Kritik Terhadap Halaman Penarikan Frasa Benih Coinbase Commerce
Halaman penarikan frasa benih Coinbase Commerce menuai kritik tajam dari para peneliti keamanan, yang memperingatkan bahwa praktik ini menormalkan pengetikan frasa pemulihan 12 kata ke dalam sebuah situs web hanya beberapa hari sebelum batas waktu penutupan pada 31 Maret.
Kontroversi dan Penemuan
Sebuah subdomain yang dimiliki oleh Coinbase Commerce — produk pembayaran untuk pedagang dari perusahaan tersebut — telah mendapat sorotan negatif dari peneliti keamanan blockchain terkemuka setelah terungkap bahwa halaman ini meminta pengguna untuk memasukkan frasa benih 12 kata mereka, yang juga dikenal sebagai frasa mnemonik atau frasa pemulihan, langsung ke dalam formulir web dalam teks biasa.
Kontroversi ini muncul pada hari Rabu dan semakin intensif pada Kamis pagi, dengan penemuan ini terjadi pada momen yang sangat sensitif: Coinbase akan menghentikan layanan Commerce sepenuhnya pada 31 Maret 2026, sebagai bagian dari konsolidasi platform yang lebih luas di bawah Coinbase Business — yang berarti puluhan ribu pedagang memiliki jendela sempit untuk menarik dana mereka.
Praktik Berbahaya dan Respon Peneliti
Halaman yang dimaksud, yang dihosting di withdraw.commerce.coinbase.com/seed-phrase, dirujuk dalam dokumen bantuan Coinbase Commerce yang kini telah dihapus, yang mengarahkan pengguna untuk memulihkan dana dengan mengimpor frasa pemulihan mereka ke dompet yang kompatibel seperti Coinbase Wallet atau MetaMask.
Pendiri SlowMist, Yu Xian (dikenal secara online sebagai Cos), menggambarkan praktik ini sebagai menunjukkan “kurangnya kesadaran keamanan yang luar biasa” dari pemain industri besar, setelah menerima beberapa laporan pengguna tentang halaman tersebut.
Penyelidik on-chain, ZachXBT, secara independen menandai halaman ini, memperingatkan bahwa keberadaannya menciptakan permukaan serangan langsung untuk kampanye rekayasa sosial yang menargetkan pengguna Coinbase. Kekhawatiran ini melampaui halaman itu sendiri.
Chief Information Security Officer SlowMist, yang dikenal sebagai 23pds, meningkatkan alarm dengan menunjukkan bahwa peta situs halaman tersebut mengandung cacat struktural yang membuatnya sangat mudah bagi aktor jahat untuk meniru. Dengan menggunakan alat seperti ResourcesSaver, penyerang dapat mengunduh kode front-end dan menerapkan situs phishing yang secara visual identik — hal ini sangat berbahaya ketika digabungkan dengan domain yang mirip Coinbase yang dapat menipu bahkan pengguna berpengalaman.
Normalisasi Praktik Berbahaya
Masalah mendasar adalah normalisasi. Setiap protokol keamanan yang sah di industri cryptocurrency dibangun di atas satu prinsip yang tidak dapat dinegosiasikan: frasa benih tidak boleh pernah dimasukkan ke dalam situs web, formulir, atau aplikasi dalam keadaan apa pun — bahkan yang resmi sekalipun. Frasa benih adalah kunci kriptografi utama untuk sebuah dompet; siapa pun yang memilikinya memiliki akses ke dana tersebut.
Dengan membangun alur kerja pemulihan yang mengharuskan pengguna untuk mengetik frasa mereka ke dalam browser, Coinbase telah — baik secara sengaja maupun karena kelalaian — melatih pengguna untuk menerima perilaku yang sering dieksploitasi oleh penipu.
Coinfomania mencatat bahwa alat tersebut bahkan menyarankan untuk menyalin frasa dari Google Drive sebagai langkah perantara, yang semakin meningkatkan risiko.
Peringatan dan Tindakan Selanjutnya
Peringatan ZachXBT memiliki bobot khusus mengingat rekam jejaknya. Pada Januari 2026, ia mengungkapkan penipuan penyamaran dukungan Coinbase yang mengakibatkan sekitar $2 juta dalam cryptocurrency yang dicuri — sebuah skema yang bergantung pada pengguna yang terlatih untuk mempercayai antarmuka bermerek Coinbase. Halaman frasa benih Commerce mewakili template siap pakai untuk serangan lanjutan yang berpotensi jauh lebih besar.
Hingga Kamis, Coinbase belum memberikan tanggapan publik terhadap kritik tersebut, meskipun telah ada beberapa permintaan untuk komentar. Perusahaan telah menawarkan metode penarikan alternatif — termasuk alat penarikan perdagangan terpisah yang dianggap lebih aman oleh para peneliti — tetapi belum menghapus atau memodifikasi halaman frasa benih tersebut.
Dengan dua belas hari tersisa hingga Commerce dinonaktifkan secara permanen, tekanan pada bursa untuk bertindak semakin meningkat dengan cepat. Bagi perusahaan yang paling menonjol di industri crypto yang terdaftar secara publik, taruhan reputasi dari peristiwa phishing massal yang dipicu oleh alat migrasinya sendiri tidak bisa lebih tinggi.
