Coinbase demande aux utilisateurs de suivre les mêmes étapes 'imprudentes' que les escrocs utilisent pour retirer des fonds des portefeuilles

Coinbase dirige certains utilisateurs de Commerce vers un processus de récupération de seed phrase avant la date limite de migration du 31 mars.

Le problème se situe dans le plan de fermeture de Coinbase pour les portefeuilles Commerce hérités. Dans son guide de transition, Coinbase indique que les utilisateurs ayant des fonds dans un portefeuille Commerce doivent les retirer avant le 31 mars 2026, date à laquelle le portail Commerce et l'outil de retrait deviendront inaccessibles.

Pour les utilisateurs qui ont sauvegardé leur portefeuille sur Google Drive, Coinbase indique qu'ils doivent accéder au tableau de bord Commerce, ouvrir Paramètres et Sécurité du compte, révéler la seed phrase de 12 mots et utiliser l'outil de retrait sur withdraw.commerce.coinbase.com.

Coinbase précise que le processus est particulièrement important pour les commerçants qui ont reçu du Bitcoin ou d'autres actifs basés sur UTXO, car les soldes peuvent autrement être difficiles à afficher dans les portefeuilles standard.

Une seed phrase est la clé principale de récupération d'un portefeuille en auto-conservation. La documentation du portefeuille de Coinbase la décrit comme une phrase de récupération de 12 mots à laquelle seul l'utilisateur a accès.

Celui qui contrôle cette phrase contrôle l'accès au portefeuille et à ses fonds. La perdre signifie perdre l'accès aux fonds. L'exposer signifie que les fonds du portefeuille peuvent être vidés.

C'est là que la contradiction devient difficile à ignorer. Les directives du portefeuille Coinbase indiquent aux utilisateurs de ne jamais partager une phrase de récupération, affirment que l'entreprise ne la demandera jamais et ajoutent un avertissement distinct : « Ne la collez jamais sur aucun site web. »

Pourtant, le guide de transition Commerce demande à certains utilisateurs de révéler la même phrase dans le cadre d'un processus de récupération officiel hébergé par Coinbase.

L'explication de l'entreprise est que les portefeuilles Commerce sont en auto-conservation et que Coinbase n'a pas accès à la phrase ou aux fonds, ce qui laisse les utilisateurs responsables de la récupération avant la fermeture.

Les chercheurs en sécurité y voient un modèle de phishing

Néanmoins, cette demande de Coinbase a tiré la sonnette d'alarme pour de nombreux experts en sécurité, qui critiquent la plateforme pour le comportement que sa page enseigne aux utilisateurs à accepter.

Yu Xian, fondateur de la société de sécurité blockchain SlowMist, a déclaré qu'il était perplexe que Coinbase héberge une page demandant aux utilisateurs de saisir une phrase mnémonique en texte clair pour la récupération des actifs et a déclaré que la pratique était si peu sécurisée qu'il s'est d'abord demandé si le sous-domaine avait été piraté.

L'avertissement a accentué la critique centrale autour de la page : une marque officielle, une date limite urgente et un flux de seed phrase se combinent en un format que les attaquants imitent régulièrement.

Pendant ce temps, 23pds, responsable de la sécurité de l'information de SlowMist, a écrit sur X qu'il y avait « deux problèmes » avec le flux. Premièrement, il a déclaré :

Deuxièmement, il a noté que le site avait un plan du site défectueux qui pourrait permettre aux attaquants de copier le front-end et de déployer un quasi-clone sur un domaine similaire, créant un puissant leurre de phishing pour les utilisateurs déjà préparés à faire confiance à la version Coinbase.

De plus, l'enquêteur blockchain ZachXBT a appuyé encore plus directement sur ce point. Dans une publication sur X, il a écrit :

Leurs préoccupations ne sont pas surprenantes, étant donné que le phishing et les arnaques d'ingénierie sociale restent l'un des vecteurs d'attaque les plus puissants contre l'industrie crypto.

L'année dernière, ZachXBT a révélé que les utilisateurs de Coinbase perdent plus de 300 millions de dollars par an en raison d'arnaques d'ingénierie sociale.

Cela explique pourquoi le flux Commerce a déclenché une réaction aussi forte. Les équipes de sécurité ont passé des années à enseigner aux utilisateurs que toute demande impliquant une seed phrase est le début d'une arnaque.

Cependant, une page appartenant à Coinbase traitant la même phrase pourrait modifier les signaux visuels et comportementaux sur lesquels les utilisateurs ont été formés à se fier.

L'historique de violations de Coinbase plane sur le débat

Pendant ce temps, le débat sur la sécurité frappe plus fort car Coinbase traite déjà les conséquences d'incidents passés d'ingénierie sociale.

En mai 2025, Coinbase a signalé que des cybercriminels avaient soudoyé un groupe d'agents d'assistance à l'étranger pour voler des données clients pour des attaques d'ingénierie sociale.

L'échange dirigé par Brian Armstrong a déclaré que les attaquants avaient obtenu des données de compte pour moins de 1 % des utilisateurs effectuant des transactions mensuelles et les avaient utilisées pour compiler des listes de clients qu'ils pouvaient contacter en se faisant passer pour la plateforme.

L'entreprise a déclaré qu'aucune clé privée n'avait été exposée et s'est engagée à rembourser les clients qui avaient été trompés pour envoyer des fonds aux attaquants.

En outre, l'entreprise a également un antécédent de violation antérieur.

Coinbase a déclaré dans son rapport annuel 2024 qu'en 2021, des parties tierces avaient obtenu des identifiants de connexion et des informations personnelles pour au moins 6 000 clients et avaient utilisé ces détails pour exploiter une vulnérabilité dans le processus de récupération de compte. L'entreprise a déclaré avoir remboursé environ 25,1 millions de dollars aux clients impactés.

Cet historique augmente les enjeux autour de tout flux de travail officiel qui demande aux utilisateurs de manipuler une seed phrase sur une page web en direct.

Les chercheurs en sécurité avertissent qu'une telle interface de marque qui normalise la saisie de seed phrase renforcera davantage les attaques de phishing et d'usurpation d'identité, qui restent parmi les méthodes d'attaque les plus efficaces de l'industrie.

L'article Coinbase demande aux utilisateurs de suivre les mêmes étapes « insensées » que les escrocs utilisent pour retirer des fonds des portefeuilles est apparu en premier sur CryptoSlate.