Investigadores de seguridad han expresado preocupaciones sobre una página de Commerce asociada a Coinbase que parecía pedir a los usuarios que introdujeran frases semilla de billetera, advirtiendo que dicho flujo podría normalizar un comportamiento comúnmente explotado en estafas de phishing.
La página ha circulado ampliamente en redes sociales después de ser señalada por el fundador de la plataforma de seguridad de la blockchain SlowMist, Yu Xian, ampliamente conocido como Cos.
“Estoy realmente desconcertado de por qué Coinbase tendría una página como esta, pidiendo directamente a los usuarios que introduzcan sus frases mnemónicas en texto plano para la recuperación de activos”, escribió Yu en una publicación de X el miércoles, añadiendo: “Una práctica tan insegura es simplemente increíble”.
Coinbase aún no ha abordado el problema públicamente. La empresa dijo a Cointelegraph que estaba investigando el asunto y no proporcionó información adicional. Cointelegraph también se puso en contacto con Yu Xian para obtener comentarios, pero no había recibido una respuesta al momento de la publicación.
Las frases semilla dan control total sobre una billetera de autocustodia y nunca deben compartirse con terceros, agentes de soporte al cliente o sitios web no confiables. Normalmente se utilizan solo en flujos confiables de recuperación o importación de billeteras.
Coinbase se refirió al subdominio como una “herramienta de retiro” de Commerce
Según el detective de la blockchain ZachXBT, la página en cuestión fue referenciada en una guía de ayuda de Coinbase relacionada con su producto Commerce.
La guía, que ahora parece haber sido eliminada, supuestamente describía una opción para que los usuarios recuperaran fondos importando su frase semilla en una billetera compatible como Coinbase Wallet o MetaMask. También dirigía a los usuarios a una herramienta de retiro alojada en el mismo subdominio que ha generado escrutinio.
La documentación de ayuda también enfatiza que las billeteras de Commerce son de autocustodia, lo que significa que Coinbase no tiene acceso a las frases semilla de los usuarios y no puede recuperar fondos si se pierden.
“¿Así que, básicamente, Coinbase tiene una página oficial activa que los actores de amenazas pueden usar para atacar a los usuarios de Coinbase mediante ingeniería social de frases semilla si quisieran?”, escribió ZachXBT en X.
Coinbase desaconseja pegar frases semilla en cualquier sitio web
Sigue sin estar claro si la página en cuestión fue el resultado de un error técnico o de otro problema por parte de Coinbase.
En otra guía, Coinbase aconsejó encarecidamente a los usuarios que nunca pegaran frases semilla en ningún sitio web.
El martes, Coinbase advirtió que los estafadores se hacen pasar por soporte al cliente por teléfono o en línea para robar información de inicio de sesión y códigos de verificación. La empresa dijo que nunca se pondrá en contacto, dirigiendo a los usuarios a sus canales oficiales en X y Reddit.
