- Coinbase menerbitkan halaman migrasi yang meminta pengguna untuk memasukkan frasa benih dompet.
- Pakar keamanan memperingatkan pendekatan tersebut dapat memungkinkan serangan phishing dan rekayasa sosial.
- Kritikus mengatakan mengekspos frasa benih secara online menciptakan risiko serius bagi dompet kustodian sendiri.
Coinbase menghadapi kritik dari komunitas keamanan setelah menerbitkan halaman resmi yang meminta pengguna untuk memasukkan seed phrase mereka langsung ke dalam formulir web. Para peneliti menyebutnya berbahaya, tidak perlu, dan templat siap pakai untuk penipu.
Apa yang Terjadi
Halaman ini dibuat untuk membantu pedagang memigrasikan dana saat Coinbase menggabungkan produk Commerce-nya dengan Coinbase Business sebelum batas waktu 31 Maret. Pedagang yang menerima Bitcoin dan pembayaran kripto lainnya melalui Commerce diarahkan ke alat penarikan di subdomain Coinbase di mana mereka diminta untuk memasukkan frasa benih 12 kata mereka untuk mengkonsolidasikan dan memindahkan dana mereka.
Untuk pengguna yang mencadangkan seed phrase mereka ke Google Drive, prosesnya melibatkan mengungkapkannya melalui pengaturan dasbor Commerce mereka dan memasukkannya ke dalam alat penarikan. Coinbase jelas bahwa jika pengguna kehilangan seed phrase mereka, ia tidak dapat memulihkan dana.
Mengapa Peneliti Keamanan Khawatir
Penyelidik on-chain ZachXBT mengatakan, “Jadi pada dasarnya Coinbase memiliki halaman resmi yang dapat digunakan pelaku ancaman langsung untuk menargetkan pengguna Coinbase melalui rekayasa sosial frasa benih jika mereka mau?”
Seorang pengguna berkomentar bahwa mereka bingung mengapa Coinbase akan memiliki halaman yang meminta pengguna untuk memasukkan frasa mnemonik teks biasa mereka untuk pemulihan aset, menyebut praktik tersebut sangat tidak aman dan mengatakan mereka bahkan mencurigai subdomain mungkin telah disusupi.
Terkait: SBI ARUHI Meluncurkan Program Hadiah XRP untuk Investor
Masalahnya di sini adalah bahwa seed phrase adalah satu-satunya informasi paling sensitif yang dimiliki pengguna kripto. Siapa pun yang memilikinya memiliki akses lengkap dan tidak dapat diubah ke dompet. Halaman Coinbase yang terlihat resmi yang menormalkan memasukkan frasa benih ke dalam formulir web memberi penjahat cetak biru yang sempurna untuk serangan phishing.
Para peneliti juga mengatakan halaman itu diterbitkan tanpa langkah-langkah keamanan operasional dasar, menunjukkan bahwa halaman itu digunakan tanpa tinjauan keamanan yang tepat. Yang perlu dilakukan penyerang hanyalah mengkloning halaman, mengirim email yang mengarahkan pengguna ke URL yang hampir identik, dan mengumpulkan frasa benih dalam skala besar.
Apa yang Harus Dilakukan Pengguna
- Hanya gunakan alat penarikan melalui URL yang diketik secara manual, tidak pernah melalui tautan email
- Jangan pernah memasukkan seed phrase Anda di halaman mana pun yang dijangkau melalui tautan
- Hubungi [email protected] secara langsung jika Anda memiliki masalah
- Verifikasi setiap URL secara independen sebelum memasukkan informasi sensitif
Coinbase belum secara terbuka menanggapi kritik tersebut pada saat publikasi.
Terkait: Bhutan Membuang $72 Juta dalam Bitcoin Lagi: Apakah Itu Berhenti Menambang?
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
