Coinbase Commerce Meminta Frasa Benih, Menimbulkan Kekhawatiran Keamanan

(MENAFN- Crypto Breaking) Peneliti keamanan memperingatkan tentang halaman Coinbase Commerce yang muncul meminta pengguna memasukkan frasa pemulihan dompet. Kejadian ini kembali memicu kekhawatiran bahwa alur yang memanfaatkan seed phrase bisa menormalkan perilaku yang rutin dieksploitasi dalam upaya phishing, terutama ketika terkait dengan platform terpercaya.

Perdebatan dimulai setelah Yu Xian, pendiri perusahaan keamanan blockchain SlowMist dan tokoh terkemuka di kalangan keamanan, menarik perhatian ke halaman tersebut di X. Dia mempertanyakan mengapa halaman yang dihosting Coinbase akan meminta frasa mnemonic dalam bentuk teks biasa untuk pemulihan aset, menyebut praktik ini sebagai kelalaian keamanan yang tidak dapat diterima.

Coinbase belum menjelaskan secara publik asal-usul halaman tersebut, selain mengatakan sedang meninjau masalah ini. Perusahaan mengatakan kepada Cointelegraph bahwa mereka sedang menyelidiki masalah ini tetapi tidak memberikan informasi lebih lanjut saat publikasi. Yu Xian tidak merespons saat waktu pers, dan Cointelegraph belum menerima komentar darinya sejak kontak awal.

Dalam komunitas kripto, seed phrase dianggap sebagai kunci dompet kendali sendiri. Pengguna yang membagikannya berisiko menyerahkan kendali kepada penyerang, karena frasa tersebut memberikan akses penuh ke aset yang disimpan di dompet yang kompatibel. Panduan tetap tegas: jangan pernah mengungkapkan seed phrase kepada pihak ketiga, layanan pelanggan, atau situs web yang tidak dipercaya.

Coinbase menyebut subdomain tersebut sebagai “alat penarikan” untuk perdagangan

Anggota komunitas penyelidikan kripto, termasuk ZachXBT, menyoroti bahwa halaman tersebut dirujuk dalam dokumentasi Bantuan publik Coinbase terkait produk Commerce-nya. ZachXBT mencatat bahwa panduan tersebut tampaknya menggambarkan metode bagi pengguna untuk memulihkan dana dengan mengimpor seed phrase ke dompet yang kompatibel seperti Coinbase Wallet atau MetaMask, menunjuk ke alat penarikan yang dihosting di subdomain yang sama dan telah menarik perhatian.

Narasi ini diperkuat oleh pernyataan dalam materi Bantuan Coinbase sendiri, yang menjelaskan dompet kendali sendiri—artinya Coinbase tidak memiliki akses ke seed phrase dan tidak dapat memulihkan dana jika hilang. Dokumentasi ini kemudian memicu pertanyaan tentang bagaimana panduan tersebut sejalan dengan halaman yang meminta input seed phrase yang diamati.

Pernyataan yang dibagikan ZachXBT di X menyoroti potensi vektor phishing yang memanfaatkan jalur resmi yang dipersepsikan untuk pemulihan seed phrase, jika halaman tersebut terbukti sah atau salah konfigurasi. Insiden ini berada di persimpangan antara edukasi pengguna, kepercayaan platform, dan kompleksitas yang berkembang dari alur kendali sendiri.

Mengapa ini penting bagi pengguna dan pengembang

Seed phrase adalah kunci utama keamanan kendali sendiri. Halaman yang santai meminta kredensial tersebut, bahkan dalam konteks yang terdengar resmi, bertentangan dengan praktik terbaik yang diajarkan secara luas oleh penyedia dompet dan peneliti keamanan. Bagi pengguna, ini meningkatkan risiko kampanye rekayasa sosial yang menggabungkan branding resmi dengan prompt menipu. Bagi pengembang dan bursa, kejadian ini menyoroti keseimbangan yang rumit: menawarkan fitur pemulihan dan interoperabilitas tanpa mengekspos pengguna ke permukaan serangan baru.

Dompet kendali sendiri memberi pengguna kendali langsung atas kunci pribadi dan seed phrase, tetapi dengan kendali tersebut datang tanggung jawab. Jika portal tepercaya secara tidak sengaja atau tanpa sengaja meminta data mnemonic, pengguna mungkin tergoda untuk mematuhi, terutama saat risiko aset meningkat atau hilang. Insiden ini kemudian memicu perdebatan yang lebih luas tentang bagaimana merancang alur pemulihan yang ramah pengguna dan tahan terhadap manipulasi.

