Página Coinbase Sinaliza Risco de Segurança sobre Entrada de Frase-Semente

ZachXBT alerta para página de recuperação do Coinbase Commerce que pede aos utilizadores que insiram a sua frase-semente de 12 palavras, levantando preocupações de phishing e engenharia social.

Uma página ao vivo no domínio oficial do Coinbase está a gerar alarmes de segurança por parte de investigadores. A página, hospedada em withdraw.commerce.coinbase.com, solicita aos utilizadores que insiram uma frase-semente de 12 palavras como parte de um processo de recuperação de ativos ligado ao Coinbase Commerce. A troca não removeu a página.

O investigador on-chain ZachXBT levantou o alarme no X, questionando se o Coinbase tinha pensado nas possibilidades que uma página assim poderia permitir. “Então, basicamente, o Coinbase tem uma página oficial ao vivo que atores maliciosos podem usar para atacar utilizadores do Coinbase via engenharia social com a frase-semente, se quisessem?” escreveu ZachXBT. A publicação recebeu milhares de interações quase imediatamente.

Quando uma página oficial se torna a arma

O investigador de segurança evilcos alertou sobre a mesma página anteriormente no X, dizendo que a prática de pedir aos utilizadores que insiram frases mnemónicas em texto simples era difícil de acreditar vindo de uma grande troca. O investigador afirmou que o subdomínio inicialmente parecia ter sido comprometido. Não foi o caso. A página é oficial.

A documentação de ajuda do Coinbase Commerce, visível na página de recuperação, explica o processo. Informa os comerciantes que os seus fundos podem estar dispersos por centenas ou até milhares de endereços de carteira, porque o Commerce gera um novo endereço para cada pagamento recebido. Importar a frase-semente numa carteira padrão, diz, pode não mostrar o saldo completo. As carteiras padrão normalmente escaneiam apenas os primeiros 20 endereços não utilizados. Para Bitcoin e outros ativos baseados em UTXO, o Coinbase direcionava os utilizadores para a ferramenta de retirada antes de 31 de março de 2026.

A documentação também instrui os utilizadores sobre como recuperar uma frase-semente guardada no Google Drive, e depois inseri-la na ferramenta de retirada. É aqui que os investigadores dizem que reside o risco.

Dois problemas distintos, uma página muito perigosa

O investigador de segurança im23pds publicou no X, dividindo a preocupação em duas questões distintas. Primeiro, embora o link origine de um domínio oficial do Coinbase, pedir aos utilizadores que transmitam a sua frase mnemónica para verificar ativos é imprudente por qualquer padrão de segurança. Segundo, o site tem um mapa do site com falhas. Os atacantes poderiam usar ferramentas como ResourcesSaver para descarregar todo o código front-end e criar uma cópia quase idêntica. Com isso, aliado a um domínio semelhante, torna-se muito mais fácil realizar uma campanha de phishing do Coinbase.

Numa publicação anterior, im23pds notou no X que a página foi construída de forma descuidada. A equipa lançou-a sem sequer configurar um mapa do site. Essa negligência torna a página ainda mais acessível a quem queira copiar a sua estrutura.

而且页面做的非常不讲究… sitemap 这种不设置就直接上线了:-)
👇 pic.twitter.com/wdzBOti5w8

— 23pds (山哥) (@im23pds) 19 de março de 2026

Fonte: im23pds

O perigo principal é simples. Os atores maliciosos não precisam de invadir os sistemas do Coinbase. Eles direcionam um utilizador para uma versão falsa de uma página oficial já existente que pede a frase-semente. O utilizador, condicionado pela página real, entrega-a.

O padrão mais amplo aqui

Este não é um padrão novo para a troca. ZachXBT já documentou anteriormente como atores maliciosos exploram a marca do Coinbase em campanhas de engenharia social, usando impersonação e canais de suporte falsos para esvaziar carteiras. A página de recuperação do Commerce, neste caso, faz o trabalho de base para os scammers sem que ninguém precise de se passar por alguém.

A página permanece ativa. O Coinbase não respondeu publicamente às preocupações levantadas.