Chuyên gia an ninh cảnh báo trang subdomain chính thức của Coinbase yêu cầu nhập seed phrase, tạo khuôn mẫu tấn công phishing nhắm vào hàng nghìn thương nhân đang rút tài sản gấp.
Một trang trên subdomain chính thức của Coinbase đã bị các nhà nghiên cứu an ninh blockchain công khai cảnh báo vào ngày 19 tháng 3 sau khi phát hiện trang này yêu cầu người dùng nhập cụm từ khôi phục dưới dạng văn bản thuần, một thực hành đi ngược lại nguyên tắc bảo mật cơ bản mà chính Coinbase tuyên bố trong tài liệu hỗ trợ của mình, rằng công ty sẽ không bao giờ yêu cầu hoặc có quyền truy cập vào seed phrase của người dùng.
Trang này được triển khai trong khuôn khổ quá trình đóng cửa của Coinbase Commerce trước thời hạn ngày 31 tháng 3, buộc hàng nghìn thương nhân phải nhanh chóng thu hồi tài sản, áp lực về thời hạn khiến người dùng dễ hành động vội vàng và kém thận trọng hơn với thông tin nhạy cảm.
Yu Xian, nhà sáng lập công ty an ninh blockchain SlowMist, là người đầu tiên đăng cảnh báo công khai kèm ảnh chụp màn hình trên nền tảng X, bày tỏ sự khó hiểu và cho biết ban đầu ông nghĩ subdomain này đã bị tấn công chiếm quyền kiểm soát.
23pds, Giám đốc An ninh Thông tin tại SlowMist, chỉ ra một rủi ro mang tính hệ thống sâu hơn: sơ đồ trang của website có lỗ hổng cho phép kẻ tấn công dễ dàng tải xuống toàn bộ mã giao diện và tái tạo một trang giả mạo hoàn toàn tương tự. Kết hợp với tên miền có nét tương đồng với Coinbase, một chiến dịch phishing nhắm vào người dùng đang hối hả rút tài sản có thể được triển khai với chi phí và kỹ thuật tối thiểu.
Khuôn mẫu tấn công đã được thiết lập sẵn
Nhà điều tra on-chain ZachXBT, người đã ghi nhận hàng trăm triệu USD bị đánh cắp thông qua các hình thức kỹ nghệ xã hội, đặt câu hỏi trực tiếp: về cơ bản, Coinbase đang duy trì một trang chính thức mà các tác nhân đe dọa có thể sử dụng để nhắm mục tiêu người dùng thông qua các cuộc tấn công liên quan đến seed phrase.
Tại thời điểm bài viết này đăng tải, Coinbase chưa đưa ra tuyên bố nào về vấn đề này hoặc gỡ bỏ trang liên quan. Ngoài ra, trang cũng cung cấp tuỳ chọn cho phép người dùng sao chép cụm từ khôi phục đã lưu trên các dịch vụ đám mây như Google Drive — một lớp rủi ro bổ sung đối với những ai từng lưu trữ thông tin nhạy cảm trên nền tảng bên thứ ba.
Sự cố này không xảy ra trong chân không. Tháng 2 năm 2025, ZachXBT báo cáo người dùng Coinbase đã mất hơn 65 triệu USD chỉ trong hai tháng do các cuộc tấn công kỹ nghệ xã hội, trong tổng thiệt hại ước tính khoảng 300 triệu USD mỗi năm, với mô hình tấn công phổ biến là kẻ gian giả mạo nhân viên hỗ trợ và sử dụng bảng điều khiển quản trị giả lập để tự động hoá tấn công theo thời gian thực.
Ba tháng sau, một vụ rò rỉ dữ liệu xảy ra khi các đối tượng tội phạm hối lộ nhân viên hỗ trợ ở nước ngoài, khiến Coinbase phải dành từ 180 triệu đến 400 triệu USD để xử lý hậu quả, đồng thời công bố phần thưởng 20 triệu USD cho thông tin dẫn đến việc bắt giữ các đối tượng liên quan.
Với tiền lệ đó, việc một trang chính thức của Coinbase tạo ra khuôn mẫu tấn công sẵn có cho phishing seed phrase, đúng vào thời điểm người dùng Commerce đang chịu áp lực thời hạn, đặt ra câu hỏi nghiêm túc về quy trình kiểm soát bảo mật nội bộ trước khi các tính năng được triển khai ra công chúng.
