Des chercheurs en sécurité ont exprimé des préoccupations au sujet d’une page Commerce associée à Coinbase qui invitait les utilisateurs à saisir des phrases de récupération de portefeuille.
La page a été signalée par Yu Xian (Cos), fondateur de la plateforme de sécurité blockchain SlowMist. Il a déclaré : « Je suis vraiment perplexe de voir pourquoi Coinbase proposerait une page comme celle-ci, demandant directement aux utilisateurs d’entrer leurs phrases mnémoniques en clair pour la récupération d’actifs. »
Les phrases de récupération donnent un contrôle total sur les portefeuille. Ne JAMAIS partager avec qui que ce soit. La page était référencée dans un guide d’assistance Coinbase concernant son produit Commerce, mais ce guide a désormais été retiré. Le détective de blockchain ZachXBT a également signalé le problème.
Coinbase a averti que des escrocs se font passer pour le service client afin de voler des informations de connexion. Coinbase déconseille de coller les phrases de récupération sur aucun site web.
Implications de sécurité
L’apparition d’une page qui demande explicitement des seed phrases constitue une violation des meilleures pratiques et une invitation aux arnaques par phishing. Les seed phrases sont les clés maîtresses des portefeuille.
Comment l’arnaque fonctionne
Les attaquants pourraient concevoir un message se faisant passer pour le support Coinbase Commerce et demander des phrases de récupération pour récupérer des actifs. La page pourrait ressembler à une page officielle Coinbase, donnant aux utilisateurs un faux sentiment de légitimité.
Comment se protéger
– Ne partagez jamais votre seed phrase avec qui que ce soit
– N’entrez pas vos phrases de récupération sur des sites web
– Utilisez des portefeuille matériel pour une sécurité accrue
– Vérifiez la source avant de cliquer sur les liens
– Coinbase ne vous demandera jamais votre phrase de récupération
Conclusion
Les phrases de récupération ne doivent jamais être exposées. La gouvernance de la documentation et la résilience face aux arnaques sont essentielles pour les exchanges et les services de portefeuilles.
