Die Kryptobörse Coinbase verlangt über einen ihrer Dienste Wallet-Seed-Phrasen von Nutzern, um Guthaben verschiedener Plattformen zusammenzuführen. Darauf wurde der Gründer des Blockchain-Sicherheitsunternehmens SlowMist Cosine aufmerksam gemacht.
Laut seinen Angaben bietet die Subdomain der Börse, withdraw.commerce.coinbase.com, einen Service an, mit dem Nutzer eine Seed-Phrase eingeben können, um Guthaben von der eingestellten Coinbase Commerce-Plattform auf andere Wallets, darunter Coinbase Wallet und MetaMask, oder auf externe Adressen zu übertragen. Die Screenshots zeigen außerdem, dass das System die Möglichkeit bietet, die Seed-Phrase aus Google Cloud Storage zu kopieren.
Der Experte wies darauf hin, dass diese Vorgehensweise das Risiko eines Datenlecks birgt. Er ging zunächst von einer Phishing-Seite aus, kam aber später zu dem Schluss, dass die Seite legitim war.
Der Blockchain-Forscher ZachXBT beteiligte sich an der Diskussion und wies darauf hin, dass diese Seite für Social-Engineering-Angriffe missbraucht werden könnte. Er glaubt, Angreifer könnten Nutzer dazu verleiten, Seed-Phrasen einzugeben und so Zugriff auf die Gelder zu erlangen.
Laut der Hilfedokumentation von Coinbase ist für die Zusammenführung der Wallets der Börse und von MetaMask die Eingabe einer Seed-Phrase erforderlich. Ohne diese ist die Zusammenführung der Guthaben nicht möglich.
Die Börse gab außerdem bekannt, dass Nutzer ihre Guthaben bis zum 31. März 2026 von Coinbase Commerce abheben müssen. Nach diesem Datum wird die Auszahlungsfunktion deaktiviert und der Zugriff auf die Guthaben kann verloren gehen.
In ihren Kommentaren analysierten Cybersicherheitsexperten den Code der Seite withdraw.commerce.coinbase.com und wiesen auf potenzielle Schwachstellen hin. Insbesondere bemängelten sie eine fehlerhafte Sitemap, die es ermöglichen könnte, die Benutzeroberfläche mithilfe von Tools wie ResourcesSaver zu fälschen und Phishing-Kopien der Ressource auf ähnlichen Domains zu erstellen.
Im Dezember 2024 erlitt Coinbase einen Datenverstoß, der im Mai 2025 bekannt wurde. Die Daten von rund 69.000 Nutzern wurden kompromittiert, die Kosten für die Bereinigung beliefen sich auf über 200 Millionen US-Dollar. Laut den Ermittlungen bestachen die Täter Mitarbeiter von TaskUs, einem Outsourcing-Unternehmen, das den Kundensupport für Coinbase bereitstellte.