Coinbase Commerce种子短语页面引发安全社区担忧，3月31日关停前风险加剧

争议背景：Coinbase Commerce要求用户输入种子短语

Coinbase Commerce的子域名页面（位于withdraw.commerce.coinbase.com/seed-phrase）因要求商户在纯文本网页表单中输入12个单词的种子短语以恢复资金，引发了区块链安全研究人员的强烈批评。这一争议在周三爆发，并于周四早晨进一步升级。尤其值得关注的是，Coinbase计划在2026年3月31日前完全关停Commerce服务，并将其整合到Coinbase Business平台中，这意味着数万名商户必须在有限的时间内提取资金。

安全专家的警告：钓鱼攻击的潜在模板

SlowMist创始人余弦（网名Cos）指出，这一页面表现出“令人难以置信的安全意识缺失”，尤其是在收到多名用户对该页面的反馈后。链上调查员ZachXBT也独立标记了该页面，警告其存在为社交工程攻击提供直接攻击面的风险。此外，SlowMist的首席信息安全官23pds进一步指出，该页面的站点地图存在结构缺陷，使得恶意行为者可以轻松复制前端代码并部署外观完全相同的钓鱼网站，这与模仿Coinbase的域名结合使用时尤为危险。

行业原则被打破：种子短语输入的正常化风险

加密货币行业的每一条合法安全协议都建立在一个不可妥协的原则之上：种子短语绝不能在任何情况下输入到任何网站、表单或应用程序中——即使是官方页面也不例外。种子短语是钱包的主密钥，拥有它的人即拥有资金的控制权。通过构建需要用户在浏览器中输入种子短语的恢复流程，Coinbase无意间训练用户接受了一种常被诈骗者利用的行为模式。更糟糕的是，该工具甚至建议用户从Google Drive复制种子短语作为中间步骤，进一步增加了风险。

历史教训：Coinbase相关骗局的警示

ZachXBT的警告尤为重要，因为他曾在2026年1月揭露了一起冒充Coinbase支持团队的骗局，导致约200万美元的加密货币被盗。这一骗局依赖于用户对Coinbase品牌界面的信任。而此次Commerce种子短语页面的存在，为潜在更大规模的后续攻击提供了现成的模板。

Coinbase尚未回应，时间紧迫

截至周四，尽管多次请求评论，Coinbase仍未公开回应这些批评。该公司提供了其他被认为更安全的提款方法，但并未移除或修改种子短语页面。距离Commerce永久关闭仅剩12天，交易所面临的压力正在迅速增加。对于加密行业中最著名的上市公司而言，由其自身迁移工具引发的大规模钓鱼事件可能带来的声誉风险不言而喻。