Coinbase Commerce -siemenlauseen nostosivu saa voimakasta kritiikkiä
Coinbase Commerce -siemenlauseen nostosivu saa voimakasta kritiikkiä turvallisuustutkijoilta, jotka varoittavat sen normalisoivan 12-sanaisten palautuslauseiden syöttämistä verkkosivustolle vain päiviä ennen maaliskuun 31. päivän sulkemisrajaa. Coinbase Commerceen kuuluva alidomain-sivu — yrityksen kaupallisten maksujen tuote — on saanut terävää kritiikkiä johtavilta lohkoketjuturvallisuustutkijoilta sen jälkeen, kun havaittiin, että se kehotti käyttäjiä syöttämään 12-sanaiset siemenlauseensa, tunnetaan myös nimellä mnemoniikka- tai palautuslauseet, suoraan verkkolomakkeeseen selkokielisenä.
Huolenaiheet ja kritiikki
Kiista puhkesi keskiviikkona ja voimistui torstaina aamulla, kun havainto tuli erityisen herkällä hetkellä: Coinbase lopettaa Commerce-toimintonsa kokonaan 31. maaliskuuta 2026 osana laajempaa alustan yhdistämistä Coinbase Businessin alle — mikä tarkoittaa, että kymmenet tuhannet kauppiaat ovat ahtaalla aikarajalla nostaa varansa.
Kyseinen sivu, joka sijaitsee osoitteessa withdraw.commerce.coinbase.com/seed-phrase, mainittiin nyt poistetuissa Coinbase Commerce -apudokumenteissa, jotka ohjasivat käyttäjiä palauttamaan varoja tuomalla palautuslauseensa yhteensopiviin lompakoihin, kuten Coinbase Wallet tai MetaMask.
SlowMistin perustaja Yu Xian (tunnetaan verkossa nimellä Cos) kuvasi käytäntöä ”uskomattomaksi turvallisuustietoisuuden puutteeksi” merkittävältä toimijalta, sillä hän oli saanut useita käyttäjäraportteja sivusta. On-chain-tutkija ZachXBT nosti itsenäisesti esiin sivun, varoittaen, että sen olemassaolo luo suoran hyökkäysalustan sosiaalisen manipuloinnin kampanjoille, jotka kohdistuvat Coinbase-käyttäjiin.
Riskejä ja seurauksia
Huolenaiheet ulottuvat sivua pidemmälle. SlowMistin tietoturvajohtaja, tunnettu nimellä 23pds, nosti hälytyksen esiin huomauttamalla, että sivun sivukartta sisältää rakenteellisia puutteita, jotka tekevät siitä triviaalin helpon pahantahtoisten toimijoiden kopioitavaksi. Käyttämällä työkaluja, kuten ResourcesSaver, hyökkääjät voivat ladata etupään koodin ja luoda visuaalisesti identtisiä kalastussivustoja — erityisen vaarallista, kun se yhdistetään Coinbasea muistuttaviin domaineihin, jotka voisivat uskottavasti huijata jopa kokeneita käyttäjiä.
Perusongelma on normalisoituminen. Jokainen laillinen turvallisuusprotokolla kryptovaluuttateollisuudessa perustuu yhteen, neuvoteltavissa olevaan periaatteeseen: siemenlausetta ei koskaan pitäisi syöttää mihinkään verkkosivustoon, lomakkeeseen tai sovellukseen missään olosuhteissa — ei edes viralliseen. Siemenlauseet ovat lompakon pääasiallisia kryptografisia avaimia; kuka tahansa, joka omistaa ne, omistaa varat.
Rakentamalla palautusprosessin, joka vaatii käyttäjiä kirjoittamaan lauseensa selaimeen, Coinbase on — olipa se tahallista tai huolimattomuudesta — kouluttanut käyttäjiä hyväksymään käyttäytymisen, jota huijarit säännöllisesti hyödyntävät.
Coinfomania huomautti, että työkalu jopa ehdottaa lauseiden kopioimista Google Drivesta välivaiheena, mikä lisää riskiä. ZachXBT:n varoitus on erityisen painava hänen aikaisemman kokemuksensa vuoksi. Tammikuussa 2026 hän paljasti Coinbase-tukipalvelun väärinkäytön, joka johti noin 2 miljoonan dollarin arvoisten kryptovaluuttojen varastamiseen — kaava, joka nojasi käyttäjien tottumukseen luottaa Coinbase-brändättyihin käyttöliittymiin.
Coinbase:n reaktiot ja tulevaisuus
Commerce-siemenlauseen sivu edustaa valmiiksi tehtyä mallia mahdolliselle suuremmalle hyökkäykselle. Torstaina Coinbase ei ollut julkisesti vastannut kritiikkiin, huolimatta useista kommenttipyynnöistä. Yritys on tarjonnut vaihtoehtoisia nostomenetelmiä — mukaan lukien erillinen kaupankäynnin nostotyökalu, jota tutkijat pitävät turvallisempana — mutta ei ole poistanut tai muokannut siemenlauseen sivua.
Kun Commerce on lopullisesti poistettu käytöstä vain kaksitoista päivää, paine pörssiä kohtaan toimia kasvaa nopeasti. Kryptoteollisuuden tunnetuimmalle julkisesti noteeratulle yritykselle maineen riskit massakalastustapahtumasta, jonka aiheuttaa sen oma siirtymistyökalu, eivät voisi olla korkeammat.
