코인베이스가 12단어 복구 구문을 평문으로 입력하도록 안내한 복구 도구를 보안 논란 이후 삭제했다고 전했다.
슬로우미스트와 ZachXBT 등은 공식 도메인 기반 설계가 피싱·사회공학에 악용될 수 있다며 시드 구문 보안 원칙과의 충돌을 지적했다고 밝혔다.
코인베이스, ‘복구 문구 입력’ 도구 삭제…시드 구문 보안 원칙 논란 재점화 / TokenPost.ai
코인베이스가 ‘복구 문구’ 입력을 요구하는 도구를 삭제했다. 온체인 조사자들이 보안 위험을 지적하면서, 플랫폼 설계가 기존 ‘시드 구문 보안 원칙’과 충돌할 수 있다는 논란이 다시 불거졌다.
코인베이스 복구 도구, 보안 논란 속 중단
이번 논란은 3월 18일 슬로우미스트 창업자 코스(Cos)가 문제를 제기하면서 시작됐다. 그는 코인베이스 도메인에 호스팅된 페이지가 사용자에게 ‘12단어 복구 구문’을 평문으로 입력하라고 요구하는 점을 지적했다. 해당 인터페이스는 구글 드라이브 백업에서 문구를 가져오라는 안내까지 포함하고 있었다.
온체인 조사자 잭엑스비티(ZachXBT) 역시 곧바로 문제를 제기했다. 그는 “공식 도메인에 있는 이 페이지가 공격자들의 ‘시드 구문 사회공학 공격’ 도구로 악용될 수 있다”고 경고했다. 실제로 공식 사이트라는 신뢰성이 피싱 설득력을 높일 수 있다는 점이 핵심 위험으로 꼽혔다.
슬로우미스트 연구원 23pds는 기술적 취약점도 지적했다. 해당 페이지는 사이트 구조가 부실해 ‘복제’가 쉬웠고, 유사 도메인을 활용한 피싱 공격에 악용될 가능성이 높다는 분석이다.