Coinbase Commerce och Säkerhetskritik
Coinbase Commerce’s seed phrase-uttagssida har fått hård kritik från säkerhetsforskare, som varnar för att den normaliserar att skriva in 12-ords återställningsfraser på en webbplats bara dagar före nedstängningen den 31 mars. En subdomän som tillhör Coinbase Commerce — företagets betalningsprodukt för handlare — har fått skarp kritik från ledande blockchain-säkerhetsforskare efter att det upptäcktes att den uppmanade användare att ange sina 12-ords seed phrases, även kända som mnemoniska eller återställningsfraser, direkt i ett webbformulär i klartext.
Kontroversen bröt ut på onsdagen och intensifierades på torsdag morgon, med upptäckten som kom vid ett särskilt känsligt ögonblick: Coinbase avslutar Commerce helt senast den 31 mars 2026, som en del av en bredare plattformsintegrering under Coinbase Business — vilket innebär att tiotusentals handlare har ett snävt fönster för att ta ut sina medel.
Kritik från Säkerhetsexperter
Sidan i fråga, som är värd på withdraw.commerce.coinbase.com/seed-phrase, nämndes i ett nu borttaget hjälp-dokument från Coinbase Commerce som riktade användare att återhämta medel genom att importera sina återställningsfraser till kompatibla plånböcker som Coinbase Wallet eller MetaMask. SlowMist-grundaren Yu Xian (känd online som Cos) beskrev praktiken som en ”otrolig brist på säkerhetsmedvetenhet” från en stor aktör i branschen, efter att ha fått flera användarrapporter om sidan.
”Sidan skapar en direkt attackyta för social ingenjörskonst som riktar sig mot Coinbase-användare.” – ZachXBT
Oroarna sträcker sig bortom sidan i sig. SlowMist’s Chief Information Security Officer, känd som 23pds, eskalerade alarmet genom att påpeka att sidans sitemap innehåller strukturella brister som gör det trivialiskt enkelt för illvilliga aktörer att återskapa. Genom att använda verktyg som ResourcesSaver kan angripare ladda ner front-end-koden och distribuera visuellt identiska phishing-sidor — särskilt farligt när det kombineras med Coinbase-liknande domäner som skulle kunna vilseleda även erfarna användare.
Normalisering av Risker
Det grundläggande problemet är en normalisering. Varje legitim säkerhetsprotokoll inom kryptovalutaindustrin bygger på en enda, icke-förhandlingsbar princip: en seed phrase bör aldrig anges på någon webbplats, formulär eller app under några omständigheter — inte ens en officiell. Seed phrases är de mästerkryptografiska nycklarna till en plånbok; den som innehar dem äger medlen.
Genom att bygga en återställningsarbetsflöde som kräver att användare skriver in sin fras i en webbläsare har Coinbase — oavsett om det var avsiktligt eller genom förbiseende — tränat användare att acceptera ett beteende som bedragare rutinmässigt utnyttjar. Coinfomania noterade att verktyget till och med föreslår att kopiera fraser från Google Drive som ett mellanled, vilket ökar risken.
ZachXBT:s varning bär särskild tyngd med tanke på hans meriter. I januari 2026 avslöjade han en Coinbase-supportbedrägeri som resulterade i cirka 2 miljoner dollar i stulen kryptovaluta — ett schema som förlitade sig på att användare var betingade att lita på Coinbase-märkta gränssnitt. Commerce seed phrase-sidan representerar en färdig mall för en uppföljningsattack av potentiellt mycket större skala.
Framtiden för Coinbase Commerce
Fram till torsdag hade Coinbase inte offentligt svarat på kritiken, trots flera förfrågningar om kommentar. Företaget har erbjudit alternativa uttagsmetoder — inklusive ett separat verktyg för handelsuttag som anses vara säkrare av forskare — men har inte tagit bort eller modifierat seed phrase-sidan. Med tolv dagar kvar tills Commerce permanent inaktiveras, ökar trycket på börsen att agera snabbt. För kryptovalutaindustrins mest framstående börsnoterade företag kan de reputationsmässiga insatserna av en massphishing-händelse som utlöses av dess egna migrationsverktyg knappast vara högre.
