Coinbase les dice a los usuarios que sigan los pasos "tontos" que usan los estafadores para retirar fondos de las billeteras

Coinbase está dirigiendo a algunos usuarios de Commerce a un flujo de recuperación de frase inicial antes de la fecha límite de migración del 31 de marzo. El problema se encuentra dentro del plan de cierre de Coinbase para las billeteras Commerce heredadas. En su guía de transición, Coinbase dice que los usuarios con fondos en una billetera de Commerce deben retirarlos antes del 31 de marzo de 2026, cuando el portal de Commerce y la herramienta de retiro quedarán inaccesibles. Para los usuarios que hicieron una copia de seguridad de su billetera en Google Drive, Coinbase dice que deben ir al panel de Comercio, abrir Configuración y Seguridad, revelar la frase inicial de 12 palabras y usar la herramienta de retiro en retiro.commerce.coinbase.com. Coinbase dice que el proceso es especialmente importante para los comerciantes que recibieron Bitcoin u otros activos basados ​​en UTXO porque, de lo contrario, los saldos pueden ser difíciles de encontrar en las billeteras estándar. Una frase inicial es la clave maestra de recuperación para una billetera de autocustodia. La propia documentación de la billetera de Coinbase lo describe como una frase de recuperación de 12 palabras a la que solo el usuario tiene acceso. Quien controle esa frase controla el acceso a la billetera y sus fondos. Si se pierde, se puede perder el acceso a los fondos. Expóngalo y los fondos en la billetera pueden agotarse. Ahí es donde resulta difícil pasar por alto la contradicción. La guía de billetera de Coinbase les dice a los usuarios que nunca compartan una frase de recuperación, dice que la empresa nunca la solicitará y agrega una advertencia por separado: "Nunca la pegue en ningún sitio web". Sin embargo, la guía de transición de Commerce les dice a algunos usuarios que revelen la misma frase como parte de una ruta de recuperación oficial alojada en Coinbase. La explicación de la compañía es que las billeteras de Commerce tienen autocustodia y Coinbase no tiene acceso a la frase ni a los fondos, lo que deja a los usuarios responsables de la recuperación antes del cierre. Los investigadores de seguridad ven una plantilla de phishing Sin embargo, esta demanda de Coinbase ha hecho sonar las alarmas de muchos expertos en seguridad, que critican a la plataforma por el comportamiento que su página enseña a los usuarios a aceptar. El fundador de la firma de seguridad Blockchain SlowMist, Yu Xian, dijo que estaba desconcertado de que Coinbase alojara una página pidiendo a los usuarios que ingresaran una frase mnemotécnica en texto plano para la recuperación de activos y dijo que la práctica era tan insegura que primero se preguntó si el subdominio había sido pirateado. La advertencia agudizó las críticas centrales en torno a la página: una marca oficial, una fecha límite urgente y un flujo de trabajo de frase inicial se combinan en un formato que los atacantes imitan regularmente. Mientras tanto, el director de seguridad de la información de SlowMist, 23pds, escribió en X que había "dos problemas" con el flujo. Primero, dijo: "Si bien el enlace proviene del sitio web oficial de Coinbase, pedir directamente a los usuarios que transmitan su frase mnemotécnica para verificar los activos es extremadamente tonto". En segundo lugar, señaló que el sitio tenía un mapa del sitio defectuoso que podía permitir a los atacantes copiar la interfaz e implementar un casi clon en un dominio similar, creando un fuerte señuelo de phishing para los usuarios que ya estaban preparados para confiar en la versión de Coinbase. Además, el investigador de blockchain ZachXBT presionó aún más sobre ese punto de manera aún más directa. En una publicación en X, escribió: "Entonces, básicamente, Coinbase tiene una página oficial que los actores de amenazas en vivo pueden usar para atacar a los usuarios de Coinbase mediante ingeniería social de frases iniciales si así lo desean". Sus preocupaciones no son sorprendentes, considerando que las estafas de phishing y de ingeniería social siguen siendo uno de los vectores de ataque más potentes contra la industria de la criptografía. El año pasado, ZachXBT reveló que los usuarios de Coinbase pierden más de 300 millones de dólares al año debido a estafas de ingeniería social. Esto capta por qué el flujo del Comercio ha provocado una reacción tan fuerte. Los equipos de seguridad han pasado años enseñando a los usuarios que cualquier solicitud que involucre una frase inicial es el comienzo de una estafa. Sin embargo, una página propiedad de Coinbase que maneje la misma frase podría cambiar las señales visuales y de comportamiento en las que se les ha enseñado a confiar a los usuarios. El historial de violaciones de Coinbase se cierne sobre el debate. Mientras tanto, el debate sobre la seguridad adquiere mayor intensidad porque Coinbase ya está lidiando con las secuelas de incidentes pasados ​​de ingeniería social. En mayo de 2025, Coinbase informó que los ciberdelincuentes sobornaron a un grupo