Kritik an Coinbase Commerce Seed-Phrase-Abhebungsseite
Die Seed-Phrase-Abhebungsseite von Coinbase Commerce steht in der Kritik von Sicherheitsforschern, die warnen, dass das Eingeben von 12-Wort-Wiederherstellungssätzen in eine Website nur Tage vor der Abschaltung am 31. März gefährlich ist. Eine Subdomain von Coinbase Commerce, dem Zahlungsprodukt für Händler des Unternehmens, hat scharfe Kritik von führenden Blockchain-Sicherheitsexperten auf sich gezogen, nachdem festgestellt wurde, dass sie Benutzer auffordert, ihre 12-Wort-Seed-Phrasen, auch bekannt als mnemonische oder Wiederherstellungssätze, direkt in ein Webformular im Klartext einzugeben.
Hintergrund und Bedenken
Die Kontroversen brachen am Mittwoch aus und intensivierten sich am Donnerstagmorgen. Diese Entdeckung kam zu einem besonders sensiblen Zeitpunkt: Coinbase stellt Commerce bis zum 31. März 2026 vollständig ein, als Teil einer umfassenderen Plattformkonsolidierung unter Coinbase Business. Dies bedeutet, dass Zehntausende von Händlern ein enges Zeitfenster haben, um ihre Gelder abzuheben.
Die betreffende Seite, die unter withdraw.commerce.coinbase.com/seed-phrase gehostet wird, wurde in einem mittlerweile gelöschten Hilfedokument von Coinbase Commerce erwähnt, das Benutzer anleitete, Gelder durch das Importieren ihrer Wiederherstellungssätze in kompatible Wallets wie Coinbase Wallet oder MetaMask zurückzuholen.
Expertenmeinungen
Der Gründer von SlowMist, Yu Xian (online bekannt als Cos), beschrieb die Praxis als einen „unglaublichen Mangel an Sicherheitsbewusstsein“ von einem großen Akteur der Branche, nachdem er mehrere Benutzerberichte über die Seite erhalten hatte.
Der On-Chain-Ermittler ZachXBT wies unabhängig auf die Seite hin und warnte, dass ihre Existenz eine direkte Angriffsfläche für Social-Engineering-Kampagnen darstellt, die auf Coinbase-Benutzer abzielen. Die Bedenken gehen über die Seite selbst hinaus. Der Chief Information Security Officer von SlowMist, bekannt als 23pds, verstärkte die Alarmglocken, indem er darauf hinwies, dass die Sitemap der Seite strukturelle Mängel aufweist, die es böswilligen Akteuren extrem einfach machen, sie zu replizieren.
Risiken und Konsequenzen
Mit Tools wie ResourcesSaver können Angreifer den Frontend-Code herunterladen und visuell identische Phishing-Seiten bereitstellen – besonders gefährlich, wenn sie mit Coinbase-ähnlichen Domains kombiniert werden, die selbst erfahrene Benutzer täuschen könnten. Das grundlegende Problem ist die Normalisierung eines gefährlichen Verhaltens. Jedes legitime Sicherheitsprotokoll in der Kryptowährungsbranche basiert auf einem einzigen, nicht verhandelbaren Prinzip: Eine Seed-Phrase sollte unter keinen Umständen in eine Website, ein Formular oder eine App eingegeben werden – nicht einmal in eine offizielle.
Seed-Phrasen sind die Master-Kryptografie-Schlüssel zu einer Wallet; wer sie besitzt, besitzt die Gelder. Indem Coinbase einen Wiederherstellungsworkflow erstellt hat, der von den Benutzern verlangt, ihre Phrase in einen Browser einzugeben, hat das Unternehmen – ob absichtlich oder durch Nachlässigkeit – die Benutzer darauf trainiert, ein Verhalten zu akzeptieren, das Betrüger routinemäßig ausnutzen.
Forderungen nach Maßnahmen
Coinfomania stellte fest, dass das Tool sogar vorschlägt, Phrasen von Google Drive als Zwischenschritt zu kopieren, was das Risiko weiter erhöht. ZachXBTs Warnung hat besonderes Gewicht, angesichts seiner bisherigen Erfolge. Im Januar 2026 deckte er einen Betrug auf, bei dem sich jemand als Coinbase-Support ausgab, was zu einem Diebstahl von etwa 2 Millionen Dollar in Kryptowährung führte – ein Schema, das darauf beruhte, dass Benutzer darauf konditioniert wurden, Coinbase-markierte Schnittstellen zu vertrauen.
Die Seed-Phrase-Seite von Commerce stellt eine sofort einsatzbereite Vorlage für einen Folgeangriff dar, der potenziell viel größer sein könnte. Bis Donnerstag hatte Coinbase trotz mehrerer Anfragen um Stellungnahme nicht öffentlich auf die Kritik reagiert. Das Unternehmen hat alternative Abhebungsmethoden angeboten – einschließlich eines separaten Abhebungswerkzeugs für den Handel, das von Forschern als sicherer angesehen wird – hat jedoch die Seed-Phrase-Seite nicht entfernt oder geändert.
Mit noch zwölf Tagen bis zur endgültigen Deaktivierung von Commerce wächst der Druck auf die Börse, schnell zu handeln. Für das prominenteste börsennotierte Unternehmen der Kryptoindustrie könnten die reputationsbezogenen Risiken eines massiven Phishing-Ereignisses, das durch die eigenen Migrationstools ausgelöst wird, kaum höher sein.
