Chỉ trích về trang rút tiền seed phrase của Coinbase Commerce
Trang rút tiền seed phrase của Coinbase Commerce đang phải đối mặt với nhiều chỉ trích từ các nhà nghiên cứu an ninh, những người cảnh báo rằng nó đang bình thường hóa việc nhập các cụm từ phục hồi 12 từ vào một trang web chỉ vài ngày trước thời hạn đóng cửa vào ngày 31 tháng 3. Một trang con thuộc về Coinbase Commerce — sản phẩm thanh toán của công ty dành cho thương nhân — đã bị các nhà nghiên cứu an ninh blockchain hàng đầu chỉ trích mạnh mẽ sau khi phát hiện ra rằng nó yêu cầu người dùng nhập các cụm từ seed 12 từ của họ, còn được gọi là cụm từ ghi nhớ hoặc cụm từ phục hồi, trực tiếp vào một biểu mẫu web dưới dạng văn bản thuần túy.
Cuộc tranh cãi và những lo ngại an ninh
Cuộc tranh cãi bùng nổ vào thứ Tư và gia tăng vào sáng thứ Năm, với phát hiện này diễn ra vào một thời điểm đặc biệt nhạy cảm: Coinbase sẽ hoàn toàn ngừng hoạt động Commerce vào ngày 31 tháng 3 năm 2026, như một phần của việc hợp nhất nền tảng rộng hơn dưới Coinbase Business — có nghĩa là hàng chục nghìn thương nhân chỉ còn một khoảng thời gian hẹp để rút tiền của họ.
Trang web đang được đề cập, được lưu trữ tại withdraw.commerce.coinbase.com/seed-phrase, đã được nhắc đến trong một tài liệu trợ giúp Coinbase Commerce hiện đã bị xóa, tài liệu này hướng dẫn người dùng phục hồi tiền bằng cách nhập các cụm từ phục hồi của họ vào các ví tương thích như Coinbase Wallet hoặc MetaMask.
Người sáng lập SlowMist, Yu Xian (biết đến trên mạng với tên Cos), đã mô tả thực tiễn này là thể hiện một “sự thiếu nhận thức về an ninh không thể tin được” từ một người chơi lớn trong ngành, sau khi nhận được nhiều báo cáo từ người dùng về trang này. Nhà điều tra on-chain ZachXBT đã độc lập chỉ ra trang này, cảnh báo rằng sự tồn tại của nó tạo ra một bề mặt tấn công trực tiếp cho các chiến dịch kỹ thuật xã hội nhắm vào người dùng Coinbase.
Vấn đề bình thường hóa và rủi ro tiềm ẩn
Những lo ngại không chỉ dừng lại ở trang web này. Giám đốc An ninh Thông tin của SlowMist, được biết đến với tên 23pds, đã nâng cao cảnh báo bằng cách chỉ ra rằng sơ đồ trang của trang này chứa các lỗi cấu trúc khiến việc sao chép trở nên dễ dàng cho các tác nhân độc hại. Sử dụng các công cụ như ResourcesSaver, kẻ tấn công có thể tải xuống mã front-end và triển khai các trang lừa đảo giống hệt nhau — đặc biệt nguy hiểm khi kết hợp với các miền giống Coinbase có thể đánh lừa ngay cả những người dùng có kinh nghiệm.
Vấn đề cơ bản là một vấn đề bình thường hóa. Mọi giao thức an ninh hợp pháp trong ngành công nghiệp tiền điện tử đều được xây dựng trên một nguyên tắc duy nhất, không thể thương lượng: một cụm từ seed không bao giờ nên được nhập vào bất kỳ trang web, biểu mẫu hoặc ứng dụng nào trong bất kỳ hoàn cảnh nào — ngay cả trên một trang chính thức. Các cụm từ seed là chìa khóa mã hóa chính cho một ví; ai sở hữu chúng sẽ sở hữu tiền.
Bằng cách xây dựng một quy trình phục hồi yêu cầu người dùng nhập cụm từ của họ vào trình duyệt, Coinbase đã — dù có chủ ý hay do sơ suất — huấn luyện người dùng chấp nhận một hành vi mà kẻ lừa đảo thường xuyên khai thác.
Coinfomania đã lưu ý rằng công cụ này thậm chí còn gợi ý sao chép các cụm từ từ Google Drive như một bước trung gian, làm tăng thêm rủi ro. Cảnh báo của ZachXBT mang trọng lượng đặc biệt do hồ sơ của anh. Vào tháng 1 năm 2026, anh đã phơi bày một vụ lừa đảo giả mạo hỗ trợ Coinbase dẫn đến khoảng 2 triệu đô la tiền điện tử bị đánh cắp — một kế hoạch dựa vào việc người dùng đã được điều kiện để tin tưởng vào các giao diện mang thương hiệu Coinbase.
Áp lực đối với Coinbase
Trang seed phrase Commerce đại diện cho một mẫu sẵn có cho một cuộc tấn công tiếp theo có quy mô có thể lớn hơn nhiều. Tính đến thứ Năm, Coinbase vẫn chưa công khai phản hồi về những chỉ trích, mặc dù đã có nhiều yêu cầu bình luận. Công ty đã cung cấp các phương thức rút tiền thay thế — bao gồm một công cụ rút tiền thương mại riêng được các nhà nghiên cứu coi là an toàn hơn — nhưng vẫn chưa xóa bỏ hoặc sửa đổi trang seed phrase.
Với mười hai ngày còn lại cho đến khi Commerce bị vô hiệu hóa vĩnh viễn, áp lực đối với sàn giao dịch để hành động đang gia tăng nhanh chóng. Đối với công ty niêm yết công khai nổi bật nhất trong ngành tiền điện tử, những rủi ro về danh tiếng của một sự kiện lừa đảo hàng loạt do chính công cụ di chuyển của nó gây ra có thể khó có thể cao hơn.
