상거래 도구에 연결된 코인베이스 하위 도메인이 사용자에게 시드 문구 입력을 요청하는 철회 페이지로 연결되어 보안 관찰자들 사이에 우려를 불러일으킨 것으로 알려졌습니다.
소셜 피드의 코인텔레그래프.
보안 연구원들은 사용자에게 지갑 복구 문구를 입력하라는 메시지를 표시하는 것으로 보이는 Coinbase 관련 상거래 페이지에 대해 우려를 제기했으며 이러한 흐름이 피싱 사기에서 일반적으로 악용되는 동작을 정상화할 수 있다고 경고했습니다.
이 페이지는 블록체인 보안 플랫폼인 Slow Mist의 창립자인 Yu Xian(Cos로 널리 알려져 있음)에 의해 신고된 후 소셜 미디어에서 널리 유포되었습니다.
Yu는 수요일 X 포스트에서 "코인베이스가 자산 복구를 위해 사용자에게 일반 텍스트 니모닉 문구를 입력하도록 직접 요구하는 이런 페이지를 갖게 되었는지 정말 의아해합니다"라고 덧붙였습니다. "이러한 안전하지 않은 관행은 믿을 수 없습니다. "
Coinbase는 아직 이 문제를 공개적으로 해결하지 않았습니다. 회사는 코인텔레그래프에게 이 문제를 조사 중이며 추가 정보를 제공하지 않았다고 말했습니다. 코인텔레그래프도 의견을 얻기 위해 Yu Xian에게 접근했지만 출판을 통해 답변을 받지 못했습니다.
복구 문구는 자체 관리형 지갑에 대한 모든 권한을 부여하며 제3자, 고객 지원 담당자 또는 신뢰할 수 없는 웹사이트와 절대 공유해서는 안 됩니다. 일반적으로 신뢰할 수 있는 지갑 복구 또는 가져오기 흐름에서만 사용됩니다.
블록체인 탐정 ZachXBT에 따르면 문제의 페이지는 Commerce 제품과 관련된 Coinbase 도움말 가이드에서 참조되었습니다.
현재 삭제된 것으로 보이는 이 가이드에는 사용자가 시드 문구를 코인베이스 지갑이나 메타 마스크와 같은 호환 지갑으로 가져와 자금을 복구할 수 있는 옵션이 설명되어 있는 것으로 알려졌습니다. 또한 사용자를 조사 대상인 동일한 하위 도메인에서 호스팅되는 철회 도구로 안내했습니다.
도움말 문서는 또한 Commerce 지갑이 자체 관리된다는 점을 강조합니다. 즉, Coinbase는 사용자의 시드 문구에 접근할 수 없으며 자금이 손실된 경우 자금을 복구할 수 없습니다.
관련 항목: 무료 'CLAW' 토큰을 약속하는 피싱 사기의 표적이 된 Open Claw 개발자.
"그러면 기본적으로 Coinbase에는 라이브 위협 행위자가 원할 경우 시드 문구 사회 공학을 통해 Coinbase 사용자를 표적으로 삼는 데 사용할 수 있는 공식 페이지가 있습니까? " ZachXBT가 X에 썼습니다.
문제의 페이지가 기술적인 오류로 인한 것인지, 아니면 코인베이스 측의 다른 문제로 인한 것인지는 아직 확실하지 않습니다.
또 다른 가이드에서 Coinbase는 사용자에게 어떤 웹사이트에도 시드 문구를 붙여넣지 말라고 강력히 권고했습니다.
화요일, 코인베이스는 사기꾼들이 로그인 정보와 인증 코드를 훔치기 위해 전화나 온라인을 통해 고객 지원을 가장하고 있다고 경고했습니다. 회사는 X와 Reddit의 공식 채널로 사용자를 안내하면서 결코 연락하지 않을 것이라고 말했습니다.
매거진: 비트코인의 '서사 공백', 이제 피할 수 없는 이더리움: 영업 비밀.
원문 제목: Coinbase Commerce page requests seed phrases, raising security concerns
A Coinbase subdomain linked to its Commerce tool reportedly directed users to a withdrawal page asking to enter their seed phrases, raising concerns among security observers.
Cointelegraph in your social feed.
Security researchers have raised concerns about a Coinbase-associated Commerce page that appeared to prompt users to enter wallet recovery phrases, warning that such a flow could normalize behavior commonly exploited in phishing scams.
The page has circulated widely on social media after being flagged by the founder of the blockchain security platform SlowMist, Yu Xian, widely known as Cos.
“I’m really puzzled why Coinbase would have a page like this, directly asking users to input their plaintext mnemonic phrases for asset recovery,” Yu wrote in an X post on Wednesday, adding: “Such an insecure practice is simply unbelievable.
”.
Coinbase has yet to address the issue publicly.
The company told Cointelegraph it was looking into the matter and did not provide additional information.
Cointelegraph also approached Yu Xian for comment, but had not received a response by publication.
Recovery phrasesgive full control over a self-custody wallet and should never be shared with third parties, customer support agents or untrusted websites.
They are normally used only in trusted wallet recovery or import flows.
Accordingto blockchain sleuth ZachXBT, the page in question was referenced in a Coinbase Help guide related to its Commerce product.
The guide, now appearing to have been removed, reportedly outlined an option for users to recover funds by importing their seed phrase into a compatible wallet such as Coinbase Wallet or MetaMask.
It also directed users to a withdrawal tool hosted at the same subdomain that has drawn scrutiny.
The help documentation also emphasizes that Commerce wallets areself-custodial, meaning Coinbase does not have access to users’ seed phrases and cannot recover funds if they are lost.
Related:OpenClaw devs targeted by phishing scam promising free ‘CLAW’ tokens.
“So basically Coinbase has an official page live threat actors can use to target Coinbase users via seed phrase social engineering if they wanted?” ZachXBT wrote on X.
It remains unclear whether the page in question was the result of a technical error or another issue on Coinbase’s side.
In another guide, Coinbase stronglyadvisedusers to never paste seed phrases into any website.
On Tuesday, Coinbasewarnedthat scammers are posing as customer support over the phone or online to steal login information and verification codes.
The company said it will never reach out, directing users to its official channels on X and Reddit.
Magazine:Bitcoin’s ‘narrative vacuum,’ Ethereum now inevitable: Trade Secrets.
