زاكXBT يحذر من صفحة استرداد Coinbase Commerce التي تطلب من المستخدمين إدخال عبارة البذرة المكونة من 12 كلمة، مما يثير مخاوف من التصيد والهندسة الاجتماعية
صفحة مباشرة على النطاق الرسمي ل Coinbase تثير إنذار أمني من قبل الباحثين. الصفحة، المستضافة على withdraw.commerce.coinbase.com، تطلب من المستخدمين إدخال عبارة بذرة مكونة من 12 كلمة كجزء من عملية استرداد الأصول المرتبطة بـ Coinbase Commerce. لم تقم المنصة بسحب الصفحة حتى الآن.
أثار الباحث في السلسلة ZachXBT الإنذار على منصة X، متسائلاً عما إذا كانت Coinbase قد فكرت في ما يمكن أن تفعله صفحة كهذه من قبل المهاجمين. قال زاكXBT: "هل يعني ذلك أن Coinbase لديها صفحة رسمية مباشرة يمكن للمهاجمين استخدامها لاستهداف مستخدمي Coinbase عبر الهندسة الاجتماعية لعبارات البذرة إذا أرادوا؟" وجذبت المنشور تفاعلات بالآلاف تقريبًا على الفور.
حذر الباحث الأمني evilcos من نفس الصفحة سابقًا على منصة X، قائلاً إن ممارسة طلب إدخال عبارات البذرة النصية من قبل المستخدمين كانت من الصعب تصديقها من قبل منصة تبادل كبرى. قال الباحث إن النطاق الفرعي بدا في البداية وكأنه تعرض للاختراق، لكنه لم يكن كذلك. الصفحة رسمية.
توضح وثائق مساعدة Coinbase Commerce، الموجودة على صفحة الاسترداد، عملية الاسترداد. وتخبر التجار أن أموالهم قد تكون موزعة عبر مئات أو حتى آلاف عناوين المحافظ، لأن Commerce أنشأ عنوانًا جديدًا لكل عملية دفع تتلقاها. وذكر أن استيراد عبارة البذرة إلى محفظة قياسية قد لا يظهر الرصيد الكامل، حيث أن المحافظ القياسية عادةً تفحص أول 20 عنوانًا غير مستخدم. بالنسبة لبيتكوين والأصول المبنية على UTXO، كانت Coinbase توجه المستخدمين نحو أداة السحب قبل 31 مارس 2026.
كما توضح الوثائق كيفية استرجاع عبارة بذرة مخزنة على Google Drive، ثم إدخالها في أداة السحب. وهنا يقول الباحثون إن الخطر يكمن.
نشر الباحث الأمني im23pds على منصة X تفصيلًا للمشكلة إلى قضيتين منفصلتين. أولاً، على الرغم من أن الرابط يأتي من نطاق رسمي ل Coinbase، فإن طلب إرسال عبارة البذرة للتحقق من الأصول يعد تصرفًا غير مسؤول من أي معيار أمني. ثانيًا، الموقع يعاني من خريطة موقع معيبة، حيث يمكن للمهاجمين استخدام أدوات مثل ResourcesSaver لتحميل كود الواجهة بالكامل ونشر نسخة مشابهة جدًا. ومع وجود نطاق مشابه، يصبح تنفيذ حملة تصيد ل Coinbase أسهل بكثير.
في منشور سابق على X، أشار im23pds إلى أن الصفحة بُنيت بشكل غير مسؤول، حيث أطلقها الفريق دون إعداد خريطة موقع. هذا الإهمال يجعل الصفحة أكثر عرضة للنسخ من قبل أي شخص يرغب في ذلك.
而且页面做的非常不讲究… sitemap 这种不设置就直接上线了:-)
👇 pic.twitter.com/wdzBOti5w8— 23pds (山哥) (@im23pds) 19 مارس 2026
المصدر: im23pds
الخطر الأساسي واضح وبسيط. المهاجمون لا يحتاجون إلى اختراق أنظمة Coinbase. يكفي أن يوجهوا المستخدم إلى نسخة مزيفة من صفحة رسمية موجودة بالفعل وتطلب عبارة البذرة. المستخدم، الذي يتوقع أن يتلقى المساعدة من الصفحة الحقيقية، يسلّمها.
هذه ليست نمطًا جديدًا للمنصة. لقد وثق ZachXBT سابقًا كيف يستغل المهاجمون علامة Coinbase التجارية في حملات الهندسة الاجتماعية، باستخدام التظاهر وقنوات دعم مزيفة لتفريغ المحافظ. صفحة استرداد Coinbase Commerce، في هذه الحالة، تضع الأساس للمحتالين دون الحاجة إلى انتحال شخصية.
لا تزال الصفحة نشطة. لم ترد Coinbase علنًا على المخاوف المطروحة.