Coinbase Commerce의 시드 문구 인출 페이지 비판
Coinbase Commerce의 시드 문구 인출 페이지가 보안 연구자들로부터 강한 비판을 받고 있습니다. 이들은 해당 페이지가 3월 31일 종료 마감일을 불과 며칠 앞두고 12단어 복구 문구를 웹사이트에 입력하도록 유도하고 있다고 경고하고 있습니다.
Coinbase Commerce에 속하는 서브도메인 페이지는 사용자가 12단어 시드 문구(기억법 또는 복구 문구로도 알려짐)를 일반 텍스트로 웹 양식에 직접 입력하도록 유도하는 것으로 밝혀져 주요 블록체인 보안 연구자들로부터 날카로운 비판을 받고 있습니다. 이 논란은 수요일에 시작되어 목요일 아침에 더욱 심화되었으며, 이 발견은 특히 민감한 시점에서 이루어졌습니다.
종료 예정인 Coinbase Commerce
Coinbase는 Coinbase Business의 플랫폼 통합의 일환으로 2026년 3월 31일까지 Commerce를 완전히 종료할 예정이며, 이는 수만 명의 상인들이 자금을 인출할 수 있는 좁은 기회를 의미합니다. 문제의 페이지는 withdraw.commerce.coinbase.com/seed-phrase에 호스팅되어 있으며, 사용자가 Coinbase Wallet 또는 MetaMask와 같은 호환 지갑에 복구 문구를 가져와 자금을 회수하도록 안내하는 지금은 삭제된 Coinbase Commerce 도움말 문서에서 언급되었습니다.
SlowMist의 창립자 Yu Xian(온라인에서는 Cos로 알려짐)은 이 관행이 주요 산업 플레이어의 “믿을 수 없는 보안 인식 부족”을 보여준다고 설명하며, 이 페이지에 대한 여러 사용자 보고서를 받았다고 밝혔습니다.
사회 공학 캠페인에 대한 경고
온체인 조사관 ZachXBT는 독립적으로 이 페이지를 경고하며, 그 존재가 Coinbase 사용자를 대상으로 하는 사회 공학 캠페인에 대한 직접적인 공격 표면을 생성한다고 경고했습니다. 우려는 페이지 자체를 넘어섭니다. SlowMist의 최고 정보 보안 책임자 23pds는 이 페이지의 사이트맵에 구조적 결함이 있어 악의적인 행위자가 쉽게 복제할 수 있다고 지적하며 경고를 강화했습니다.
ResourcesSaver와 같은 도구를 사용하면 공격자는 프론트엔드 코드를 다운로드하고 시각적으로 동일한 피싱 사이트를 배포할 수 있으며, 이는 경험이 풍부한 사용자조차도 신뢰할 수 있는 Coinbase 유사 도메인과 결합될 때 특히 위험합니다.
시드 문구 입력의 위험성
근본적인 문제는 정상화의 문제입니다. 암호화폐 산업의 모든 합법적인 보안 프로토콜은 단 하나의 협상 불가능한 원칙에 기반하고 있습니다: 시드 문구는 어떤 상황에서도 웹사이트, 양식 또는 앱에 입력해서는 안 됩니다 — 공식적인 것조차도. 시드 문구는 지갑의 마스터 암호화 키이며, 이를 소유한 사람은 자금을 소유합니다.
사용자가 브라우저에 문구를 입력하도록 요구하는 복구 워크플로우를 구축함으로써, Coinbase는 의도적으로든 실수로든 사용자가 사기꾼들이 일상적으로 악용하는 행동을 수용하도록 훈련시켰습니다. Coinfomania는 이 도구가 심지어 Google Drive에서 문구를 복사하는 것을 중간 단계로 제안한다고 언급하며 위험을 더욱 악화시킨다고 밝혔습니다.
ZachXBT의 경고는 그의 경과를 고려할 때 특히 중요합니다. 2026년 1월, 그는 약 200만 달러의 암호화폐가 도난당한 Coinbase 지원 사칭 사기를 폭로했으며, 이는 사용자가 Coinbase 브랜드 인터페이스를 신뢰하도록 조건화된 것에 의존한 계획이었습니다.
Coinbase의 대응과 향후 전망
Commerce 시드 문구 페이지는 잠재적으로 훨씬 더 큰 규모의 후속 공격을 위한 준비된 템플릿을 나타냅니다. 목요일 현재, Coinbase는 여러 차례의 논평 요청에도 불구하고 비판에 공개적으로 응답하지 않았습니다. 이 회사는 연구자들이 더 안전하다고 간주하는 별도의 상거래 인출 도구를 포함한 대체 인출 방법을 제공했지만, 시드 문구 페이지는 제거하거나 수정하지 않았습니다.
Commerce가 영구적으로 비활성화될 때까지 12일이 남아 있는 가운데, 거래소가 조치를 취해야 한다는 압박이 급속히 증가하고 있습니다. 암호화폐 산업에서 가장 저명한 상장 기업인 Coinbase의 경우, 자사의 마이그레이션 도구로 촉발된 대규모 피싱 사건의 평판적 이해관계는 결코 높을 수 없습니다.
