Página Coinbase Sinaliza Risco de Segurança sobre Entrada de Frase-Semente

ZachXBT alerta para a página de recuperação do Coinbase Commerce, pedindo aos utilizadores que insiram a sua frase-semente de 12 palavras, levantando preocupações de phishing e engenharia social.

Uma página ao vivo no domínio oficial do Coinbase está a alertar os investigadores de segurança. A página, hospedada em withdraw.commerce.coinbase.com, pede aos utilizadores que insiram uma frase-semente de 12 palavras como parte de um processo de recuperação de ativos ligado ao Coinbase Commerce. A bolsa não removeu a página.

O investigador on-chain ZachXBT levantou o alarme no X, questionando se o Coinbase tinha pensado nas possibilidades que uma página assim poderia permitir. “Então, basicamente, o Coinbase tem uma página oficial ao vivo que atores maliciosos podem usar para atacar utilizadores do Coinbase via engenharia social com a frase-semente, se quisessem?” escreveu ZachXBT. A publicação recebeu milhares de interações quase imediatamente.

Quando uma página oficial se torna a arma

O investigador de segurança evilcos alertou sobre a mesma página anteriormente no X, dizendo que a prática de pedir aos utilizadores que insiram frases mnemónicas em texto simples era difícil de acreditar vindo de uma grande bolsa. O investigador afirmou que o subdomínio inicialmente parecia ter sido comprometido. Não foi. A página é oficial.

A documentação de ajuda do Coinbase Commerce, visível na página de recuperação, explica o processo. Diz aos comerciantes que os seus fundos podem estar dispersos por centenas ou até milhares de endereços de carteira, porque o Commerce gera um novo endereço para cada pagamento recebido. Importar a frase-semente numa carteira padrão, explica, pode não mostrar o saldo completo. As carteiras padrão normalmente escaneiam apenas os primeiros 20 endereços não utilizados. Para Bitcoin e outros ativos baseados em UTXO, o Coinbase direcionava os utilizadores para a ferramenta de retirada antes de 31 de março de 2026.

A documentação também instrui os utilizadores sobre como recuperar uma frase-semente guardada no Google Drive, e depois inseri-la na ferramenta de retirada. É aqui que os investigadores dizem que reside o risco.

Dois problemas distintos, uma página muito perigosa

O investigador de segurança im23pds publicou no X, dividindo a preocupação em duas questões distintas. Primeiro, embora o link origine de um domínio oficial do Coinbase, pedir aos utilizadores que transmitam a sua frase mnemónica para verificar ativos é descuidado por qualquer padrão de segurança. Segundo, o site tem um mapa do site incorreto. Os atacantes poderiam usar ferramentas como ResourcesSaver para descarregar todo o código do front-end e criar uma cópia quase idêntica. Com um domínio semelhante, uma campanha de phishing do Coinbase torna-se muito mais fácil de executar.

Numa publicação anterior, im23pds notou no X que a página foi construída de forma descuidada. A equipa lançou-a sem sequer configurar um mapa do site. Essa negligência torna a página ainda mais acessível a quem queira copiar a sua estrutura.

E a página foi feita de forma muito descuidada… sem sitemap, foi só lançar :-) 👇 pic.twitter.com/wdzBOti5w8

— 23pds (山哥) (@im23pds) 19 de março de 2026

Fonte: im23pds

O perigo principal é simples. Os atores maliciosos não precisam de invadir os sistemas do Coinbase. Basta apontar um utilizador para uma versão falsa de uma página oficial já existente, que pede a frase-semente. O utilizador, condicionado pela página real, entrega-a.

O padrão mais amplo aqui

Este não é um padrão novo para a bolsa. ZachXBT já documentou anteriormente como atores maliciosos exploram a marca do Coinbase em campanhas de engenharia social, usando impersonação e canais de suporte falsos para esvaziar carteiras. A página de recuperação do Commerce, neste caso, faz o trabalho de base para os scammers sem que ninguém precise de se passar por alguém.

A página permanece ativa. O Coinbase não respondeu publicamente às preocupações levantadas.