関する複数のユーザー報告を受け取ったとしています。
オンチェーン調査者のZachXBTも独自にこのページを警告し、その存在がCoinbaseユーザーをターゲットにしたソーシャルエンジニアリングキャンペーンの直接的な攻撃面を生み出すと警告しました。懸念はページ自体を超えています。SlowMistの最高情報セキュリティ責任者である23pdsは、ページのサイトマップに構造的欠陥が含まれており、悪意のある行為者が簡単に複製できることを指摘して警告を強化しました。
特に、経験豊富なユーザーをも欺く可能性のあるCoinbaseに似たドメインと組み合わせると、非常に危険です。根本的な問題は、正常化の問題です。暗号通貨業界のすべての正当なセキュリティプロトコルは、単一の交渉不可能な原則に基づいて構築されています。すなわち、シードフレーズは、いかなる状況下でもウェブサイト、フォーム、アプリに入力すべきではありません。公式なものでさえもです。
Coinbaseの対応と今後の展望
シードフレーズはウォレットのマスター暗号鍵であり、それを持つ者が資金を所有します。リカバリーワークフローを構築することで、ユーザーがブラウザにフレーズを入力することを要求することで、Coinbaseは意図的であれ、見落としであれ、ユーザーに詐欺師が日常的に悪用する行動を受け入れるように訓練してしまいました。Coinfomaniaは、このツールが中間ステップとしてGoogle Driveからフレーズをコピーすることを提案していることにも言及し、リスクをさらに増大させています。
ZachXBTの警告は、彼の実績を考えると特に重みがあります。2026年1月、彼は約200万ドルの暗号が盗まれる結果となったCoinbaseサポートのなりすまし詐欺を暴露しました。このスキームは、ユーザーがCoinbaseブランドのインターフェースを信頼するように条件付けられていることに依存していました。
Commerceのシードフレーズページは、潜在的にはるかに大規模なフォローアップ攻撃のための既製のテンプレートを提供しています。木曜日の時点で、Coinbaseは批判に対して公に応答していませんでしたが、コメントの要請は複数ありました。会社は、研究者によってより安全と見なされる別の商業引き出しツールを含む代替引き出し方法を提供していますが、シードフレーズページは削除または修正されていません。
Commerceが永久に無効化されるまで残り12日となり、取引所に行動を起こす圧力が急速に高まっています。暗号業界で最も著名な上場企業にとって、自社の移行ツールによって引き起こされる大規模なフィッシングイベントの評判リスクは、これ以上高くなることはほとんどありません。
