Pagkakabahala sa Seed Phrase Withdrawal Page ng Coinbase Commerce
Ang seed phrase withdrawal page ng Coinbase Commerce ay nakatanggap ng matinding kritisismo mula sa mga mananaliksik sa seguridad, na nagbabala na nagiging normal na ang pag-type ng 12-word recovery phrases sa isang website ilang araw bago ang shutdown deadline sa Marso 31.
“Ang seed phrase ay hindi dapat ipinasok sa anumang website, form, o app sa ilalim ng anumang mga pangyayari — kahit na sa isang opisyal.”
Kontrobersya at mga Alalahanin
Isang subdomain page na pag-aari ng Coinbase Commerce — ang produkto ng pagbabayad ng mga merchant ng kumpanya — ay nakatanggap ng matinding kritisismo matapos itong makita na hinihimok ang mga gumagamit na ipasok ang kanilang 12-word seed phrases, na kilala rin bilang mnemonic o recovery phrases, nang direkta sa isang web form sa plain text. Ang kontrobersya ay sumiklab noong Miyerkules at lumala sa umaga ng Huwebes, na ang pagtuklas ay naganap sa isang partikular na sensitibong sandali: ang Coinbase ay unti-unting itinatigil ang Commerce nang buo sa Marso 31, 2026.
Ang page na tinutukoy, na naka-host sa withdraw.commerce.coinbase.com/seed-phrase, ay binanggit sa isang ngayon ay tinanggal na dokumento ng tulong ng Coinbase Commerce na nag-udyok sa mga gumagamit na bawiin ang mga pondo sa pamamagitan ng pag-import ng kanilang mga recovery phrases sa mga katugmang wallet tulad ng Coinbase Wallet o MetaMask.
Reaksyon ng mga Eksperto
Inilarawan ng tagapagtatag ng SlowMist na si Yu Xian (kilala online bilang Cos) ang praktis na ito bilang nagpapakita ng “napakalaking kakulangan sa kamalayan sa seguridad” mula sa isang pangunahing manlalaro sa industriya. Ang on-chain investigator na si ZachXBT ay independiyenteng nag-flag sa page, na nagbabala na ang pagkakaroon nito ay lumilikha ng isang direktang atake para sa mga kampanya ng social engineering na nakatuon sa mga gumagamit ng Coinbase.
Ang mga alalahanin ay lumalampas sa page mismo. Ang Chief Information Security Officer ng SlowMist, na kilala bilang 23pds, ay nagtaas ng alarma sa pamamagitan ng pagturo na ang sitemap ng page ay naglalaman ng mga structural flaws na ginagawang napakadali para sa mga masamang aktor na ulitin ito.
Mga Panganib at Reputasyon ng Coinbase
Gamit ang mga tool tulad ng ResourcesSaver, ang mga umaatake ay maaaring i-download ang front-end code at mag-deploy ng mga visually identical phishing sites — partikular na mapanganib kapag pinagsama sa mga domain na kahawig ng Coinbase na maaaring magpaniwala kahit sa mga batikang gumagamit.
Ang pangunahing problema ay isa sa normalisasyon. Sa pamamagitan ng pagbuo ng isang recovery workflow na nangangailangan sa mga gumagamit na i-type ang kanilang phrase sa isang browser, ang Coinbase ay nagturo sa mga gumagamit na tanggapin ang isang pag-uugali na karaniwang sinasamantala ng mga scammer.
Hanggang Huwebes, hindi pa tumugon ng publiko ang Coinbase sa kritisismo, sa kabila ng maraming kahilingan para sa komento. Nag-alok ang kumpanya ng mga alternatibong paraan ng pag-withdraw — kabilang ang isang hiwalay na commerce withdrawal tool na itinuturing na mas ligtas ng mga mananaliksik — ngunit hindi pa nito tinanggal o binago ang seed phrase page.
Sa labindalawang araw na natitira bago permanente nang ma-disable ang Commerce, ang pressure sa exchange na kumilos ay mabilis na tumataas. Para sa pinaka-kilalang pampublikong nakalistang kumpanya sa industriya ng crypto, ang reputational stakes ng isang mass phishing event na na-trigger ng sarili nitong migration tooling ay maaaring hindi na mas mataas pa.
