- A Coinbase publicou uma página de migração pedindo aos usuários que inserissem frases-semente da carteira.
- Especialistas em segurança alertam que essa abordagem pode permitir ataques de phishing e engenharia social.
- Críticos dizem que expor frases-semente online cria riscos sérios para carteiras auto-custodiadas.
A Coinbase está enfrentando críticas da comunidade de segurança após publicar uma página oficial que pede aos usuários que insiram suas frases seed diretamente em um formulário web. Pesquisadores estão chamando de perigoso, desnecessário e de um modelo pronto para golpistas.
O que está acontecendo
A página foi criada para ajudar os comerciantes a migrar fundos enquanto a Coinbase integra seu produto Commerce com o Coinbase Business antes do prazo de 31 de março. Comerciantes que receberam Bitcoin e outros pagamentos em criptomoedas pelo Commerce estão sendo direcionados a uma ferramenta de saque em um subdomínio da Coinbase, onde são solicitados a inserir sua frase-semente de 12 palavras para consolidar e transferir seus fundos.
Para usuários que fizeram backup da frase-semente no Google Drive, o processo envolve revelá-la pelas configurações do painel do Commerce e inseri-la na ferramenta de saque. A Coinbase foi clara ao dizer que, se os usuários perderem sua frase semente, não poderá recuperar fundos.
Por que pesquisadores de segurança estão alarmados
O investigador on-chain ZachXBT disse: “Então, basicamente, a Coinbase tem uma página oficial que atores de ameaças ao vivo podem usar para mirar usuários da Coinbase via engenharia social de frases semente se quiserem?”
Um usuário comentou que ficou intrigado com o motivo pelo qual a Coinbase teria uma página pedindo aos usuários que inserissem suas frases mnemônicas em texto simples para recuperação de ativos, chamando a prática de altamente insegura e dizendo que até suspeitavam que o subdomínio poderia ter sido comprometido.
Relacionado: SBI ARUHI lança o Programa de Recompensas XRP para Investidores
O problema aqui é que uma frase-semente é a informação mais sensível que um usuário de cripto possui. Quem a possui tem acesso completo e irreversível à carteira. Uma página oficial da Coinbase que normaliza a inserção de frases-seed em um formulário web oferece aos criminosos um plano perfeito para ataques de phishing.
Pesquisadores também disseram que a página foi publicada sem medidas básicas de segurança operacional, sugerindo que foi implantada sem uma revisão de segurança adequada. Tudo o que um atacante precisa fazer é clonar a página, enviar e-mails direcionando os usuários para uma URL quase idêntica e coletar frases-semente em grande escala.
O que os usuários devem fazer
- Use a ferramenta de saque apenas por meio de uma URL digitada manualmente, nunca por um link de e-mail
- Nunca insira sua frase-semente em qualquer página acessada por meio de um link
- Entre em contato diretamente com [email protected] se tiver alguma dúvida
- Verifique cada URL de forma independente antes de inserir informações sensíveis
A Coinbase não respondeu publicamente às críticas no momento da publicação.
Relacionado: Butão despeja novamente 72 milhões de dólares em bitcoin: parou de minerar?
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
