Pesquisadores de segurança estão a alertar para uma página do Coinbase Commerce que parecia solicitar aos utilizadores que inserissem frases de recuperação de carteira. O episódio reacendeu preocupações de que um fluxo que utiliza frases-semente possa normalizar comportamentos rotineiramente explorados em tentativas de phishing, especialmente quando associados a uma plataforma confiável.
A controvérsia começou após Yu Xian, fundador da empresa de segurança blockchain SlowMist e figura proeminente nos círculos de segurança, chamar a atenção para a página no X. Ele questionou por que uma página hospedada pelo Coinbase solicitava frases mnemónicas em texto simples para recuperação de ativos, descrevendo a prática como uma falha de segurança inadmissível.
O Coinbase não explicou publicamente a origem da página, além de afirmar que está a rever o assunto. A empresa disse ao Cointelegraph que está a investigar o problema, mas não forneceu mais informações até ao momento da publicação. Yu Xian não respondeu até ao momento de fecho desta edição, e o Cointelegraph não recebeu comentários dele desde o primeiro contacto.
Na comunidade cripto, as frases-semente são consideradas as chaves de uma carteira de autocustódia. Os utilizadores que as partilham arriscam entregar o controlo a atacantes, pois as frases concedem acesso total aos ativos armazenados em carteiras compatíveis. A orientação permanece clara: nunca divulgar frases-semente a terceiros, suporte ao cliente ou sites não confiáveis.
Fonte: Yu Xian (Cos)
O Coinbase referenciou o subdomínio como uma “ferramenta de levantamento de fundos” de comércio
Membros da comunidade de investigação cripto, incluindo ZachXBT, destacaram que a página foi referenciada na documentação pública de Ajuda do Coinbase relacionada com o seu produto Commerce. ZachXBT observou que o guia parecia descrever um método para os utilizadores recuperarem fundos importando frases-semente em carteiras compatíveis, como Coinbase Wallet ou MetaMask, apontando para uma ferramenta de levantamento de fundos hospedada no mesmo subdomínio que tem sido alvo de escrutínio.
A narrativa foi reforçada por declarações nos próprios materiais de Ajuda do Coinbase, que descrevem carteiras de autocustódia — ou seja, o Coinbase não tem acesso às frases-semente e não consegue recuperar fundos se forem perdidos. A documentação gerou, desde então, questões sobre como tal orientação se alinha com a página que solicita a entrada de frases-semente.
“Então, basicamente, o Coinbase tem uma página oficial ao vivo que atores mal-intencionados podem usar para direcionar utilizadores do Coinbase através de engenharia social de frases-semente, se assim desejarem?”
Essa questão, partilhada por ZachXBT no X, destaca o potencial de um vetor de phishing que aproveita uma via oficial percebida para recuperação de frases-semente, caso a página seja legítima ou mal configurada. O incidente situa-se na interseção entre educação do utilizador, confiança na plataforma e a complexidade crescente dos fluxos de autocustódia.
Por que isto importa para utilizadores e desenvolvedores
As frases-semente são a peça central da segurança de autocustódia. Uma página que solicita essas credenciais de forma casual, mesmo num contexto que pareça oficial, contraria as melhores práticas amplamente ensinadas por provedores de carteiras e investigadores de segurança. Para os utilizadores, aumenta o risco de campanhas de engenharia social que combinam branding legítimo com pedidos enganosos. Para os desenvolvedores e trocas, o episódio destaca um equilíbrio delicado: oferecer funcionalidades de recuperação e interoperabilidade sem expor os utilizadores a novas superfícies de ataque.
As carteiras de autocustódia dão aos utilizadores controlo direto sobre chaves privadas e frases de recuperação, mas com esse controlo vem a responsabilidade. Se um portal confiável, inadvertidamente ou não, parecer solicitar dados mnemónicos, os utilizadores podem ser tentados a cumprir, especialmente em momentos de risco ou perda de ativos. Assim, o incidente alimenta debates mais amplos sobre como desenhar fluxos de recuperação que sejam ao mesmo tempo fáceis de usar e resistentes a manipulações.
Resposta do Coinbase e o caminho a seguir
O Coinbase reconheceu o assunto e afirmou estar a investigar, embora detalhes não tenham sido divulgados publicamente. A empresa já aconselhou os utilizadores a não colar frases-semente em qualquer site e reforçou que as suas carteiras de Commerce são de autocustódia, ou seja, o Coinbase não tem acesso às frases-semente nem consegue recuperar fundos se forem perdidos. O episódio levanta questões sobre se a página representava uma funcionalidade oficial, uma má configuração ou uma falha de segurança na documentação do Commerce.
Separadamente, o Coinbase tem sido vocal na advertência contra sinais de phishing e engenharia social, alertando que scammers podem imitar suporte ao cliente por telefone ou online para obter detalhes de login e códigos de verificação. A empresa incentivou os utilizadores a usar canais oficiais no X e Reddit para suporte. A situação em evolução deixa várias incertezas:
A página foi um erro técnico, uma má configuração do subdomínio ou uma tentativa real de direcionar utilizadores para recuperação de frases-semente?
A orientação referida na ajuda refletia os fluxos atuais do produto ou foi alterada ou removida em resposta ao escrutínio?
Que medidas tomará o Coinbase para evitar prompts semelhantes no futuro, e haverá atualizações na documentação do Commerce para esclarecer as melhores práticas em relação às frases-semente?
Contexto do panorama de segurança mais amplo
Phishing e engenharia social continuam a ser riscos predominantes na cripto, com atacantes a adaptarem continuamente os seus engodos em torno de marcas e serviços conhecidos. O episódio OpenClaw, por exemplo, ilustrou como os atacantes combinam mensagens de “tokens grátis” com interfaces autênticas para atrair vítimas. Nesse contexto, qualquer funcionalidade de ecossistema que envolva frases-semente — seja como parte de um fluxo de recuperação ou de uma importação entre carteiras — exige salvaguardas rigorosas e uma educação clara dos utilizadores. O Cointelegraph já abordou como investigadores de segurança alertam para a exposição de frases-semente, sublinhando a importância de manter os dados de recuperação privados e offline sempre que possível.
O que os leitores devem acompanhar
Nos próximos dias e semanas, provavelmente, serão reveladas as ações do Coinbase para resolver as questões relacionadas com a página do Commerce e as referências ao fluxo de recuperação. Fique atento a:
Declarações oficiais do Coinbase detalhando os resultados da investigação e quaisquer alterações na documentação ou nos fluxos de utilizador do Commerce.
Esclarecimentos sobre se o prompt baseado no subdomínio foi operacional, experimental ou uma má configuração relacionada com o ecossistema de Ajuda mais amplo.
Orientações contínuas de provedores de carteiras e investigadores de segurança sobre práticas seguras de recuperação, especialmente para configurações de autocustódia ligadas a serviços de troca.
À medida que a indústria avalia este incidente, reforça-se um princípio fundamental para utilizadores e desenvolvedores: as frases-semente continuam a ser um ativo altamente sensível, e interfaces aparentemente legítimas devem ser sempre tratadas com cautela. O caminho a seguir dependerá de mecanismos de recuperação mais claros, que preservem o controlo do utilizador sem criar novas oportunidades para engenharia social.
Este artigo foi originalmente publicado como Coinbase Commerce prompts seed phrases, raising security concerns on Crypto Breaking News – a sua fonte de confiança para notícias de cripto, Bitcoin e atualizações de blockchain.
