- Coinbase publicó una página de migración pidiendo a los usuarios que introdujeran frases semilla de cartera.
- Expertos en seguridad advierten que este enfoque podría permitir ataques de phishing e ingeniería social.
- Los críticos dicen que exponer frases semilla en línea supone riesgos serios para las carteras autocustodiadas.
Coinbase está recibiendo críticas por parte de la comunidad de seguridad tras publicar una página oficial que pide a los usuarios introducir sus frases semilla directamente en un formulario web. Los investigadores lo califican de peligroso, innecesario y de una plantilla lista para estafadores.
Qué está pasando
La página fue creada para ayudar a los comerciantes a migrar fondos mientras Coinbase fusiona su producto Commerce con Coinbase Business antes de la fecha límite del 31 de marzo. Los comerciantes que recibieron Bitcoin y otros pagos en criptomonedas a través de Commerce están siendo dirigidos a una herramienta de retiro en un subdominio de Coinbase, donde se les pide que introduzcan su frase semilla de 12 palabras para consolidar y mover sus fondos.
Para los usuarios que han hecho una copia de seguridad de su frase semilla en Google Drive, el proceso consiste en revelarla a través de la configuración del panel de Commerce e introducirla en la herramienta de retirada. Coinbase fue clara en que si los usuarios pierden su frase semilla, no puede recuperar fondos.
Por qué los investigadores de seguridad están alarmados
El investigador on-chain ZachXBT dijo: «¿Así que básicamente Coinbase tiene una página oficial que los actores amenazadores en vivo pueden usar para atacar a usuarios de Coinbase mediante ingeniería social de frases semilla si así lo desean?»
Un usuario comentó que le desconcertaba por qué Coinbase tenía una página pidiendo a los usuarios introducir sus frases mnemónicas en texto plano para la recuperación de activos, calificando la práctica de altamente insegura y diciendo que incluso sospechaban que el subdominio podría haber sido comprometido.
Relacionado: SBI ARUHI lanza el programa de recompensas XRP para inversores
El problema aquí es que una frase semilla es la información más sensible que posee un usuario de criptomonedas. Quien la tenga tiene acceso total e irreversible a la cartera. Una página oficial de Coinbase que normaliza la introducción de frases semilla en un formulario web ofrece a los delincuentes un modelo perfecto para ataques de phishing.
Los investigadores también afirmaron que la página se publicó sin medidas básicas de seguridad operativa, lo que sugiere que fue implementada sin una revisión de seguridad adecuada. Todo lo que un atacante necesita hacer es clonar la página, enviar correos electrónicos dirigiendo a los usuarios a una URL casi idéntica y recopilar frases semilla a gran escala.
Qué deberían hacer los usuarios
- Solo usa la herramienta de retirada mediante una URL tecleanda manualmente, nunca a través de un enlace de correo electrónico
- Nunca introduzcas tu frase semilla en ninguna página a la que se acceda mediante un enlace
- Contacta con [email protected] directamente si tienes alguna duda
- Verifica cada URL de forma independiente antes de introducir información sensible
Coinbase no ha respondido públicamente a las críticas en el momento de su publicación.
Relacionado: Bután vuelve a invertir 72 millones de dólares en bitcoin: ¿ha dejado de minar?
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
