หน้า Seed Phrase ของ Coinbase Commerce สร้างความกังวลให้ชุมชนความปลอดภัยก่อนปิดให้บริการ 31 มีนาคม
#cryptocurrency#defi#exchange15 วันที่แล้ว

ข้อมูลนี้ในเว็บไซต์นี้ไม่ใช่คำแนะนำการลงทุน การลงทุนมีความเสี่ยง ผู้ลงทุนควรทำความเข้าใจลักษณะสินค้า เงื่อนไขผลตอบแทน และความเสี่ยง ก่อนตัดสินใจ ลงทุน

หน้าถอน Seed Phrase ของ Coinbase Commerce กำลังเผชิญกับการวิพากษ์วิจารณ์อย่างหนักจากนักวิจัยด้านความปลอดภัย ซึ่งเตือนว่าการใช้หน้าเว็บเพื่อกรอกวลีการกู้คืน 12 คำ เพียงไม่กี่วันก่อนกำหนดปิดให้บริการ 31 มีนาคม เป็นการสร้างความคุ้นชินกับพฤติกรรมที่อันตราย

สรุป

  • โดเมนย่อยของ Coinbase Commerce ที่ withdraw.commerce.coinbase.com/seed-phrase กำลังขอให้ผู้ค้าป้อน Seed Phrase 12 คำ เพื่อกู้คืนเงิน
  • Cos จาก SlowMist, CISO 23pds และนักสืบข้อมูล on-chain ZachXBT ระบุว่าหน้าดังกล่าวและส่วนหน้าเว็บที่สามารถโคลนได้ เป็นแม่แบบการฟิชชิงที่มีประสิทธิภาพ โดยเฉพาะอย่างยิ่งเมื่อ Coinbase Commerce จะถูกรวมเข้ากับ Coinbase Business ภายในวันที่ 31 มีนาคม 2026
  • นักวิจารณ์แย้งว่ากระบวนการนี้กำลังฝึกฝนผู้ใช้ให้ละเลยกฎสำคัญของวงการที่ห้ามป้อน Seed Phrase ออนไลน์ ซึ่งทำให้เกิดความกังวลอีกครั้งหลังมีกรณีหลอกลวงโดยใช้ชื่อ Coinbase ทำให้ผู้ใช้สูญเสียเงินประมาณ 2 ล้านดอลลาร์

หน้าโดเมนย่อยที่เกี่ยวข้องกับ Coinbase Commerce ซึ่งเป็นผลิตภัณฑ์การชำระเงินสำหรับร้านค้าของบริษัท ได้รับการวิพากษ์วิจารณ์อย่างหนักจากนักวิจัยด้านความปลอดภัยบล็อกเชนชั้นนำ หลังจากพบว่ามีการขอให้ผู้ใช้ป้อน Seed Phrase 12 คำ หรือที่เรียกว่า Mnemonic หรือ Recovery Phrase โดยตรงลงในแบบฟอร์มเว็บในรูปแบบข้อความธรรมดา ประเด็นถกเถียงนี้ปะทุขึ้นในวันพุธและทวีความรุนแรงขึ้นในเช้าวันพฤหัสบดี โดยการค้นพบนี้เกิดขึ้นในช่วงเวลาที่ละเอียดอ่อนเป็นพิเศษ: Coinbase กำลังจะปิดให้บริการ Commerce ทั้งหมดภายในวันที่ 31 มีนาคม 2026 อันเป็นส่วนหนึ่งของการควบรวมแพลตฟอร์มที่กว้างขึ้นภายใต้ Coinbase Business ซึ่งหมายความว่าร้านค้าหลายหมื่นรายมีเวลาจำกัดในการถอนเงิน

หน้าเว็บดังกล่าวที่อยู่ที่ withdraw.commerce.coinbase.com/seed-phrase ถูกอ้างอิงในเอกสารช่วยเหลือของ Coinbase Commerce ที่ตอนนี้ถูกลบไปแล้ว ซึ่งแนะนำให้ผู้ใช้กู้คืนเงินโดยการนำเข้า Recovery Phrase ไปยังกระเป๋าเงินที่รองรับ เช่น Coinbase Wallet หรือ MetaMask Yu Xian (ที่รู้จักกันในโลกออนไลน์ว่า Cos) ผู้ก่อตั้ง SlowMist ได้อธิบายว่าการปฏิบัตินี้แสดงให้เห็นถึง "การขาดความตระหนักด้านความปลอดภัยที่เหลือเชื่อ" จากผู้เล่นรายใหญ่ในอุตสาหกรรม หลังจากได้รับรายงานจากผู้ใช้หลายรายเกี่ยวกับหน้านี้ นักสืบข้อมูล on-chain ZachXBT ได้ออกมาเตือนถึงหน้านี้โดยอิสระ โดยชี้ให้เห็นว่าการมีอยู่ของมันสร้างช่องโหว่โดยตรงสำหรับการโจมตีทางวิศวกรรมสังคมที่มุ่งเป้าไปที่ผู้ใช้ Coinbase

