Coinbase yêu cầu người dùng làm theo bước “ngớ ngẩn” giống kẻ lừa đảo

Coinbase đang hướng một số người dùng Commerce sang quy trình khôi phục bằng seed phrase (cụm từ hạt giống) trước hạn chót di chuyển hệ thống vào ngày 31/3.

Động thái này nằm trong kế hoạch đóng cửa các ví Commerce đời cũ. Theo hướng dẫn chuyển đổi, người dùng còn số dư trong ví Commerce buộc phải rút tài sản trước ngày 31/3/2026, thời điểm cổng Commerce và công cụ rút tiền sẽ không còn truy cập được.

Với những người đã sao lưu ví lên Google Drive, Coinbase yêu cầu truy cập bảng điều khiển Commerce, vào phần Settings và Security để hiển thị cụm từ seed phrase gồm 12 từ, sau đó sử dụng công cụ rút tiền tại trang chính thức của nền tảng.

Coinbase nhấn mạnh quy trình này đặc biệt quan trọng với các merchant nhận Bitcoin hoặc các tài sản dựa trên mô hình UTXO, do số dư có thể khó hiển thị trên các ví tiêu chuẩn nếu không thực hiện đúng cách.

Seed phrase là “chìa khóa gốc” để khôi phục ví tự lưu ký. Theo tài liệu của Coinbase, đây là cụm 12 từ chỉ người dùng nắm giữ. Ai kiểm soát cụm từ này sẽ kiểm soát toàn bộ ví và tài sản bên trong. Nếu làm mất, người dùng có thể mất quyền truy cập vĩnh viễn; nếu bị lộ, tài sản có thể bị rút sạch.

Tuy nhiên, điểm gây tranh cãi nằm ở chính sự mâu thuẫn trong hướng dẫn. Coinbase từ lâu khuyến cáo người dùng không bao giờ chia sẻ seed phrase, khẳng định công ty sẽ không bao giờ yêu cầu cung cấp cụm từ này, và cảnh báo không dán nó vào bất kỳ trang web nào. Dù vậy, trong hướng dẫn chuyển đổi Commerce, một số người dùng lại được yêu cầu hiển thị seed phrase như một phần của quy trình khôi phục chính thức.

Công ty giải thích rằng ví Commerce là ví tự lưu ký, Coinbase không có quyền truy cập vào seed phrase hay tài sản, nên người dùng phải tự thực hiện khôi phục trước khi hệ thống đóng cửa.

Chuyên gia cảnh báo rủi ro phishing

Giới nghiên cứu bảo mật nhanh chóng lên tiếng cảnh báo về rủi ro từ quy trình này. Nhà sáng lập SlowMist, Yu Xian, cho biết ông bất ngờ khi Coinbase triển khai một trang yêu cầu nhập seed phrase dạng văn bản thuần để khôi phục tài sản, thậm chí ban đầu nghi ngờ subdomain có thể đã bị xâm nhập.

Chỉ trích tập trung vào việc: một thương hiệu chính thức, kết hợp với hạn chót gấp rút và quy trình liên quan seed phrase – đây chính là “mẫu hình” mà các cuộc tấn công phishing thường xuyên mô phỏng.

Giám đốc an ninh thông tin của SlowMist, 23pds, chỉ ra hai vấn đề chính. Thứ nhất, dù liên kết thuộc website chính thức của Coinbase, việc yêu cầu người dùng gửi seed phrase để xác minh tài sản là cực kỳ nguy hiểm. Thứ hai, cấu trúc trang web có thể bị sao chép dễ dàng, cho phép kẻ tấn công tạo ra các phiên bản giả mạo gần như giống hệt để lừa người dùng.

Nhà điều tra blockchain ZachXBT cũng đặt câu hỏi trực diện: liệu Coinbase có vô tình tạo ra một “mẫu chuẩn” để tin tặc lợi dụng trong các chiến dịch social engineering nhắm vào người dùng?

Những lo ngại này không phải vô căn cứ. Phishing và social engineering vẫn là một trong những phương thức tấn công hiệu quả nhất trong lĩnh vực tài sản số. Theo ZachXBT, người dùng Coinbase thiệt hại hơn 300 triệu USD mỗi năm do các hình thức lừa đảo kiểu này. <

there are two issues:
1. While the link is from the official Coinbase website, directly asking users to transmit their mnemonic phrase to verify assets is extremely foolish.

2. The website linked to has a flawed sitemap. Attackers could easily use tools like ResourcesSaver to…

— 23pds (山哥) (@im23pds) March 19, 2026

Lịch sử bảo mật khiến tranh cãi thêm căng thẳng

Tranh luận càng trở nên gay gắt khi xét đến các sự cố bảo mật trước đây của Coinbase. Vào tháng 5/2025, công ty thừa nhận tin tặc đã hối lộ một số nhân viên hỗ trợ ở nước ngoài để đánh cắp dữ liệu khách hàng phục vụ các cuộc tấn công social engineering. Dù chỉ dưới 1% người dùng giao dịch hàng tháng bị ảnh hưởng và không có private key bị lộ, sự cố vẫn làm dấy lên lo ngại lớn.

Trước đó, trong báo cáo thường niên 2024, Coinbase tiết lộ rằng năm 2021, ít nhất 6.000 khách hàng đã bị lộ thông tin đăng nhập và dữ liệu cá nhân, dẫn đến việc khai thác lỗ hổng trong quy trình khôi phục tài khoản. Công ty đã phải bồi thường khoảng 25,1 triệu USD cho các nạn nhân.

Chính bối cảnh này khiến bất kỳ quy trình chính thức nào yêu cầu người dùng thao tác với seed phrase trên web đều trở nên đặc biệt nhạy cảm. Các chuyên gia cảnh báo rằng việc “bình thường hóa” hành vi nhập seed phrase trên giao diện mang thương hiệu chính thống có thể vô tình tiếp tay cho các chiến dịch phishing và giả mạo trong tương lai.