Sicherheitsexperten kritisieren Coinbase wegen „äußerst fahrlässiger“ Phishing-Angriffe

Eine Seite auf einer offiziellen Coinbase-Subdomain, die Benutzer auffordert, ihre Wiederherstellungsphrasen im Klartext einzugeben, um Krypto-Assets wiederherzustellen, wurde von Blockchain-Sicherheitsexperten gemeldet. 

Ihr Hauptkritikpunkt an der Gestaltung der Coinbase-Seite ist, dass sie die Nutzer dem Risiko aussetzt, klassischen Social-Engineering-Angriffen ausgesetzt zu sein, und dass diese Gefahr möglicherweise bereits in den Händen von Kriminellen liegt.

Die Seite wurde im Rahmen der Abwicklung von Coinbase Commerce vor dem Stichtag am 31. März veröffentlicht.

Coinbase erntet Kritik für das Aussetzen von Kunden an Phishing-Bedrohungen

Eine Coinbase-Seite wurde am 19. März 2026 von Yu Xian, online bekannt als Evilcos, dem Gründer des Blockchain-Sicherheitsunternehmens SlowMist, öffentlich gemeldet. 

Xian schrieb auf X und teilte dazu Screenshots: „Ich bin wirklich ratlos, warum Coinbase eine solche Seite hat, auf der Nutzer direkt aufgefordert werden, ihre Wiederherstellungsphrasen im Klartext einzugeben? Eine so unsichere Vorgehensweise ist einfach unglaublich… Ich dachte schon, die Subdomain sei gehackt worden.“

Der Alarm kommt zudem zu einem heiklen Zeitpunkt für Coinbase und einige seiner Nutzer, da sich die Handelsplattform in den letzten Wochen einer Abschaltung befindet, was Tausende von Händlern dazu zwingt, dringend ihre Gelder zurückzuerhalten. 

Genau diese Art von Termindruck verleitet Benutzer dazu, übereilt und unachtsam bei der Eingabe ihrerdentvorzugehen. 

Es besteht auch die Möglichkeit für Benutzer, die in Cloud-Speicherdiensten wie Google Drive gespeicherten Phrasen zu kopieren.

In der Hilfedokumentation von Coinbase heißt es, dass das Unternehmen niemals nach der Wiederherstellungsphrase eines Benutzers fragen oder Zugriff darauf haben wird – ein Prinzip, dem die Commerce-Seite direkt zu widersprechen scheint.

Wie könnten Angreifer dies ausnutzen?

Die Bedenken der Forscher gehen über die Frage hinaus, was Coinbase selbst mit den Daten anstellen könnte. Das Design der Seite, so argumentieren sie, liefere eine Blaupause für Betrug. 

23pds, Chief Information Security Officer bei SlowMist, erklärte: „Obwohl der Link von der offiziellen Coinbase-Website stammt, ist es äußerst unklug, Benutzer direkt aufzufordern, ihre Wiederherstellungsphrase zur Verifizierung ihrer Vermögenswerte zu übermitteln.“

23pds fügte außerdem hinzu, dass ein weiteres Problem der Seite darin bestehe, dass „die verlinkte Website eine fehlerhafte Sitemap aufweist. Angreifer könnten mithilfe von Tools wie ResourcesSaver problemlos den Frontend-Code herunterladen und eine ähnliche Website bereitstellen. In Kombination mit einer ähnlichen Domain wie Coinbase für Phishing-Angriffe könnten Nutzer leicht auf den Betrug hereinfallen.“

Der On-Chain-Ermittler ZachXBT, der Kryptodiebstähle in Höhe von Hunderten Millionen Dollar im Zusammenhang mit Social Engineering dokumentiert hat, äußerte sich in seiner Einschätzung unmissverständlich. 

„Coinbase hat also im Grunde eine offizielle Webseite online, die Angreifer nutzen können, um Coinbase-Nutzer per Social Engineering mit Seed-Phrase anzugreifen?“, schrieb er. In einem weiteren Kommentar fügte er hinzu: „Hoffentlich behebt das Team das Problem so schnell wie möglich und entfernt es.“

Zum Zeitpunkt der Veröffentlichung hatte Coinbase weder eine Stellungnahme zu dem Thema abgegeben noch die Seite entfernt.

Wurde Coinbase oder seine Nutzer schon einmal ausgenutzt?

Coinbase wurde in der Vergangenheit wegen seines Umgangs mit Social-Engineering-Angriffen auf seine Kunden kritisiert. 

Im Februar 2025 berichtete ZachXBT, dass Nutzer innerhalb von nur zwei Monaten über 65 Millionen US-Dollar durch solche Angriffe verloren hatten – ein Teil dessen, was er auf einen jährlichen Schaden von 300 Millionen US-Dollar schätzte. Der ErmittlerdentMuster, bei denen Betrüger sich als Mitarbeiter des Coinbase-Supports ausgaben und geklonte Admin-Panels nutzten, um Angriffe in Echtzeit zu automatisieren.

Einige Monate später, im Mai 2025, kam es zu einem Datenleck , bei dem die persönlichen Daten eines Teils der Nutzer offengelegt wurden. Coinbase bestätigte, dass das Leck durch Bestechung ausländischer Supportmitarbeiter durch Kriminelle verursacht wurde. 

Das Unternehmen kündigte den beteiligten Mitarbeitern, informierte die Aufsichtsbehörden und bot den betroffenen Nutzern ein Jahr lang Bonitätsüberwachung an. Zudem stellte es zwischen 180 und 400 Millionen US-Dollar für Sanierungskosten und freiwillige Kundenerstattungen bereit und setzte eine Belohnung von 20 Millionen US-Dollar für Hinweise aus, die zur Festnahme der Täter führen. 

Die aktuelle Commerce-Seite könnte für böswillige Akteure derzeit als leichte Beute angesehen werden, und die jüngste Warnung von Evilcos sollte die Börse dazu veranlassen, dringend Maßnahmen zu ergreifen, um künftige Ausnutzungen zu verhindern.