Криптобіржа Coinbase через один із своїх сервісів запитує у користувачів сід-фразу гаманця для інтеграції коштів із різних платформ. На це звернув увагу засновник компанії у сфері блокчейн-безпеки SlowMist Cosine.
За його словами, на піддоміні біржі запущено сервіс withdraw.commerce.coinbase.com, де користувачеві пропонується ввести сід-фразу для перенесення коштів із застарілої платформи Coinbase Commerce в інші гаманці, включаючи Coinbase Wallet та MetaMask, або на зовнішні адреси. На скріншотах також видно, що система передбачає можливість копіювання секретної фрази з хмарного сховища Google.
Експерт зазначив, що подібна практика несе ризики компрометації гаманців. Спочатку він припустив, що йдеться про фішинговий ресурс, проте згодом дійшов висновку, що сайт є легітимним.
До обговорення приєднався блокчейн-дослідник ZachXBT, який зазначив, що цю сторінку можна використовувати в атаках із застосуванням соціальної інженерії. За його оцінкою, зловмисники можуть спонукати користувачів вводити сид-фрази і таким чином отримувати доступ до засобів.
У довідковій документації Coinbase зазначено, що для об'єднання гаманців біржі та MetaMask потрібне введення сід-фрази. Без цього об'єднання балансів неможливе.
Біржа також повідомила, що користувачам необхідно вивести кошти із Coinbase Commerce до 31 березня 2026 року. Після цієї дати інструмент виведення буде вимкнений, і доступ до засобів може бути втрачено.
У коментарях фахівці з кібербезпеки проаналізували код сторінки withdraw.commerce.coinbase.com і вказали на потенційні вразливості. Зокрема, відзначається некоректна робота карти сайту, що може полегшити копіювання інтерфейсу з використанням інструментів типу ResourcesSaver і створення фішингових копій ресурсу на подібних доменах.
У грудні 2024 року Coinbase зіткнулася з витоком даних, про який стало відомо у травні 2025 року. В результаті інциденту було скомпрометовано дані близько 69 000 користувачів, а витрати на усунення наслідків перевищили $200 млн. За даними розслідування, зловмисники підкупили співробітників аутсорсингової компанії TaskUs, яка надала Coinbase послуги підтримки клієнтів.