Coinbase Commerce og Kritikken fra Sikkerhetsforskere
Coinbase Commerce sin side for uttak av seed phrases får hard kritikk fra sikkerhetsforskere, som advarer om at den normaliserer å skrive inn 12-ords gjenopprettingsfraser på en nettside bare dager før nedleggelsen 31. mars. En subdomene-side tilhørende Coinbase Commerce — selskapets betalingsprodukt for handelsmenn — har fått skarp kritikk fra ledende blockchain-sikkerhetsforskere etter at det ble oppdaget at den oppfordret brukere til å skrive inn sine 12-ords seed phrases, også kjent som mnemoniske eller gjenopprettingsfraser, direkte i et webskjema i klartekst.
Kontroversen Intensiveres
Kontroversen brøt ut onsdag og intensiverte torsdag morgen, med oppdagelsen som kom på et spesielt sensitivt tidspunkt: Coinbase avslutter Commerce helt innen 31. mars 2026, som en del av en bredere plattformkonsolidering under Coinbase Business — noe som betyr at titusenvis av handelsmenn har et smalt vindu for å ta ut sine midler.
Siden det er snakk om, som er vert på withdraw.commerce.coinbase.com/seed-phrase, ble referert til i et nå slettet Coinbase Commerce hjelpedokument som dirigerte brukere til å gjenopprette midler ved å importere sine gjenopprettingsfraser til kompatible lommebøker som Coinbase Wallet eller MetaMask.
Kritikk fra Sikkerhetseksperter
SlowMist-grunnlegger Yu Xian (kjent online som Cos) beskrev praksisen som en demonstrasjon av en «utrolig mangel på sikkerhetsbevissthet» fra en stor aktør i bransjen, etter å ha mottatt flere brukerrapporter om siden.
On-chain etterforsker ZachXBT flagget uavhengig siden og advarte om at dens eksistens skaper et direkte angrepspunkt for social engineering rettet mot Coinbase-brukere. Bekymringene går utover siden i seg selv. SlowMist sin Chief Information Security Officer, kjent som 23pds, hevet alarmen ved å påpeke at sidens sitemap inneholder strukturelle feil som gjør det trivielt enkelt for ondsinnede aktører å replikere.
Risikoen for Phishing
Ved å bruke verktøy som ResourcesSaver kan angripere laste ned front-end koden og distribuere visuelt identiske phishing-nettsider — spesielt farlig når det kombineres med Coinbase-lignende domener som kan lure selv erfarne brukere. Det grunnleggende problemet er en normalisering. Hver legitim sikkerhetsprotokoll i kryptovalutaindustrien er bygget på et enkelt, ikke-forhandlingsbart prinsipp: en seed phrase skal aldri skrives inn på noen nettside, skjema eller app under noen omstendigheter — ikke engang en offisiell.
Seed phrases er de mesterskriptografiske nøklene til en lommebok; den som besitter dem eier midlene. Ved å bygge en gjenopprettingsarbeidsflyt som krever at brukere skriver inn sin frase i en nettleser, har Coinbase — enten med vilje eller ved en feil — trent brukere til å akseptere en atferd som svindlere rutinemessig utnytter.
Coinfomania bemerket at verktøyet til og med foreslår å kopiere fraser fra Google Drive som et mellomtrinn, noe som øker risikoen.
Advarsel fra ZachXBT
ZachXBTs advarsel har særlig tyngde gitt hans merittliste. I januar 2026 avslørte han en svindel der noen utga seg for å være Coinbase-support, noe som resulterte i omtrent 2 millioner dollar i stjålet kryptovaluta — et opplegg som var avhengig av at brukere ble betinget til å stole på Coinbase-merket grensesnitt. Commerce seed phrase-siden representerer en klar mal for et oppfølgingsangrep av potensielt mye større skala.
Coinbase’s Respons
Per torsdag hadde ikke Coinbase offentlig svart på kritikken, til tross for flere forespørsel om kommentar. Selskapet har tilbudt alternative uttaksmetoder — inkludert et eget verktøy for handel som anses som tryggere av forskere — men har ikke fjernet eller endret seed phrase-siden. Med tolv dager igjen til Commerce permanent blir deaktivert, øker presset på børsen for å handle raskt. For kryptovalutaindustriens mest fremtredende børsnoterte selskap, kan de omdømmemessige innsatsene ved en masse phishing-hendelse utløst av egne migrasjonsverktøy knapt være høyere.
