Coinbase Commerce ligt onder vuur nadat beveiligingsonderzoekers een opvallende herstelpagina signaleren die gebruikers vraagt om hun seed phrase in platte tekst in te voeren. Op screenshots van de withdraw omgeving is te zien dat het platform bezoekers aanspoort om een 12 woorden tellende recovery phrase of private key te plakken om assets te herstellen. Volgens onderzoekers opent dat de deur voor phishing, social engineering en misbruik door aanvallers die deze pagina eenvoudig kunnen namaken.
Bitcoin is verkrijgbaar bij Bitvavo en Bybit.
Onderzoekers slaan alarm over herstelpagina
De discussie begint nadat SlowMist oprichter Cos op X een Coinbase Commerce pagina deelt waarop gebruikers hun geheime herstelzin moeten invoeren. De pagina verwijst zelfs naar een cloud backup en noemt Google Drive als plek om die gegevens op te halen. Dat zorgt meteen voor kritiek, omdat een seed phrase juist nooit in een normale webpagina ingevuld hoort te worden.
Cos noemt die werkwijze onveilig en zegt verbaasd te zijn dat Coinbase een dergelijke pagina live heeft staan. In zijn post schrijft hij dat hij in eerste instantie zelfs denkt dat de subdomeinnaam mogelijk is gekaapt. De betreffende pagina wordt genoemd in zijn bericht op X.
Ook Wu Blockchain pakt het onderwerp op en vat de kritiek samen. Volgens dat bericht waarschuwt SlowMist dat de withdraw pagina extreem onveilig gedrag vertoont doordat gebruikers worden gevraagd hun mnemonic phrase rechtstreeks in te voeren. Wu Blockchain verwijst daarnaast naar extra zorgen over misbruik door kwaadwillenden. De berichtgeving van Wu Blockchain staat in de X post die je bronmateriaal samenvat.
Phishingrisico groeit door kopieerbare interface
Blockchain onderzoeker ZachXBT gaat nog een stap verder. Hij stelt dat aanvallers deze Coinbase pagina kunnen gebruiken als referentie voor social engineering aanvallen. Zodra een echte dienst gebruikers leert dat het normaal is om een seed phrase in te vullen op een webformulier, wordt het veel makkelijker om slachtoffers naar een nagemaakte site te lokken.
Volgens SlowMist kunnen aanvallers bovendien frontend code downloaden met tools zoals ResourcesSaver en daar een vrijwel identieke phishingomgeving van maken. Dat maakt het risico extra groot, omdat slachtoffers dan niet alleen een bekende merknaam zien, maar ook een interface die sterk lijkt op de originele omgeving.
De screenshots laten intussen een withdraw omgeving zien waar meerdere assets verschijnen, waaronder Bitcoin, Litecoin, Dogecoin, Bitcoin Cash en Ethereum. Op de getoonde pagina staat bij de beschikbare saldi overal $0.00. Ook zijn 0 BTC, 0 LTC, 0 DOGE, 0 BCH en 0 ETH zichtbaar. Dat verandert niets aan de kern van de kritiek: beveiligingsexperts vinden het onacceptabel dat een centrale herstelstap om geheime walletgegevens vraagt via een gewone webinterface.
Waarom deze aanpak zoveel kritiek oproept
In de cryptosector geldt al jaren een simpele regel: wie de seed phrase bezit, heeft controle over de wallet. Daarom waarschuwen wallets, beurzen en securityonderzoekers gebruikers normaal gesproken om die woorden nooit te delen en nergens online in te vullen, behalve lokaal in een vertrouwde walletapp tijdens herstel. Juist daarom zorgt deze Coinbase Commerce pagina voor zoveel ongeloof. Meer over veilige crypto wallets en bescherming tegen crypto scams laat zien waarom dit zo gevoelig ligt.
Of Coinbase de pagina aanpast of van extra uitleg voorziet, zal waarschijnlijk snel duidelijk worden. Voor nu laat deze situatie vooral zien hoe gevaarlijk het is wanneer een grote naam gedrag normaliseert dat phishingaanvallers direct in hun voordeel kunnen gebruiken.
Volg ons op Google Nieuws en blijf altijd op de hoogte van het laatste crypto nieuws.
Claim 10 euro gratis Bitcoin
Wij mogen in samenwerking met Bitvavo, de grootste exchange van Nederland, maar liefst 10 euro aan Bitcoin of een andere crypto weggeven aan onze bezoekers. Ook mag je tot €10.000 commissievrij handelen binnen 7 dagen na je registratie.
Begin vandaag nog jouw avontuur met 10 euro gratis Bitcoin (hiervoor moet minimaal 10 euro gestort worden) en maak een account aan via onderstaande knop. De voorwaarden voor de actie vind je op de actiepagina.