19 марта 2026
Coinbase опубликовала страницу миграции с просьбой ввести seed-фразы кошелька.
Эксперты по безопасности предупреждают, что такой подход может способствовать фишинговым и социальным инженерным атакам.
Критики утверждают, что раскрытие seed-фраз в интернете создает серьёзные риски для кошельков с самосохранением.
Coinbase подвергается критике со стороны сообщества безопасности после публикации официальной страницы, в которой пользователи просят ввести свои seed-фразы напрямую в веб-форму. Исследователи называют это опасным, ненужным и готовым шаблоном для мошенников.
Что происходит
Страница была создана для того, чтобы помочь торговцам перемещать средства, поскольку Coinbase объединяет свой продукт Commerce с Coinbase Business до крайнего срока 31 марта. Торговцы, получившие Bitcoin и другие криптовалютные платежи через Commerce, направляются на инструмент вывода средств на субдомене Coinbase, где их просят ввести свою 12-словную seed-фразу для консолидации и перевода своих средств.
Для пользователей, которые сделали резервную копию своей seed-фразы в Google Drive, процесс включает в себя её открытие через настройки панели Commerce и ввод в инструмент вывода средств. Coinbase ясно дала понять, что если пользователи потеряют свою стартовую фразу, она не сможет вернуть средства.
Почему исследователи безопасности обеспокоены
Он-чейн-следователь ZachXBT сказал: «То есть, по сути, у Coinbase есть официальная страница, которую живые злоумышленники могут использовать для таргета пользователей Coinbase с помощью seedphrase social engineering, если захотят?»
Один пользователь прокомментировал, что был удивлён, почему у Coinbase появилась страница с просьбой ввести мнемонические фразы для восстановления активов, назвав эту практику крайне небезопасной и даже подозревая, что поддомен мог быть скомпрометирован.
Связано: SBI ARUHI запускает программу XRP Rewards для инвесторов
Проблема в том, что seed-фраза — это самая чувствительная информация, которой обладает пользователь криптовалюты. Тот, кто его владеет, имеет полный и необратимый доступ к кошельку. Официально выглядящая страница Coinbase, которая нормализует ввод seed-фраз в веб-форму, даёт преступникам идеальный план фишинговых атак.
Исследователи также заявили, что страница была опубликована без базовых оперативных мер безопасности, что говорит о её развертывании без надлежащей проверки безопасности. Всё, что нужно злоумышленнику — это клонировать страницу, отправлять письма с направлением пользователей на почти идентичный URL и собирать seed-фразы в больших масштабах.
Что должны делать пользователи
Используйте инструмент вывода средств только по URL, введённому вручную, никогда по ссылке на email
Никогда не вводите свою seed-фразу на странице, на которую попадали по ссылке
Свяжитесь с commerce-transition@coinbase.com напрямую, если у вас есть вопросы
Проверяйте каждый URL независимо перед вводом конфиденциальной информации
Coinbase не дала публичного ответа на критику на момент публикации.
Связанно: Бутан снова сбросил $72 млн в биткоин: прекратил ли он майнинг?
Под заказ
В наличии
