ZachXBT 指出 Coinbase Commerce 恢復頁面,要求用戶輸入其 12 個字的種子短語,引發釣魚和社交工程的擔憂。
一個在 Coinbase 官方域名上的實時頁面引起了安全研究人員的警報。該頁面位於 withdraw.commerce.coinbase.com,要求用戶輸入 12 個字的種子短語,作為與 Coinbase Commerce 相關的資產恢復流程的一部分。該交易所尚未將該頁面下架。
鏈上調查員 ZachXBT 在 X 上提出警告,質疑 Coinbase 是否已經考慮過這樣的頁面可能帶來的風險。“基本上,Coinbase 有一個官方頁面,攻擊者可以利用它來針對 Coinbase 用戶進行種子短語的社交工程攻擊,如果他們想的話?” ZachXBT 寫道。這篇貼文幾乎立即引來數千次互動。
安全研究員 evilcos 在 X 上也指出了同一頁面,表示要求用戶輸入明文助記詞的做法,對於一家主要交易所來說實在令人難以置信。該研究員表示,子域名最初看起來像是被入侵了,但事實並非如此。該頁面是官方的。
Coinbase Commerce 的幫助文件,顯示在恢復頁面上,解釋了相關流程。它告知商戶,他們的資金可能分散在數百甚至數千個錢包地址中,因為 Commerce 為每筆支付生成一個新地址。將種子短語導入標準錢包,可能無法顯示全部餘額。標準錢包通常只掃描前 20 個未使用的地址。對於比特幣和其他 UTXO 為基礎的資產,Coinbase 在 2026 年 3 月 31 日之前,建議用戶使用提取工具。
該文件還指導用戶如何從 Google Drive 備份中恢復種子短語,然後在提取工具中輸入。研究人員表示,這正是存在風險的地方。
安全研究員 im23pds 在 X 上將這個問題拆分為兩個不同的點。首先,儘管該鏈接來自官方 Coinbase 域名,但要求用戶傳送助記詞來驗證資產,無論從任何安全標準來看都是不負責任的。其次,該網站的站點地圖存在缺陷。攻擊者可以使用 ResourcesSaver 等工具,下載前端代碼的全部內容,並部署一個幾乎一模一樣的副本。再加上類似的域名,讓 Coinbase 的釣魚攻擊變得更加容易。
在另一篇較早的貼文中,im23pds 在 X 上指出,該頁面建設得非常草率。團隊甚至沒有建立站點地圖就直接上線了。這種疏忽使得任何想模仿其結構的人都能更容易地複製。
而且頁面做的非常不講究… sitemap 這種不設就直接上線了:-)
👇 pic.twitter.com/wdzBOti5w8— 23pds (山哥) (@im23pds) 2026年3月19日
來源:im23pds
核心危險很簡單。威脅行為者不需要攻破 Coinbase 系統,他們只需引導用戶到一個假冒的官方頁面,該頁面會要求輸入種子短語。由於用戶已經習慣了真實頁面,便會將其交出。
這並不是交易所的新手法。ZachXBT 之前已經記錄過惡意行為者如何利用 Coinbase 的品牌進行社交工程攻擊,通過冒充和假冒支援渠道來盜取錢包資金。在這個案例中,Commerce 恢復頁面為詐騙者打下了基礎,無需任何人冒充。
該頁面仍然在線。Coinbase 尚未對提出的擔憂做出公開回應。
