Coinbaseがユーザーに対し、詐欺師がウォレットから資金を引き出すために使用するのと同じ「愚かな」手順に従うよう指示

バイナンスは、3月31日の移行期限を前に、一部のCommerceユーザーにシードフレーズ回復フローへの誘導を行っています。

この問題は、バイナンスのレガシーCommerceウォレット廃止計画に含まれています。移行ガイドでは、バイナンスは、Commerceウォレットに資金を持つユーザーは、2026年3月31日までに出金する必要があると述べています。この日以降、Commerceポータルと出金ツールはアクセス不可能になります。

Google Driveにウォレットをバックアップしたユーザーに対して、バイナンスは、Commerceダッシュボードにアクセスし、セキュリティー設定を開き、12語のシードフレーズを表示し、withdraw.commerce.coinbase.comの出金ツールを使用するよう指示しています。

バイナンスは、このプロセスは、ビットコインまたはその他のUTXOベースの資産を受け取った加盟店にとって特に重要であると述べています。そうしないと、標準的なウォレットで残高を表示することが困難になる可能性があるためです。

シードフレーズは、自己管理ウォレットのマスター回復キーです。バイナンス独自のウォレットドキュメントでは、ユーザーのみがアクセスできる12語の回復フレーズと説明されています。

そのフレーズをコントロールする者が、ウォレットとその資金へのアクセスをコントロールします。それを失えば、資金へのアクセスが失われる可能性があります。それを公開すれば、ウォレット内の資金が流出する可能性があります。

ここに矛盾が見過ごせなくなります。バイナンスのウォレットガイダンスは、ユーザーに回復フレーズを決して共有しないよう指示し、同社は決してそれを求めることはないと述べ、さらに別の警告を追加しています：「決してウェブサイトに貼り付けないでください。」

しかし、Commerce移行ガイドは、一部のユーザーに対して、バイナンス公式がホストする回復パスの一部として同じフレーズを明らかにするよう指示しています。

同社の説明によると、Commerceウォレットは自己管理型であり、バイナンスはフレーズや資金にアクセスできないため、廃止前の回復はユーザーの責任となります。

セキュリティー研究者はフィッシングテンプレートを見る

それにもかかわらず、このバイナンスの要求は多くのセキュリティー専門家の警鐘を鳴らし、プラットフォームがそのページでユーザーに受け入れさせようとする行動を批判しています。

ブロックチェーンセキュリティー企業SlowMistの創設者Yu Xianは、バイナンスが資産回収のためにユーザーにニーモニックフレーズを平文で入力させるページをホストしていることに困惑したと述べ、この方法は非常に安全ではないため、最初はサブドメインがハッキングされたのではないかと疑ったと述べました。

この警告は、ページに関する核心的な批判を鋭くしました：公式ブランド、緊急の期限、そしてシードフレーズワークフローが組み合わさることで、攻撃者が定期的に模倣する形式になります。

一方、SlowMistの最高情報セキュリティー責任者23pdsは、Xでこのフローには「2つの問題」があると書きました。まず、彼は述べました：

第二に、彼は、サイトには欠陥のあるサイトマップがあり、攻撃者がフロントエンドをコピーし、類似したドメインにほぼクローンを展開できる可能性があると指摘し、すでにバイナンス版を信頼するように準備されているユーザーに対して強力なフィッシングの誘惑を作り出すと述べました。

さらに、ブロックチェーン調査員ZachXBTは、その点をさらに直接的に強調しました。Xへの投稿で、彼は書きました：

フィッシングとソーシャルエンジニアリング詐欺が暗号資産業界に対する最も強力な攻撃ベクトルの1つであり続けていることを考えると、彼らの懸念は驚くべきことではありません。

昨年、ZachXBTは、バイナンスユーザーがソーシャルエンジニアリング詐欺により年間3億ドル以上を失っていることを明らかにしました。

これは、Commerceフローがなぜそれほど強い反応を引き起こしたのかを捉えています。セキュリティーチームは、シードフレーズに関わるあらゆる要求が詐欺の始まりであるとユーザーに何年も教えてきました。

しかし、バイナンス所有のページが同じフレーズを処理することで、ユーザーが頼るように教えられてきた視覚的および行動的な手がかりを変える可能性があります。

バイナンスの侵害履歴が議論に影を落とす

一方、セキュリティーの議論は、バイナンスがすでに過去のソーシャルエンジニアリングインシデントの余波に対処しているため、より深刻になっています。

2025年5月、バイナンスは、サイバー犯罪者が海外のサポートエージェントのグループに賄賂を贈り、ソーシャルエンジニアリング攻撃のために顧客データを盗んだと報告しました。

Brian Armstrongが率いる取引所は、攻撃者が月間取引ユーザーの1%未満のアカウントデータを取得し、それを使用してプラットフォームからのものと偽って連絡できる顧客のリストを編集したと述べました。

同社は、秘密鍵は公開されておらず、攻撃者に資金を送るようだまされた顧客に返金することを約束したと述べました。

それ以外にも、同社には以前の侵害記録もあります。

バイナンスは2024年の年次報告書で、2021年に第三者が少なくとも6,000人の顧客のログイン認証情報と個人情報を取得し、それらの詳細を使用してアカウント回復プロセスの脆弱性を悪用したと述べました。同社は、影響を受けた顧客に約2,510万ドルを返金したと述べました。

その履歴は、ユーザーにライブウェブページでシードフレーズを処理するよう求める公式ワークフローに関して、リスクを高めています。

セキュリティー研究者は、シードフレーズの入力を正常化するそのようなブランド化されたインターフェースが、業界で最も効果的な攻撃方法の1つであり続けているフィッシングおよびなりすまし攻撃をさらに促進すると警告しています。

投稿「バイナンスは、ユーザーに詐欺師がウォレットから資金を出金するのと同じ『愚かな』ステップに従うよう指示」は、CryptoSlateに最初に掲載されました。