เวกเตอร์การโจมตีที่สามารถโคลนได้บนโดเมนอย่างเป็นทางการ

ความกังวลไม่ได้หยุดอยู่เพียงแค่หน้าเว็บเท่านั้น CISO ของ SlowMist ซึ่งรู้จักในชื่อ 23pds ได้ยกระดับการเตือนภัยโดยชี้ให้เห็นว่าแผนผังไซต์ของหน้าเว็บมีข้อบกพร่องเชิงโครงสร้างที่ทำให้ผู้ไม่หวังดีสามารถจำลองแบบได้ง่ายอย่างยิ่ง ด้วยการใช้เครื่องมือเช่น ResourcesSaver ผู้โจมตีสามารถดาวน์โหลดโค้ดส่วนหน้าและติดตั้งเว็บไซต์ฟิชชิงที่ดูเหมือนกันทุกประการ ซึ่งอันตรายอย่างยิ่งเมื่อรวมกับโดเมนที่คล้ายกับ Coinbase ซึ่งสามารถหลอกลวงผู้ใช้ที่มีประสบการณ์ได้

ปัญหาพื้นฐานคือการสร้างความคุ้นชิน โปรโตคอลความปลอดภัยที่ถูกต้องตามกฎหมายทุกอย่างในอุตสาหกรรมคริปโตเคอเรนซีสร้างขึ้นบนหลักการเดียวที่ไม่สามารถต่อรองได้: Seed Phrase จะต้องไม่ถูกป้อนเข้าเว็บไซต์ แบบฟอร์ม หรือแอปใดๆ ภายใต้สถานการณ์ใดๆ - แม้แต่เว็บไซต์อย่างเป็นทางการก็ตาม Seed Phrase คือกุญแจเข้ารหัสหลักของกระเป๋าเงิน ผู้ใดก็ตามที่ครอบครองมัน ย่อมเป็นเจ้าของเงินทุน ด้วยการสร้างขั้นตอนการกู้คืนที่ผู้ใช้ต้องพิมพ์วลีของตนลงในเบราว์เซอร์ Coinbase ได้ - ไม่ว่าจะโดยเจตนาหรือไม่ก็ตาม - ฝึกฝนผู้ใช้ให้ยอมรับพฤติกรรมที่ผู้หลอกลวงมักใช้ประโยชน์ Coinfomania ตั้งข้อสังเกตว่าเครื่องมือนี้ยังแนะนำให้คัดลอกวลีจาก Google Drive เป็นขั้นตอนกลาง ซึ่งยิ่งเพิ่มความเสี่ยง

คำเตือนของ ZachXBT มีน้ำหนักเป็นพิเศษเมื่อพิจารณาจากประวัติของเขา ในเดือนมกราคม 2026 เขาได้เปิดโปงการหลอกลวงโดยใช้ชื่อว่า Coinbase support impersonation scam ซึ่งส่งผลให้มีการขโมยคริปโตไปประมาณ 2 ล้านดอลลาร์ - กลอุบายที่อาศัยการที่ผู้ใช้ถูกฝึกฝนให้ไว้วางใจอินเทอร์เฟซที่ใช้แบรนด์ Coinbase หน้า Seed Phrase ของ Commerce ถือเป็นแม่แบบสำเร็จรูปสำหรับการโจมตีต่อเนื่องที่มีขนาดใหญ่อาจจะยิ่งกว่ามาก

ณ วันพฤหัสบดี Coinbase ยังไม่ได้ออกมาตอบสนองต่อคำวิพากษ์วิจารณ์ดังกล่าว แม้จะมีการร้องขอความคิดเห็นหลายครั้ง บริษัทได้เสนอวิธีการถอนเงินทางเลือก - รวมถึงเครื่องมือถอนเงินของ Commerce ที่แยกต่างหากซึ่งนักวิจัยพิจารณาว่าปลอดภัยกว่า - แต่ยังไม่ได้ลบหรือแก้ไขหน้า Seed Phrase ด้วยเวลาอีกสิบสองวันก่อนที่ Commerce จะถูกปิดถาวร แรงกดดันต่อบริษัทให้ดำเนินการจึงเพิ่มสูงขึ้นอย่างรวดเร็ว สำหรับบริษัทมหาชนที่มีชื่อเสียงที่สุดในวงการคริปโต ความเสี่ยงด้านชื่อเสียงจากเหตุการณ์ฟิชชิงครั้งใหญ่ที่เกิดจากเครื่องมือการย้ายข้อมูลของตนเองนั้นสูงเกินกว่าจะประเมินได้


ข้อมูลนี้ในเว็บไซต์นี้ไม่ใช่คำแนะนำการลงทุน การลงทุนมีความเสี่ยง ผู้ลงทุนควรทำความเข้าใจลักษณะสินค้า เงื่อนไขผลตอบแทน และความเสี่ยง ก่อนตัดสินใจ ลงทุน