Des chercheurs en cybersécurité ont tiré la sonnette d’alarme concernant une page active de Coinbase Commerce, laquelle demande aux utilisateurs de saisir directement leur phrase de récupération à 12 mots.
Le fondateur de SlowMist, qui utilise le pseudonyme Evilcos, a publié un avertissement direct à propos de cette page, qualifiant cette pratique de non sécurisée.
« Je suis très perplexe de voir que Coinbase dispose d’une page qui demande directement aux utilisateurs de saisir leur phrase mnémonique en clair pour récupérer des actifs. Une telle pratique non sécurisée est tout simplement incroyable […] J’ai presque cru que le sous-domaine avait été piraté », a-t-il déclaré.
Suivez-nous sur X pour recevoir les dernières actualités en temps réel
Par ailleurs, l’enquêteur blockchain ZachXBT a partagé cette inquiétude.
« Donc, en gros, Coinbase dispose d’une page officielle en ligne que des acteurs malveillants, s’il le souhaitent, peuvent utiliser pour cibler les utilisateurs de Coinbase par le biais de l’ingénierie sociale autour de leur phrase de récupération ? » a-t-il déclaré.
Pour rappel, les arnaques (ou scams) par ingénierie sociale sont des escroqueries lors desquelles des criminels manipulent des personnes afin qu’elles révèlent des informations sensibles ou effectuent des actions compromettant leur sécurité, plutôt que de pirater directement des systèmes. Au lieu de contourner des défenses techniques, les attaquants exploitent la psychologie humaine : confiance, urgence, peur ou autorité.
La plateforme Coinbase demande aux utilisateurs de transférer leurs fonds dans le cadre de la fusion entre Commerce et Coinbase Business, avec une date limite fixée au 31 mars 2026. Deux options de retrait sont proposées. La première est un outil de retrait Commerce qui consolide les fonds en une seule transaction. Selon Coinbase, cet outil gère la complexité liée à l’analyse des adresses Commerce de l’utilisateur.
L’exchange a précisé qu’il s’agit là de la méthode recommandée. Comme méthode alternative, les utilisateurs peuvent saisir leur phrase de récupération directement sur la page de Coinbase.
« Si vous avez votre phrase de récupération, vous pouvez l’importer dans un wallet compatible (comme Coinbase Wallet ou MetaMask) », peut-on lire dans le blog. « Pour de nombreux commerçants, en particulier ceux qui ont reçu des paiements en Bitcoin ou d’autres actifs basés sur UTXO, nous recommandons fortement d’utiliser l’outil de retrait Commerce avant le 31 mars 2026. »
Pour l’heure, Coinbase n’a pas répondu à la demande de commentaire de BeInCrypto à ce sujet.
