ZachXBT 指出 Coinbase Commerce 恢复页面,要求用户输入其 12 个字的助记词,引发钓鱼和社会工程学担忧。
Coinbase 官方域名上的一个实时页面引发了安全警报。该页面托管在 withdraw.commerce.coinbase.com,要求用户输入 12 个字的助记词,作为与 Coinbase Commerce 相关的资产恢复流程的一部分。交易所尚未将该页面下线。
链上调查员 ZachXBT 在 X 上发出警告,质疑 Coinbase 是否考虑过这样一个页面可能带来的风险。“基本上,Coinbase 有一个官方页面,威胁行为者可以利用它通过助记词社会工程攻击 Coinbase 用户?” ZachXBT 写道。该帖子几乎立即引发了数千次互动。
安全研究员 evilcos 在 X 上也指出了同一页面,表示要求用户输入明文助记词的做法对于一家大型交易所来说实在令人难以置信。该研究员表示,子域名最初看起来像是被入侵了,但实际上并没有。该页面是官方的。
Coinbase Commerce 的帮助文档,显示在恢复页面上,解释了相关流程。它告诉商家,他们的资金可能分散在数百甚至数千个钱包地址中,因为 Commerce 为每笔支付生成了一个新地址。将助记词导入标准钱包后,可能无法显示全部余额。标准钱包通常只扫描前 20 个未使用的地址。对于比特币和其他基于 UTXO 的资产,Coinbase 在 2026 年 3 月 31 日之前引导用户使用提现工具。
文档还指导用户如何从 Google Drive 备份的助记词中恢复,然后在提现工具中输入。这也是研究人员担忧的风险所在。
安全研究员 im23pds 在 X 上将担忧拆分为两个不同的问题。首先,尽管链接来自官方 Coinbase 域名,但要求用户传输助记词以验证资产,无论从哪个安全标准来看都非常不谨慎。其次,该网站的站点地图存在缺陷。攻击者可以使用 ResourcesSaver 等工具下载前端代码的全部内容,并部署几乎一模一样的副本。再加上一个类似的域名,Coinbase 钓鱼攻击的难度大大增加。
在之前的另一篇帖子中,im23pds 还指出该页面设计得非常草率。团队甚至没有设置站点地图就上线了。这种疏忽让任何想复制其结构的人都更容易访问。
而且页面做的非常不讲究… sitemap 这种不设置就直接上线了:-)
👇 pic.twitter.com/wdzBOti5w8— 23pds (山哥) (@im23pds) 2026年3月19日
来源:im23pds
核心危险很直观。威胁行为者无需入侵 Coinbase 系统。他们只需引导用户访问一个伪造的官方页面,要求输入助记词。用户在真实页面的引导下,会将助记词交出。
这并不是交易所的全新模式。ZachXBT 之前曾记录过不法分子如何利用 Coinbase 的品牌进行社会工程攻击,假冒支持渠道,窃取钱包。此次的 Commerce 恢复页面,为诈骗者提供了基础,无需任何人假扮官方。
该页面仍然在线。Coinbase 尚未对提出的担忧做出公开回应。
