Coinbase Commerce krijgt kritiek om pagina die seed phrase in platte tekst vraagt

Coinbase Commerce ligt onder vuur nadat beveiligingsonderzoekers een opvallende herstelpagina signaleren die gebruikers vraagt om hun seed phrase in platte tekst in te voeren. Op screenshots van de withdraw omgeving is te zien dat het platform bezoekers aanspoort om een 12 woorden tellende recovery phrase of private key te plakken om assets te herstellen. Volgens onderzoekers opent dat de deur voor phishing, social engineering en misbruik door aanvallers die deze pagina eenvoudig kunnen namaken.

Bitcoin is verkrijgbaar bij Bitvavo en Bybit.

Onderzoekers slaan alarm over herstelpagina

De discussie begint nadat SlowMist oprichter Cos op X een Coinbase Commerce pagina deelt waarop gebruikers hun geheime herstelzin moeten invoeren. De pagina verwijst zelfs naar een cloud backup en noemt Google Drive als plek om die gegevens op te halen. Dat zorgt meteen voor kritiek, omdat een seed phrase juist nooit in een normale webpagina ingevuld hoort te worden.

Cos noemt die werkwijze onveilig en zegt verbaasd te zijn dat Coinbase een dergelijke pagina live heeft staan. In zijn post schrijft hij dat hij in eerste instantie zelfs denkt dat de subdomeinnaam mogelijk is gekaapt. De betreffende pagina wordt genoemd in zijn bericht op X.

Ook Wu Blockchain pakt het onderwerp op en vat de kritiek samen. Volgens dat bericht waarschuwt SlowMist dat de withdraw pagina extreem onveilig gedrag vertoont doordat gebruikers worden gevraagd hun mnemonic phrase rechtstreeks in te voeren. Wu Blockchain verwijst daarnaast naar extra zorgen over misbruik door kwaadwillenden. De berichtgeving van Wu Blockchain staat in de X post die je bronmateriaal samenvat.

Phishingrisico groeit door kopieerbare interface

Blockchain onderzoeker ZachXBT gaat nog een stap verder. Hij stelt dat aanvallers deze Coinbase pagina kunnen gebruiken als referentie voor social engineering aanvallen. Zodra een echte dienst gebruikers leert dat het normaal is om een seed phrase in te vullen op een webformulier, wordt het veel makkelijker om slachtoffers naar een nagemaakte site te lokken.

Volgens SlowMist kunnen aanvallers bovendien frontend code downloaden met tools zoals ResourcesSaver en daar een vrijwel identieke phishingomgeving van maken. Dat maakt het risico extra groot, omdat slachtoffers dan niet alleen een bekende merknaam zien, maar ook een interface die sterk lijkt op de originele omgeving.

De screenshots laten intussen een withdraw omgeving zien waar meerdere assets verschijnen, waaronder Bitcoin, Litecoin, Dogecoin, Bitcoin Cash en Ethereum. Op de getoonde pagina staat bij de beschikbare saldi overal $0.00. Ook zijn 0 BTC, 0 LTC, 0 DOGE, 0 BCH en 0 ETH zichtbaar. Dat verandert niets aan de kern van de kritiek: beveiligingsexperts vinden het onacceptabel dat een centrale herstelstap om geheime walletgegevens vraagt via een gewone webinterface.

Waarom deze aanpak zoveel kritiek oproept

In de cryptosector geldt al jaren een simpele regel: wie de seed phrase bezit, heeft controle over de wallet. Daarom waarschuwen wallets, beurzen en securityonderzoekers gebruikers normaal gesproken om die woorden nooit te delen en nergens online in te vullen, behalve lokaal in een vertrouwde walletapp tijdens herstel. Juist daarom zorgt deze Coinbase Commerce pagina voor zoveel ongeloof. Meer over veilige crypto wallets en bescherming tegen crypto scams laat zien waarom dit zo gevoelig ligt.

Of Coinbase de pagina aanpast of van extra uitleg voorziet, zal waarschijnlijk snel duidelijk worden. Voor nu laat deze situatie vooral zien hoe gevaarlijk het is wanneer een grote naam gedrag normaliseert dat phishingaanvallers direct in hun voordeel kunnen gebruiken.

我很疑惑 Coinbase 为什么会有这样的页面，直接让用户输入明文助记词做资产恢复？如此不安全的行为，匪夷所思… @coinbase 我都差点以为子域名被黑了…cc @im23pds https://t.co/NsBd223xWY

— Cos(余弦)😶‍🌫️ (@evilcos) · March 19, 2026