Coinbase Commerce Solicita Frases de Recuperação, Levantando Preocupações de Segurança

(MENAFN- Crypto Breaking) Os investigadores de segurança estão a alertar para uma página do Coinbase Commerce que parecia solicitar aos utilizadores que inserissem frases de recuperação de carteira. Este episódio reacendeu preocupações de que um fluxo que utiliza frases-semente possa normalizar comportamentos rotineiramente explorados em tentativas de phishing, especialmente quando associado a uma plataforma de confiança.

A controvérsia começou depois de Yu Xian, fundador da empresa de segurança blockchain SlowMist e uma figura proeminente nos círculos de segurança, ter chamado a atenção para a página no X. Ele questionou por que uma página hospedada pelo Coinbase solicitava frases mnemónicas em texto simples para recuperação de ativos, descrevendo a prática como uma falha de segurança inadmissível.

O Coinbase não explicou publicamente a origem da página, além de dizer que está a rever o assunto. A empresa disse ao Cointelegraph que está a investigar o problema, mas não forneceu mais informações até ao momento da publicação. Yu Xian não respondeu até ao momento de imprensa, e o Cointelegraph não recebeu comentários dele desde o primeiro contacto.

Na comunidade cripto, as frases-semente são consideradas as chaves de uma carteira de autocustódia. Os utilizadores que as partilham arriscam entregar o controlo a atacantes, pois as frases concedem acesso total aos ativos armazenados em carteiras compatíveis. A orientação permanece clara: nunca divulgar frases-semente a terceiros, suporte ao cliente ou sites não confiáveis.

O Coinbase referenciou o subdomínio como uma “ferramenta de levantamento” de comércio

Membros da comunidade de investigação de criptomoedas, incluindo ZachXBT, destacaram que a página foi referenciada na documentação pública de Ajuda do Coinbase relacionada com o seu produto Commerce. ZachXBT observou que o guia parecia descrever um método para os utilizadores recuperarem fundos importando frases-semente em carteiras compatíveis, como Coinbase Wallet ou MetaMask, apontando para uma ferramenta de levantamento hospedada no mesmo subdomínio que tem sido alvo de escrutínio.

A narrativa foi reforçada por declarações nos próprios materiais de Ajuda do Coinbase, que descrevem carteiras de autocustódia — ou seja, o Coinbase não tem acesso às frases-semente e não consegue recuperar fundos se forem perdidos. A documentação gerou, desde então, questões sobre como tal orientação se alinha com a página que solicita a entrada de frases-semente.

Essa linha, partilhada por ZachXBT no X, destaca o potencial de um vetor de phishing que aproveita uma via oficial percebida para recuperação de frases-semente, caso a página seja legítima ou mal configurada. O incidente situa-se na interseção de educação do utilizador, confiança na plataforma e a complexidade crescente dos fluxos de autocustódia.

Por que isto importa para utilizadores e desenvolvedores

As frases-semente são a peça central da segurança de autocustódia. Uma página que solicita essas credenciais de forma casual, mesmo num contexto que pareça oficial, contraria as melhores práticas amplamente ensinadas por fornecedores de carteiras e investigadores de segurança. Para os utilizadores, aumenta o risco de campanhas de engenharia social que combinam branding legítimo com pedidos enganosos. Para os desenvolvedores e trocas, o episódio destaca um equilíbrio delicado: oferecer funcionalidades de recuperação e interoperabilidade sem expor os utilizadores a novas superfícies de ataque.

As carteiras de autocustódia dão aos utilizadores controlo direto sobre chaves privadas e frases de recuperação, mas com esse controlo vem a responsabilidade. Se um portal confiável solicitar inadvertidamente ou de forma maliciosa dados mnemónicos, os utilizadores podem ser tentados a cumprir, especialmente em momentos de risco ou perda de ativos. Assim, o incidente alimenta debates mais amplos sobre como desenhar fluxos de recuperação que sejam amigáveis ao utilizador e resistentes a manipulações.

Resposta do Coinbase e o caminho a seguir

O Coinbase reconheceu o problema e afirmou estar a investigar, embora detalhes não tenham sido divulgados publicamente. A empresa já aconselhou os utilizadores a não colar frases-semente em qualquer site e reforçou que as suas carteiras Commerce são de autocustódia, ou seja, o Coinbase não consegue aceder às frases-semente nem recuperar fundos se forem perdidos. O episódio levanta questões sobre se a página representava uma funcionalidade oficial, uma má configuração ou uma falha de segurança na documentação do Commerce.

Separadamente, o Coinbase tem sido vocal na advertência contra sinais de phishing e engenharia social, alertando que scammers podem imitar suporte ao cliente por telefone ou online para obter detalhes de login e códigos de verificação. A empresa pediu aos utilizadores que usem canais oficiais no X e Reddit para suporte. A situação em evolução deixa várias incertezas:

• A página foi um erro técnico, uma má configuração do subdomínio ou uma tentativa real de direcionar os utilizadores para recuperação de frases-semente?
• O guia de ajuda referido refletia os fluxos atuais do produto ou foi alterado ou removido em resposta ao escrutínio?
• Que medidas tomará o Coinbase para evitar solicitações semelhantes no futuro e haverá atualizações na documentação do Commerce para esclarecer as melhores práticas em relação às frases-semente?

Contexto do panorama de segurança mais amplo

Phishing e engenharia social continuam a ser riscos predominantes na cripto, com atacantes a adaptarem continuamente os seus engodos em torno de marcas e serviços conhecidos. O episódio OpenClaw, por exemplo, ilustrou como os atacantes combinam mensagens de “tokens grátis” com interfaces autênticas para atrair vítimas. Nesse contexto, qualquer funcionalidade de ecossistema que envolva frases-semente — seja como parte de um fluxo de recuperação ou de uma importação entre carteiras — exige salvaguardas rigorosas e uma educação clara dos utilizadores. O Cointelegraph já abordou como investigadores de segurança alertam para a exposição de frases-semente, sublinhando a importância de manter os dados de recuperação privados e offline sempre que possível.

O que os leitores devem acompanhar a seguir

Nos próximos dias e semanas, provavelmente serão reveladas as ações do Coinbase para resolver as questões sobre a página do Commerce e as referências ao fluxo de recuperação. Fique atento a:

• Declarações oficiais do Coinbase detalhando os resultados da investigação e quaisquer alterações na documentação ou nos fluxos de utilizador do Commerce.
• Esclarecimentos sobre se o pedido baseado no subdomínio foi operacional, experimental ou uma má configuração relacionada com o ecossistema de Ajuda mais amplo.
• Orientações contínuas de fornecedores de carteiras e investigadores de segurança sobre práticas seguras de recuperação, especialmente para configurações de autocustódia vinculadas a serviços de troca.

À medida que a indústria avalia este incidente, reforça-se um princípio fundamental para utilizadores e desenvolvedores: as frases-semente continuam a ser ativos altamente sensíveis, e mesmo interfaces aparentemente legítimas devem ser tratadas com cautela. O caminho a seguir dependerá de mecanismos de recuperação mais claros, que preservem o controlo do utilizador sem criar novas oportunidades para engenharia social.

** Aviso de risco e afiliados:** Os ativos cripto são voláteis e o capital está em risco. Este artigo pode conter links de afiliados.