- Coinbase a publié une page de migration demandant aux utilisateurs d’entrer des phrases de départ de portefeuille.
- Les experts en sécurité avertissent que cette approche pourrait permettre le phishing et les attaques d’ingénierie sociale.
- Les critiques affirment que la révélation des phrases de départ en ligne crée de sérieux risques pour les portefeuilles auto-détenteurs.
Coinbase fait face à des critiques de la part de la communauté de la sécurité après avoir publié une page officielle demandant aux utilisateurs d’entrer directement leurs phrases de départ dans un formulaire web. Les chercheurs qualifient cela de dangereux, d’inutile et de modèle prêt à l’emploi pour les escrocs.
Que se passe-t-il
La page a été créée pour aider les commerçants à migrer des fonds alors que Coinbase fusionne son produit Commerce avec Coinbase Business avant la date limite du 31 mars. Les commerçants ayant reçu des paiements en Bitcoin et autres cryptomonnaies via Commerce sont dirigés vers un outil de retrait dans un sous-domaine Coinbase où ils doivent entrer leur phrase de départ de 12 mots pour consolider et transférer leurs fonds.
Pour les utilisateurs qui ont sauvegardé leur phrase de départ sur Google Drive, le processus consiste à la révéler via les paramètres du tableau de bord Commerce et à la saisir dans l’outil de retrait. Coinbase a clairement indiqué que si les utilisateurs perdaient leur phrase de départ, ils ne pouvaient pas récupérer les fonds.
Pourquoi les chercheurs en sécurité sont alarmés
L’enquêteur on-chain ZachXBT a déclaré : « Donc, en gros, Coinbase a une page officielle que les acteurs de menaces en direct peuvent utiliser pour cibler les utilisateurs de Coinbase via l’ingénierie sociale par phrase de départ s’ils le souhaitent ? »
Un utilisateur a commenté qu’il était perplexe quant à la raison pour laquelle Coinbase aurait une page demandant aux utilisateurs d’entrer leurs phrases mnémotechniques en clair pour la récupération d’actifs, qualifiant cette pratique de très peu sécurisée et affirmant qu’ils soupçonnaient même que le sous-domaine aurait pu être compromis.
À lire aussi : SBI ARUHI lance le programme de récompenses XRP pour les investisseurs
Le problème ici est qu’une phrase de départ est l’information la plus sensible qu’un utilisateur de crypto possède. Celui qui le possède a un accès complet et irréversible au portefeuille. Une page Coinbase à l’apparence officielle qui normalise la saisie de phrases de départ dans un formulaire web offre aux criminels un plan parfait pour les attaques de phishing.
Les chercheurs ont également indiqué que la page avait été publiée sans mesures de sécurité opérationnelles de base, suggérant qu’elle avait été déployée sans un examen de sécurité approprié. Tout ce qu’un attaquant a à faire est de cloner la page, d’envoyer des emails dirigeant les utilisateurs vers une URL presque identique, et de collecter des phrases de départ à grande échelle.
Ce que les utilisateurs devraient faire
- N’utilisez l’outil de retrait que via une URL saisie manuellement, jamais via un lien d’e-mail
- Ne saisissez jamais votre phrase de départ sur une page accessible via un lien
- [email protected] directement si vous avez des préoccupations
- Vérifiez chaque URL de manière indépendante avant d’entrer des informations sensibles
Coinbase n’a pas répondu publiquement à ces critiques au moment de la publication.
En lien : Le Bhoutan verse à nouveau 72 millions de dollars en Bitcoin : a-t-il cessé de miner ?
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
