Coinbase-side ba om nøkkel til krypto-lommeboken

En side på Coinbase Commerce-subdomenet withdraw.commerce.coinbase.com/seed-phrase ba brukere om å oppgi sin 12-ords gjenopprettingsfrase i et vanlig tekstfelt – i klartekst, direkte i nettleseren. Formålet var å hjelpe handlende med å ta ut midler under nedtrappingen av Coinbase Commerce-produktet, ifølge informasjon gjengitt av CryptoPotato.

Problemet: en seed-frase er den absolutte hovednøkkelen til en kryptolommebok. Den som sitter på frasen, har full kontroll over alle midler tilknyttet lommeboken.

Coinbase ba brukere taste inn seed-fraser – fjernet etter storm

Sikkerhetseksperter reagerte kraftig

Blokkkjede-etterforsker ZachXBT og SlowMist-grunnlegger Yu Xian (kjent som Cos), samt SlowMists sikkerhetssjef 23pds, tok alle til orde mot siden offentlig. Kritikken var todelt.

For det første mente forskerne at siden direkte motsa Coinbases egne sikkerhetsretningslinjer, som eksplisitt advarer brukere mot å dele eller lime inn gjenopprettingsfrasen i noen nettside – og understreker at Coinbase aldri vil be om den.

For det andre påpekte ZachXBT ifølge forskningsnotater at siden fungerte som en ferdig mal for sosial manipulasjon: svindlere kunne enkelt klone den og bruke den på lookalike-domener for å lure brukere. Forskerne fremhevet dessuten at siden manglet et korrekt nettstedskart (sitemap), noe som ytterligere senket terskelen for å lage troverdige kopier.

En seed-frase er hovednøkkelen til lommeboken – den som ber deg taste den inn på en nettside, ber i praksis om full tilgang til pengene dine.
Coinbase ba brukere taste inn seed-fraser – fjernet etter storm

Tidspresset gjorde situasjonen verre

Kontroveransen oppstod i en særlig sårbar periode. Titusenvis av Coinbase Commerce-handlende har kun frem til 31. mars 2026 på seg til å migrere midlene sine over til Coinbase Business. Det stramme tidsvinduet kan gjøre brukere mer tilbøyelige til å handle raskt – og dermed mindre kritiske til hva de faktisk gjør med sensitive opplysninger.

Tidspress og usikkerhet er to av svindlernes viktigste verktøy – kombinasjonen skapte en ideell angrepsflade.

Coinbase fjernet siden og beklager

I første omgang svarte ikke Coinbase på medias henvendelser. Selskapet bekreftet imidlertid overfor Cointelegraph at det aktuelle verktøyet tilhørte det eldre Commerce-produktet, og at det ble fjernet 20. mars 2026.

«Vi har fjernet verktøyet fra nettstedet vårt, og vi undersøker nå en oppdatert løsning for det lille antallet Commerce-handlendekontoer som fortsatt brukte det», uttalte en Coinbase-talsperson ifølge Cointelegraph. Selskapet la til at sikkerheten til kundene og deres midler er høyeste prioritet, og at alle midler forblir sikre.

Hva bør brukere gjøre nå?

Dersom du er Coinbase Commerce-handlende og ennå ikke har migrert midlene dine, er fristen 31. mars 2026. Sikkerhetseksperter anbefaler generelt at man aldri taster inn seed-frasen på noen nettside, uavhengig av om siden ser offisiell ut. Offisielle tjenester fra seriøse aktører vil i prinsippet aldri be om dette.

31. mars 2026
Frist for Commerce-migrering
20. mars 2026
Dato siden ble fjernet

Saken illustrerer at selv store, etablerte aktører kan innføre funksjonalitet som bryter med grunnleggende sikkerhetsregler – og understreker verdien av et aktivt sikkerhetsmiljø som tør å si ifra.