SlowMist創業者が疑問視、平文のシードフレーズ入力を求めるCoinbaseページ
Coinbaseの旧Commerceウォレット停止に伴い、2026年3月31日の出金期限が設けられた一方、調査関係者は、公式の復旧フローがシードフレーズ入力を常態化させ、フィッシング手口を助長しかねないと警告している。
ファクトチェック
この主張は、PANewsの複数の報道(タイトルは「慢雾余弦质疑Coinbase要求用户输入明文助记词的页面:匪夷所思」および「慢雾CISO:Coinbase Commerce资产恢复页面站点地图也存缺陷,有钓鱼攻击风险」)によって直接裏付けられている。これらの報道は、SlowMist創業者の余弦氏とCISOの23pdsによる具体的なソーシャルメディア投稿を引用しており、Coinbase Commerceの資産復旧ページにおけるセキュリティ上の欠陥について詳述している。その内容には、平文のシードフレーズ入力を求める点や、フロントエンドコードの露出によってフィッシング攻撃に対して脆弱となる点が含まれる。
要約
Coinbase Commerceの復旧フローを巡る批判は、旧Commerceウォレットの移行計画の詳細が明らかになるにつれて拡大した。Coinbaseによると、Commerceウォレットに資金を保有するユーザーは、Commerceポータルと出金ツールにアクセスできなくなる2026年3月31日までに出金を完了する必要がある。また、ウォレットをGoogle Driveにバックアップした一部ユーザーには、12語のシードフレーズを表示し、Coinbaseの出金ツールを使うよう案内している。SlowMistの研究者とブロックチェーン調査員のZachXBTは、この公式ワークフローは詐欺で一般的に使われる手口をなぞっていると指摘した。特に、Coinbase自身のウォレットガイダンスが、ユーザーに対して復旧フレーズを他者と共有したり、いかなるウェブサイトにも貼り付けたりしないよう警告しているためである。懸念は、Coinbaseにソーシャルエンジニアリング被害の前歴があることで一段と強まっている。これには、海外のサポート担当者が買収され、詐欺に使われる顧客データが盗まれたとする2025年5月の開示や、少なくとも6,000人の顧客に影響したと以前開示された2021年の侵害が含まれる。
用語解説
- シードフレーズ: セルフカストディ型ウォレットを復元するために使う12語前後の復旧フレーズであり、このフレーズを持つ者は通常、そのウォレットの資金を管理できる。
- UTXOベース資産: ビットコインのように、未使用トランザクション出力モデルを採用する仮想通貨。ウォレット残高は口座残高ではなく、使用可能な出力から導かれる。
- フィッシング: 信頼されたブランドやサービスになりすまし、機密情報を明かさせたり資金を送らせたりする詐欺手法。