보안 연구원들이 사용자가 12단어 시드 문구를 직접 입력해야 하는 활성화된 코인베이스 커머스(Coinbase Commerce) 페이지에 대해 경고를 제기했습니다.
슬로우미스트(SlowMist) 창립자인 이블코스(Evilcos)는 해당 페이지에 대해 직접 경고를 게시하며, 이는 안전하지 않은 관행이라고 밝혔습니다.
“저는 매우 당황스럽습니다. 코인베이스가 자산 복구를 위해 사용자의 니모닉 문구를 평문으로 직접 입력하도록 요구하는 페이지를 왜 운영하고 있는지 모르겠습니다. 이런 비안전적 관행은 믿기 어렵습니다. 저는 거의 해당 서브도메인이 해킹된 것이라고 생각했습니다.” – 이블코스, 슬로우미스트(SlowMist) 창립자
X에서 저희를 팔로우하세요 최신 뉴스를 가장 먼저 받아보실 수 있습니다
블록체인 조사관 잭스엑스비티(ZachXBT)도 이 문제에 대한 우려를 키웠습니다.
“결국 코인베이스는 공식적으로 운영되는 페이지를 통해 위협 행위자가 시드 문구를 이용한 SNS공학 기법으로 코인베이스 사용자를 노릴 수 있다는 것인가요?” – 잭스엑스비티(ZachXBT) 블록체인 조사관
참고로, SNS공학 사기는 범죄자가 시스템을 직접 해킹하지 않고 사람을 속여 민감한 정보를 제공하거나 보안을 위협하는 행동을 유도하는 공격 방식입니다. 범죄자는 기술적 방어선을 뚫는 대신 신뢰, 긴급함, 공포, 권위 등의 심리적 요인을 악용합니다.
코인베이스는 상업 서비스와 코인베이스 비즈니스를 통합하면서 사용자가 자금을 이동하도록 요구하고 있으며, 마감일은 2026년 3월 31일로 제시하고 있습니다. 두 가지 출금 옵션을 제공합니다. 첫 번째는 상업 출금 도구로, 여러 자금을 하나의 거래로 바꿔줍니다. 코인베이스에 따르면, 해당 도구는 사용자의 커머스 주소를 스캔하는 복잡한 절차를 처리합니다.
거래소는 이 방법이 권장된다고 강조했습니다. 다른 방법으로 사용자는 코인베이스 페이지에서 직접 시드 문구를 입력할 수도 있습니다.
“시드 문구가 있으시다면 코인베이스월렛 또는 메타마스크처럼 호환 가능한 월렛에 임포트할 수 있습니다.” 해당 블로그에 나와 있습니다. “많은 가맹점, 특히 비트코인이나 기타 UTXO기반 자산으로 결제 대금을 받은 분들은 2026년 3월 31일 전에 상업 출금 도구를 사용하는 것을 강력히 권장합니다.”
이 사안과 관련하여 코인베이스는 비인크립토(BeInCrypto)의 논평 요청에 즉각적인 답변을 하지 않았습니다.
