セキュリティ研究者が、ユーザーに12語のシードフレーズの直接入力を求めるCoinbase Commerceのアクティブなページについて警鐘を鳴らしている。
SlowMistの創設者であり「Evilcos」の名で知られる人物が、このページについて直接的な警告を投稿し、非常に危険な行為であると指摘した。
「なぜCoinbaseがユーザーに資産の回復を目的として、ニーモニックフレーズを平文で直接入力させるようなページを用意しているのか非常に困惑している。このような危険な実装は本当に信じがたい…サブドメインがハッキングされたと一瞬思ってしまった」と同氏は述べている。
Xで最新ニュースをチェック 今起きている出来事をリアルタイムでお届け
ブロックチェーン調査員のZachXBTもこの懸念を拡散した。
「つまりCoinbaseには公式ページが存在し、脅威アクターがソーシャルエンジニアリングによってCoinbaseユーザーをシードフレーズで標的にできる状態なのか?」と同氏は発言している。
参考までに説明すると、ソーシャルエンジニアリング詐欺とは、犯罪者が人間の心理(信頼、緊急性、不安、権威)を悪用し、重要情報を引き出したり、セキュリティを損なう行動を取らせる攻撃手法。技術的な防御を突破するのではなく、主に人間の心を突く手法である。
CoinbaseはCommerceとCoinbase Businessの統合に伴い、ユーザーに資金移動を求めている。期限は2026年3月31日まで。資金の引き出し方法は2種類。1つ目は、複数アドレスの資金を1回の取引でまとめて移す商用向けの引き出しツール。このツールは、ユーザーのCommerceアドレスを自動的にスキャンし、複雑な手続きを処理する仕組みだとCoinbaseは説明する。
同取引所は、この方法が推奨されていると強調した。一方で、ユーザーがCoinbaseのページで直接シードフレーズを入力する選択肢も提示する。
「シードフレーズをお持ちの場合は、Coinbase WalletやMetaMaskなどの互換ウォレットにインポートできます」と公式ブログは記載。「特にビットコインその他UTXOベースの資産で決済を受け取った加盟店は、2026年3月31日以前にコマース引き出しツールのご利用を強く推奨します」としている。
この件に関するBeInCryptoのコメント要請に、Coinbaseは即時回答しなかった。
