Coinbase dit aux utilisateurs de suivre les étapes « stupides » utilisées par les escrocs pour retirer des fonds des portefeuilles

Coinbase oriente certains utilisateurs de Commerce vers un flux de récupération de phrase de départ avant la date limite de migration du 31 mars. Le problème se situe dans le plan de fermeture de Coinbase pour les anciens portefeuilles Commerce. Dans son guide de transition, Coinbase indique que les utilisateurs disposant de fonds dans un portefeuille Commerce doivent les retirer avant le 31 mars 2026, date à laquelle le portail Commerce et l'outil de retrait deviendront inaccessibles. Pour les utilisateurs qui ont sauvegardé leur portefeuille sur Google Drive, Coinbase indique qu'ils doivent accéder au tableau de bord Commerce, ouvrir Paramètres et sécurité, révéler la phrase de départ de 12 mots et utiliser l'outil de retrait sur retirer.commerce.coinbase.com. Coinbase affirme que le processus est particulièrement important pour les commerçants qui ont reçu du Bitcoin ou d'autres actifs basés sur UTXO, car les soldes pourraient autrement être difficiles à faire apparaître dans les portefeuilles standard. Une phrase de départ est la clé principale de récupération pour un portefeuille d'auto-garde. La propre documentation du portefeuille de Coinbase le décrit comme une phrase de récupération de 12 mots à laquelle seul l'utilisateur a accès. Celui qui contrôle cette phrase contrôle l’accès au portefeuille et à ses fonds. Si vous le perdez, l'accès aux fonds peut être perdu. Exposez-le et les fonds du portefeuille peuvent être drainés. C’est là que la contradiction devient difficile à ignorer. Les conseils de Coinbase sur le portefeuille indiquent aux utilisateurs de ne jamais partager une phrase de récupération, indiquent que l'entreprise ne la demandera jamais et ajoute un avertissement distinct : "Ne la collez jamais sur un site Web". Pourtant, le guide de transition de Commerce demande à certains utilisateurs de révéler la même phrase dans le cadre d'un chemin de récupération officiel hébergé par Coinbase. L'explication de la société est que les portefeuilles Commerce sont auto-dépositaires et que Coinbase n'a pas accès à la phrase ou aux fonds, ce qui laisse les utilisateurs responsables de la récupération avant la fermeture. Les chercheurs en sécurité voient un modèle de phishing. Néanmoins, cette demande de Coinbase a sonné l'alarme pour de nombreux experts en sécurité, qui critiquent la plateforme pour le comportement que sa page apprend aux utilisateurs à accepter. Le fondateur de la société de sécurité Blockchain SlowMist, Yu Xian, a déclaré qu'il était perplexe que Coinbase héberge une page demandant aux utilisateurs de saisir une phrase mnémonique en texte brut pour la récupération d'actifs et a déclaré que la pratique était si peu sûre qu'il s'est d'abord demandé si le sous-domaine avait été piraté. L'avertissement a aiguisé les principales critiques autour de la page : une marque officielle, un délai urgent et un flux de travail de phrases de départ se combinent dans un format que les attaquants imitent régulièrement. Pendant ce temps, 23pds, responsable de la sécurité de l’information de SlowMist, a écrit sur X qu’il y avait « deux problèmes » avec le flux. Tout d’abord, il a déclaré : « Bien que le lien provienne du site officiel de Coinbase, demander directement aux utilisateurs de transmettre leur phrase mnémonique pour vérifier les actifs est extrêmement insensé. » Deuxièmement, il a noté que le site avait un plan de site défectueux qui pourrait permettre aux attaquants de copier le frontal et de déployer un quasi-clone sur un domaine similaire, créant ainsi un puissant leurre de phishing pour les utilisateurs déjà prêts à faire confiance à la version Coinbase. De plus, l’enquêteur blockchain ZachXBT a insisté encore plus directement sur ce point. Dans un article sur X, il a écrit : « Donc, fondamentalement, Coinbase a une page officielle que les acteurs des menaces en direct peuvent utiliser pour cibler les utilisateurs de Coinbase via l'ingénierie sociale de phrase de départ s'ils le souhaitent ? Leurs inquiétudes ne sont pas surprenantes, étant donné que les escroqueries par phishing et par ingénierie sociale restent l’un des vecteurs d’attaque les plus puissants contre l’industrie de la cryptographie. L'année dernière, ZachXBT a révélé que les utilisateurs de Coinbase perdaient plus de 300 millions de dollars par an à cause des escroqueries d'ingénierie sociale. Cela montre pourquoi le flux commercial a déclenché une réaction si forte. Les équipes de sécurité ont passé des années à enseigner aux utilisateurs que toute demande impliquant une phrase de départ est le début d’une arnaque. Cependant, une page appartenant à Coinbase traitant la même phrase pourrait modifier les indices visuels et comportementaux sur lesquels les utilisateurs ont appris à s'appuyer. L’historique des violations de Coinbase pèse sur le débat. Pendant ce temps, le débat sur la sécurité est plus difficile car Coinbase est déjà confronté aux séquelles d’incidents d’ingénierie sociale passés. En mai 2025, Coinbase a signalé que des cybercriminels avaient soudoyé un groupe