Ricercatori di sicurezza hanno lanciato l’allarme su una pagina attiva di Coinbase Commerce che richiede agli utenti di inserire direttamente una seed phrase di 12 parole.
Il fondatore di SlowMist, noto con lo pseudonimo Evilcos, ha pubblicato un avvertimento diretto riguardo la pagina, definendo questa pratica insicura.
“Sono davvero perplesso dal fatto che Coinbase abbia una pagina del genere che chiede agli utenti di inserire la propria frase mnemonica in chiaro per recuperare gli asset. Una pratica così insicura è davvero incredibile… Ho quasi pensato che il sottodominio fosse stato hackerato,” ha detto.
Seguici su X per ricevere le ultime notizie in tempo reale
Anche l’investigatore blockchain ZachXBT ha amplificato la preoccupazione.
“Quindi, praticamente Coinbase ha una pagina ufficiale attiva che eventuali attori malevoli potrebbero usare per colpire utenti Coinbase attraverso social engineering via seed phrase se volessero?” ha detto.
Per contestualizzare, le truffe di social engineering sono attacchi in cui i criminali manipolano le persone per farsi rivelare informazioni sensibili o compiere azioni che compromettono la loro sicurezza, invece di attaccare i sistemi direttamente. Invece di superare difese tecniche, gli attaccanti sfruttano la psicologia umana: fiducia, urgenza, paura o autorità.
Coinbase sta richiedendo agli utenti di spostare i fondi in concomitanza con la fusione di Commerce con Coinbase Business, con scadenza fissata al 31 marzo 2026. Offre due opzioni di prelievo. La prima è uno strumento di prelievo Commerce che consolida i fondi in un’unica transazione. Secondo Coinbase, lo strumento gestisce la complessità della scansione degli indirizzi Commerce dell’utente.
L’exchange ha evidenziato che questa è la modalità consigliata. In alternativa, gli utenti possono anche utilizzare direttamente la loro seed phrase sulla pagina di Coinbase.
“Se hai la tua seed phrase, puoi importarla in un wallet compatibile (come Coinbase Wallet o MetaMask),” si legge nel blog. “Per molti esercenti, soprattutto quelli che hanno ricevuto pagamenti in Bitcoin o altri asset basati su UTXO, consigliamo vivamente di utilizzare lo strumento di prelievo Commerce prima del 31 marzo 2026.”
Coinbase non ha risposto immediatamente alla richiesta di commento di BeInCrypto su questa vicenda.