Respons Coinbase dan langkah ke depan

Coinbase mengakui masalah ini dan mengatakan sedang menyelidiki, meskipun rincian belum dipublikasikan. Perusahaan sebelumnya menyarankan pengguna untuk tidak menempelkan seed phrase ke situs web mana pun dan menegaskan bahwa dompet Commerce-nya adalah kendali sendiri, artinya Coinbase tidak dapat mengakses seed phrase atau memulihkan dana jika hilang. Kejadian ini menimbulkan pertanyaan apakah halaman tersebut merupakan fitur resmi, salah konfigurasi, atau celah keamanan dalam dokumentasi terkait Commerce.

Selain itu, Coinbase secara vokal memperingatkan tentang tanda-tanda phishing dan rekayasa sosial, menyebutkan bahwa penipu dapat menyamar sebagai layanan pelanggan melalui telepon atau online untuk mengumpulkan detail login dan kode verifikasi. Perusahaan mendesak pengguna untuk tetap menggunakan saluran resmi di X dan Reddit untuk dukungan. Situasi yang berkembang ini meninggalkan beberapa ketidakpastian:

Apa halaman tersebut merupakan kesalahan teknis, subdomain yang salah konfigurasi, atau upaya nyata mengarahkan pengguna ke pemulihan seed phrase? Apakah panduan bantuan yang dirujuk mencerminkan alur produk saat ini, atau telah diubah atau dihapus sebagai respons terhadap pengawasan? Langkah apa yang akan diambil Coinbase untuk mencegah prompt serupa di masa depan, dan apakah akan ada pembaruan pada dokumentasi Commerce untuk memperjelas praktik terbaik terkait seed phrase?

Konteks dari lanskap keamanan yang lebih luas

Phishing dan rekayasa sosial tetap menjadi risiko yang merajalela di dunia kripto, dengan penyerang terus menyesuaikan taktik mereka seputar merek dan layanan yang dikenal. Insiden phishing OpenClaw, misalnya, menunjukkan bagaimana penyerang memadukan pesan tentang “token gratis” dengan antarmuka yang tampak otentik untuk menipu korban. Dalam iklim tersebut, fitur ekosistem apa pun yang menyentuh seed phrase—baik sebagai bagian dari alur pemulihan maupun impor antar dompet—memerlukan perlindungan yang sangat ketat dan edukasi pengguna yang jelas. Cointelegraph sebelumnya membahas bagaimana peneliti keamanan mendorong kewaspadaan terhadap paparan seed phrase, menekankan pentingnya menjaga data pemulihan tetap pribadi dan offline sebisa mungkin.

Apa yang harus diperhatikan pembaca selanjutnya

Hari-hari dan minggu mendatang kemungkinan akan mengungkap bagaimana Coinbase menyelesaikan pertanyaan tentang halaman Commerce dan referensi alur pemulihan tersebut. Perhatikan:

Pernyataan resmi dari Coinbase yang merinci temuan dari penyelidikan dan perubahan apa pun pada dokumentasi Commerce atau alur pengguna. Klarifikasi apakah prompt yang didasarkan pada subdomain tersebut bersifat operasional, eksperimental, atau kesalahan konfigurasi yang terkait dengan ekosistem Bantuan yang lebih luas. Panduan berkelanjutan dari penyedia dompet dan peneliti keamanan tentang praktik pemulihan yang aman, terutama untuk pengaturan kendali sendiri yang terkait dengan layanan yang didukung bursa.

Saat industri menimbang insiden ini, hal ini memperkuat prinsip inti bagi pengguna dan pengembang: seed phrase tetap merupakan aset yang sangat sensitif, dan bahkan antarmuka yang tampaknya sah harus diperlakukan dengan hati-hati. Langkah ke depan akan bergantung pada mekanisme pemulihan yang lebih jelas yang menjaga kendali pengguna tanpa menciptakan peluang baru untuk rekayasa sosial.

** Peringatan risiko & afiliasi:** Aset kripto sangat volatil dan modal berisiko. Artikel ini mungkin mengandung tautan afiliasi.