Криптовалютная биржа Coinbase оказалась в центре скандала из-за выявленной уязвимости в своём сервисе Coinbase Commerce. Как сообщила 19 марта 2026 года блокчейн-компания SlowMist, на странице вывода средств пользователям предлагается ввести свою мнемоническую фразу (seed phrase) в открытом текстовом виде. Это прямо противоречит базовым принципам безопасности в криптоиндустрии.
Основатель SlowMist Юй Сянь (Cos) выразил недоумение в своём посте на X: «Я действительно озадачен, почему у Coinbase есть такая страница, напрямую просящая пользователей вводить свои мнемонические фразы в открытом виде для восстановления активов. Такая небезопасная практика просто невероятна».
Известный блокчейн-исследователь ZachXBT подтвердил информацию, отметив, что страница упоминалась в официальном руководстве Coinbase Commerce. Согласно этому руководству (которое, по-видимому, уже удалено), пользователям предлагалось восстановить средства, импортировав сид-фразу в совместимый кошелёк, такой как Coinbase Wallet или MetaMask. При этом пользователей направляли на инструмент вывода, размещённый на том же субдомене, который и вызвал критику.
Эксперты подчёркивают, что сид-фраза предоставляет полный контроль над самокастодиальным кошельком, и её никогда не следует передавать третьим лицам, службам поддержки или вводить на недоверенных сайтах. Обычно она используется только в доверенных процессах восстановления или импорта кошелька.
Особую тревогу вызывает тот факт, что интерфейс страницы предлагает пользователям копировать фразу из Google Drive, что многократно увеличивает риски. Если злоумышленники получат доступ к этой фразе, они смогут вывести все средства без возможности возврата.
Более широкая опасность, по мнению аналитиков, заключается в нормализации поведения, которое активно используется в фишинговых атаках. ZachXBT задался вопросом: «Так что, по сути, у Coinbase есть официальная страница, которую злоумышленники могут использовать для таргетирования пользователей Coinbase через социальную инженерию с сид-фразами?»
В самой компании ситуацию пока не прокомментировали публично. Представители Coinbase сообщили Cointelegraph, что изучают этот вопрос, не предоставив дополнительной информации. Примечательно, что в другом своём руководстве Coinbase настоятельно рекомендует пользователям никогда не вставлять сид-фразы на какие-либо веб-сайты.
Контекстом может служить предстоящее закрытие Coinbase Commerce в конце марта 2026 года и его слияние с новым сервисом Coinbase Business. Возможно, инструмент был предназначен для помощи пользователям в переносе средств со старых кошельков Commerce, которые создавали средства по множеству адресов. Однако даже в этом случае метод запроса сид-фраз в открытом виде подвергается резкой критике со стороны экспертов по безопасности.
Пользователям настоятельно рекомендуется сохранять бдительность, никогда не делиться своей сид-фразой и избегать её ввода на любых сайтах, даже если они кажутся официальными.
