ZachXBT signale une page de récupération de Coinbase Commerce demandant aux utilisateurs de saisir leur phrase de récupération de 12 mots, soulevant des préoccupations de phishing et d’ingénierie sociale.
Une page en ligne sur le domaine officiel de Coinbase suscite l’alarme des chercheurs en sécurité. La page, hébergée à l’adresse withdraw.commerce.coinbase.com, demande aux utilisateurs de saisir une phrase de récupération de 12 mots dans le cadre d’un processus de récupération d’actifs lié à Coinbase Commerce. La plateforme n’a pas retiré la page.
L’enquêteur en chaîne ZachXBT a lancé l’alerte sur X, se demandant si Coinbase avait réfléchi aux risques qu’une telle page pourrait engendrer. « Donc, en gros, Coinbase a une page officielle en ligne que des acteurs malveillants peuvent utiliser pour cibler les utilisateurs de Coinbase via ingénierie sociale sur la phrase de récupération si ils le veulent ? » a écrit ZachXBT. Le message a rapidement suscité des milliers d’interactions.
Quand une page officielle devient une arme
Le chercheur en sécurité evilcos a signalé la même page plus tôt sur X, affirmant que la pratique de demander aux utilisateurs d’entrer des phrases mnémoniques en clair était difficile à croire venant d’une grande plateforme. Il a indiqué que le sous-domaine semblait initialement compromis, mais ce n’était pas le cas. La page est officielle.
La documentation d’aide de Coinbase Commerce, visible sur la page de récupération, explique le processus. Elle indique aux commerçants que leurs fonds peuvent être répartis sur des centaines, voire des milliers d’adresses de portefeuille, car Commerce génère une nouvelle adresse pour chaque paiement reçu. Importer la phrase de récupération dans un portefeuille standard peut ne pas afficher le solde complet. En effet, les portefeuilles standards ne scannent généralement que les 20 premières adresses inutilisées. Pour Bitcoin et autres actifs basés sur UTXO, Coinbase conseillait aux utilisateurs d’utiliser l’outil de retrait avant le 31 mars 2026.
La documentation indique aussi comment récupérer une phrase de récupération sauvegardée sur Google Drive, puis la saisir dans l’outil de retrait. C’est là que les chercheurs voient un risque potentiel.
Deux problèmes distincts, une page très dangereuse
Le chercheur en sécurité im23pds a publié sur X une analyse séparant le problème en deux points. D’abord, même si le lien provient d’un domaine officiel de Coinbase, demander aux utilisateurs de transmettre leur phrase mnémonique pour vérifier leurs actifs est une négligence selon toutes les normes de sécurité. Ensuite, le site possède un plan du site (sitemap) défectueux. Des attaquants pourraient utiliser des outils comme ResourcesSaver pour télécharger tout le code front-end et déployer une copie presque identique. Associé à un domaine ressemblant, cela facilite grandement une campagne de phishing Coinbase.
Dans un autre message antérieur, im23pds a noté que la page avait été construite de manière négligente, sans même avoir mis en place un sitemap. Ce genre d’oubli rend la page encore plus accessible à quiconque souhaite en copier la structure.
而且页面做的非常不讲究… sitemap 这种不设置就直接上线了:-)
👇 pic.twitter.com/wdzBOti5w8
— 23pds (山哥) (@im23pds) 19 mars 2026
Source : im23pds
Le danger principal est simple. Les acteurs malveillants n’ont pas besoin de pénétrer dans les systèmes de Coinbase. Ils orientent un utilisateur vers une version falsifiée d’une page officielle existante qui demande une phrase de récupération. L’utilisateur, conditionné par la page réelle, la transmet.
Le schéma plus large
Ce n’est pas un nouveau schéma pour la plateforme. ZachXBT a déjà documenté comment des acteurs malveillants exploitent la marque Coinbase dans des campagnes d’ingénierie sociale, utilisant l’usurpation d’identité et de faux canaux de support pour vider des portefeuilles. La page de récupération de Commerce, dans ce cas, prépare le terrain pour les escrocs sans qu’il soit nécessaire d’usurper quoi que ce soit.
La page reste en ligne. Coinbase n’a pas répondu publiquement aux préoccupations soulevées.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
