Coinbase Commerce og Sikkerhedsproblemer
Coinbase Commerce’s side til tilbagetrækning af seed phrases får hård kritik fra sikkerhedsforskere, der advarer om, at den normaliserer indtastning af 12-ords gendannelsesfraser på en hjemmeside blot dage før nedlukningsfristen den 31. marts.
Kritik fra Sikkerhedsforskere
En subdomæneside tilhørende Coinbase Commerce — virksomhedens betalingsprodukt til handlende — har fået skarp kritik fra førende blockchain-sikkerhedsforskere. Det blev opdaget, at den opfordrede brugere til at indtaste deres 12-ords seed phrases, også kendt som mnemonic eller gendannelsesfraser, direkte i en webformular i klar tekst.
“Praksissen er en demonstration af en utrolig mangel på sikkerhedsbevidsthed fra en stor aktør i branchen.” – Yu Xian, SlowMist-grundlægger
Kontroversen brød ud onsdag og intensiveredes torsdag morgen, idet opdagelsen kom på et særligt følsomt tidspunkt: Coinbase afslutter Commerce helt inden den 31. marts 2026 som en del af en bredere platformskonsolidering under Coinbase Business.
Risiko for Social Engineering
On-chain-efterforsker ZachXBT flagede uafhængigt siden og advarede om, at dens eksistens skaber en direkte angrebsflade for social engineering-kampagner, der retter sig mod Coinbase-brugere. SlowMist’s Chief Information Security Officer, kendt som 23pds, eskalerede alarmen ved at påpege, at sidens sitemap indeholder strukturelle fejl, der gør det trivielt nemt for ondsindede aktører at replikere.
Normalisering af Usikker Adfærd
Det grundlæggende problem er et spørgsmål om normalisering. Hver legitim sikkerhedsprotokol i kryptovalutaindustrien er bygget på et enkelt, ikke-forhandlingsbart princip: en seed phrase bør aldrig indtastes på nogen hjemmeside, formular eller app under nogen omstændigheder — ikke engang en officiel.
Ved at bygge en gendannelsesarbejdsgang, der kræver, at brugere indtaster deres frase i en browser, har Coinbase — uanset om det var med vilje eller ved en fejl — trænet brugere til at acceptere en adfærd, som svindlere rutinemæssigt udnytter.
Alternativer og Presserende Handling
Indtil torsdag havde Coinbase ikke offentligt reageret på kritikken, på trods af flere anmodninger om kommentar. Virksomheden har tilbudt alternative tilbagetrækningsmetoder — herunder et separat handels-tilbagetrækningsværktøj, der betragtes som sikrere af forskere — men har ikke fjernet eller ændret seed phrase-siden.
Med tolv dage tilbage, indtil Commerce permanent deaktiveres, vokser presset på børsen for at handle hurtigt. For kryptovalutaindustriens mest fremtrædende børsnoterede virksomhed kunne de omdømmemæssige indsatser ved en masse phishing-hændelse udløst af dens egne migrationsværktøjer næppe være højere.
