A página de revogação de frases-semente da Coinbase Commerce sofreu fortes críticas de pesquisadores de segurança, que alertam que os usuários estão inserindo rotineiramente frases de recuperação de 12 palavras em sites dias antes do prazo de encerramento de 31 de março.
resumo
O subdomínio Coinbase Commerce (withdraw.commerce.coinbase.com/seed-phrase) pede aos vendedores que insiram uma frase inicial de 12 palavras em um formulário da web de texto simples para coletar fundos. Cos da SlowMist, CISO 23pds e o detetive on-chain ZachXBT dizem que esta página e seu front-end replicável criam um modelo de phishing poderoso, especialmente porque o negócio de comércio é reduzido a Coinbase Business em 31 de março de 2026. Os críticos argumentam que o fluxo treina os usuários a ignorar as regras do setor para nunca inserir frases-semente online, reacendendo os temores sobre um golpe de representação da Coinbase anterior que roubou quase US$ 2 milhões dos usuários.
Uma página de subdomínio pertencente à Coinbase Commerce, o produto de pagamentos comerciais da empresa, sofreu fortes críticas dos principais pesquisadores de segurança de blockchain depois que foi descoberto que ela pedia aos usuários que inserissem uma frase-semente de 12 palavras, também conhecida como mnemônico ou frase de recuperação, diretamente em um formulário da web em texto simples. A polémica eclodiu na quarta-feira e intensificou-se na manhã de quinta-feira, mas a descoberta surge num momento particularmente delicado. A Coinbase planeja encerrar completamente o Commerce até 31 de março de 2026 como parte de uma integração mais ampla da plataforma no Coinbase Business. Isso significa que dezenas de milhares de comerciantes têm uma janela estreita para retirar seus fundos.
A página em questão estava hospedada em draw.commerce.coinbase.com/seed-phrase e foi referenciada na agora excluída documentação de ajuda do Coinbase Commerce, instruindo os usuários a recuperar seus fundos importando sua frase de recuperação para uma carteira compatível, como Coinbase Wallet ou MetaMask. O fundador do SlowMist, Yu Xian (conhecido online como Cos), explicou que esse comportamento mostra uma “incrível falta de conscientização sobre segurança” por parte das principais empresas do setor, após relatos de vários usuários sobre a página. O pesquisador da rede ZachXBT sinalizou a página de forma independente, alertando que sua presença cria uma superfície de ataque direto para campanhas de engenharia social direcionadas aos usuários da Coinbase.
As preocupações vão além da própria página. O diretor de segurança da informação do SlowMist (conhecido como 23pds) ficou alarmado, apontando que o mapa do site da página tinha falhas estruturais que poderiam ser facilmente replicadas por atores mal-intencionados. Ferramentas como o ResourcesSaver permitem que invasores baixem código front-end e implantem sites de phishing de aparência idêntica. Isto é especialmente perigoso quando combinado com domínios semelhantes ao Coinbase, pois mesmo usuários experientes podem definitivamente ser enganados.
O problema fundamental é o da normalização. Todos os protocolos de segurança legítimos na indústria de criptomoedas são construídos com base em um único princípio inegociável. Frases-semente nunca devem ser inseridas em nenhum site, formulário ou aplicativo, mesmo os oficiais, em nenhuma circunstância. A frase inicial é a chave mestra de criptografia da carteira. Aqueles que os possuem são os donos dos fundos. Ao construir um fluxo de trabalho de recuperação que exige que os usuários digitem frases em seus navegadores, a Coinbase treinou os usuários para aceitarem comportamentos que os golpistas exploram rotineiramente, seja intencionalmente ou por meio de vigilância. A Coinfomania observou que a ferramenta ainda oferece a cópia de frases do Google Drive como etapa intermediária, agravando ainda mais o risco.
O aviso de ZachXBT tem um peso especial dado o seu histórico. Em janeiro de 2026, ele expôs um golpe de falsificação de identidade do Suporte Coinbase. Como resultado, aproximadamente US$ 2 milhões em criptomoedas foram roubados. O golpe dependia do condicionamento dos usuários a confiar na interface da marca Coinbase. A página de frase inicial do Commerce representa um modelo pronto para um ataque de acompanhamento potencialmente muito maior.
Até quinta-feira, a Coinbase não havia respondido publicamente às críticas, apesar de vários pedidos de comentários. A empresa oferece métodos alternativos de retirada, incluindo outra ferramenta de retirada do Commerce que é considerada mais segura pelos pesquisadores, mas a página da frase-semente não foi removida ou modificada. Faltando 12 dias para a desativação permanente do comércio, a pressão sobre as bolsas para agirem está aumentando rapidamente. Para uma das empresas públicas mais proeminentes na indústria das criptomoedas, a reputação de um enorme incidente de phishing causado pela sua ferramenta de migração não poderia ser maior.
