زاكXBT يحذر من صفحة استرداد Coinbase Commerce التي تطلب من المستخدمين إدخال عبارة البذرة ذات 12 كلمة، مما يثير مخاوف من التصيد والهندسة الاجتماعية
صفحة مباشرة على النطاق الرسمي ل Coinbase تثير إنذار أمني من قبل الباحثين. الصفحة، المستضافة على withdraw.commerce.coinbase.com، تطلب من المستخدمين إدخال عبارة بذرة مكونة من 12 كلمة كجزء من عملية استرداد الأصول المرتبطة بـ Coinbase Commerce. لم تقم المنصة بحذف الصفحة بعد.
أثار الباحث في التحقيقات على السلسلة ZachXBT الإنذار على منصة X، متسائلاً عما إذا كانت Coinbase قد فكرت في ما يمكن أن تفعله صفحة كهذه من قبل المهاجمين. قال زاكXBT: "هل يعني ذلك أن Coinbase لديها صفحة رسمية مباشرة يمكن للمهاجمين استخدامها لاستهداف مستخدمي Coinbase عبر الهندسة الاجتماعية لعبارات البذرة إذا أرادوا؟" وجذبت المنشور تفاعلات الآلاف تقريبًا على الفور.
حذر الباحث الأمني evilcos من نفس الصفحة سابقًا على منصة X، قائلاً إن ممارسة طلب إدخال عبارات البذرة النصية من قبل المستخدمين كانت ببساطة يصعب تصديقها من قبل منصة تبادل كبرى. قال الباحث إن النطاق الفرعي بدا في البداية وكأنه تعرض للاختراق، لكنه لم يكن كذلك. الصفحة رسمية.
توضح وثائق مساعدة Coinbase Commerce، الظاهرة على صفحة الاسترداد، العملية. وتخبر التجار أن أموالهم قد تكون موزعة عبر مئات أو حتى آلاف عناوين المحافظ لأن Commerce أنشأ عنوانًا جديدًا لكل عملية دفع تتلقاها. وذكر أن استيراد عبارة البذرة إلى محفظة قياسية قد لا يظهر الرصيد الكامل، حيث أن المحافظ القياسية عادةً تفحص أول 20 عنوانًا غير مستخدم. بالنسبة لبيتكوين والأصول المبنية على UTXO، كانت Coinbase توجه المستخدمين إلى أداة السحب قبل 31 مارس 2026.
كما توضح الوثائق كيفية استرجاع عبارة بذرة مخزنة على Google Drive، ثم إدخالها في أداة السحب. وهنا يقول الباحثون أن الخطر يكمن.
نشر الباحث الأمني im23pds على منصة X تفصيل المشكلة إلى قضيتين منفصلتين. أولاً، على الرغم من أن الرابط يأتي من نطاق رسمي ل Coinbase، فإن طلب إرسال عبارة البذرة للتحقق من الأصول يعد إهمالًا من أي معيار أمني. ثانيًا، الموقع يعاني من خريطة موقع غير سليمة. يمكن للمهاجمين استخدام أدوات مثل ResourcesSaver لتحميل كود الواجهة بالكامل ونشر نسخة مطابقة تقريبًا. ومع وجود نطاق مشابه، يصبح من الأسهل بكثير تنفيذ حملة تصيد ل Coinbase.
في منشور سابق، أشار im23pds على X إلى أن الصفحة بُنيت بشكل غير مسؤول، حيث أطلقها الفريق دون إعداد خريطة موقع. هذا الإهمال يجعل الصفحة أكثر عرضة للنسخ من قبل أي شخص يرغب في استنساخ هيكلها.
而且页面做的非常不讲究… sitemap 这种不设置就直接上线了:-)
👇 pic.twitter.com/wdzBOti5w8— 23pds (山哥) (@im23pds) March 19, 2026
المصدر: im23pds
الخطر الأساسي واضح. المهاجمون لا يحتاجون إلى اختراق أنظمة Coinbase. يكفي أن يوجهوا المستخدم إلى نسخة مزيفة من صفحة رسمية موجودة بالفعل تطلب عبارة البذرة. المستخدم، الذي يتوقع أن تكون الصفحة الحقيقية، يسلمها لهم.
هذه ليست نمطًا جديدًا للمنصة. لقد وثق ZachXBT سابقًا كيف يستغل المهاجمون علامة Coinbase التجارية في حملات الهندسة الاجتماعية، باستخدام انتحال الشخصية وقنوات دعم وهمية لتفريغ المحافظ. صفحة استرداد Coinbase Commerce، في هذه الحالة، تضع الأساس للمحتالين دون الحاجة إلى انتحال شخصية شيء معين.
لا تزال الصفحة نشطة. ولم ترد Coinbase علنًا على المخاوف المطروحة.