Критика страницы вывода seed-фраз Coinbase Commerce
Страница вывода seed-фраз Coinbase Commerce подвергается жесткой критике со стороны исследователей безопасности, которые предупреждают, что она нормализует ввод 12-словных фраз восстановления на веб-сайте всего за несколько дней до крайнего срока закрытия 31 марта.
Обнаружение уязвимости
Поддомен, принадлежащий Coinbase Commerce — продукту компании для платежей торговцев — вызвал резкую критику со стороны ведущих исследователей безопасности блокчейна после того, как было обнаружено, что он предлагает пользователям вводить свои 12-словные seed-фразы, также известные как мнемонические или фразы восстановления, непосредственно в веб-форму в открытом виде.
Контроверсия вспыхнула в среду и усилилась в четверг утром, когда это открытие произошло в особенно чувствительный момент: Coinbase полностью закрывает Commerce к 31 марта 2026 года в рамках более широкой консолидации платформы под брендом Coinbase Business.
Опасности и последствия
Это означает, что десятки тысяч торговцев имеют узкое окно для вывода своих средств. Страница, о которой идет речь, размещенная по адресу withdraw.commerce.coinbase.com/seed-phrase, была упомянута в теперь уже удаленном документе помощи Coinbase Commerce, который направлял пользователей восстанавливать средства, импортируя свои фразы восстановления в совместимые кошельки, такие как Coinbase Wallet или MetaMask.
Основатель SlowMist Ю Сян (известный в интернете как Cos) описал эту практику как демонстрацию «невероятного отсутствия осведомленности о безопасности» со стороны крупного игрока в отрасли, получив множество отчетов от пользователей о странице.
Исследователь блокчейна ZachXBT независимо отметил страницу, предупредив, что ее существование создает прямую поверхность атаки для кампаний социальной инженерии, нацеленных на пользователей Coinbase.
Структурные недостатки и риски
Опасения выходят за рамки самой страницы. Главный специалист по информационной безопасности SlowMist, известный как 23pds, усилил тревогу, указав на то, что карта сайта страницы содержит структурные недостатки, которые делают ее тривиально легкой для воспроизведения злоумышленниками.
Используя такие инструменты, как ResourcesSaver, атакующие могут скачать код фронтенда и развернуть визуально идентичные фишинговые сайты — особенно опасно, когда это комбинируется с доменами, похожими на Coinbase, которые могут убедительно обмануть даже опытных пользователей.
Нормализация опасного поведения
Основная проблема заключается в нормализации. Каждый легитимный протокол безопасности в индустрии криптовалют основан на одном единственном, не подлежащем обсуждению принципе: seed-фраза никогда не должна вводиться на каком-либо веб-сайте, в форме или приложении ни при каких обстоятельствах — даже на официальном.
Seed-фразы являются мастер-ключами к криптокошельку; кто владеет ими, тот владеет средствами. Создавая рабочий процесс восстановления, который требует от пользователей ввода своей фразы в браузере, Coinbase — намеренно или по недосмотру — приучила пользователей принимать поведение, которое мошенники регулярно используют.
Coinfomania отметила, что инструмент даже предлагает копировать фразы из Google Drive в качестве промежуточного шага, что усугубляет риск.
Предупреждение и репутационные риски
Предупреждение ZachXBT имеет особую значимость, учитывая его послужной список. В январе 2026 года он раскрыл мошенническую схему подделки поддержки Coinbase, в результате которой было украдено около 2 миллионов долларов в криптовалюте — схема, которая полагалась на то, что пользователи привыкли доверять интерфейсам с брендом Coinbase.
Страница seed-фраз Commerce представляет собой готовый шаблон для последующей атаки потенциально гораздо большего масштаба.
На четверг Coinbase еще не ответила публично на критику, несмотря на многочисленные запросы на комментарии.
Компания предложила альтернативные методы вывода — включая отдельный инструмент вывода для торговли, который считается более безопасным исследователями — но не удалила и не изменила страницу seed-фраз.
С двенадцатью днями до окончательного отключения Commerce давление на биржу, чтобы она действовала, быстро нарастает. Для самой заметной публичной компании в криптоиндустрии репутационные риски массового фишинга, вызванного ее собственными инструментами миграции, едва ли могут быть выше.
