Một tên miền phụ của Coinbase Commerce đã gây lo ngại về bảo mật sau khi được cho là đã hướng người dùng đến một trang rút tiền yêu cầu họ cung cấp cụm từ khôi phục (seed phrases). Thực hành này, được chuyên gia bảo mật blockchain Yu Xian cảnh báo, đã bị chỉ trích vì có thể làm bình thường hóa hành vi bị lợi dụng trong các vụ lừa đảo phishing. Coinbase đã thừa nhận vấn đề và đang tiến hành điều tra, nhưng chưa cung cấp thêm chi tiết. Trang này, được tham chiếu trong một hướng dẫn trợ giúp của Coinbase hiện đã bị gỡ bỏ, gợi ý người dùng có thể khôi phục tiền bằng cách nhập cụm từ khôi phục vào các ví như Coinbase Wallet hoặc MetaMask. Các nhà nghiên cứu bảo mật cảnh báo rằng những yêu cầu như vậy có thể bị các tác nhân đe dọa lợi dụng để thực hiện các cuộc tấn công kỹ thuật xã hội. Coinbase khuyên người dùng không nên nhập cụm từ khôi phục trên bất kỳ trang web nào và nhấn mạnh rằng họ không có quyền truy cập vào cụm từ khôi phục của người dùng.