Critiche alla Pratica di Prelievo di Coinbase Commerce
La pagina di prelievo della frase seme di Coinbase Commerce sta suscitando forti critiche da parte dei ricercatori di sicurezza, che avvertono che questa pratica normalizza l’inserimento di frasi di recupero di 12 parole su un sito web, a pochi giorni dalla scadenza della chiusura del 31 marzo.
Controversia e Preoccupazioni di Sicurezza
Un sottodominio appartenente a Coinbase Commerce — il servizio di pagamenti per commercianti dell’azienda — ha attirato l’attenzione di importanti esperti di sicurezza blockchain dopo che è stato scoperto che invitava gli utenti a inserire le loro frasi seme di 12 parole, note anche come frasi mnemoniche o di recupero, direttamente in un modulo web in testo semplice.
“Questa pratica dimostra un’incredibile mancanza di consapevolezza della sicurezza” – Yu Xian, fondatore di SlowMist.
La controversia è esplosa mercoledì e si è intensificata giovedì mattina, con la consapevolezza che ciò avviene in un momento particolarmente delicato: Coinbase chiuderà completamente Commerce entro il 31 marzo 2026, nell’ambito di una più ampia ristrutturazione della piattaforma sotto Coinbase Business, il che significa che decine di migliaia di commercianti hanno una finestra ristretta per prelevare i loro fondi.
Rischi di Sicurezza e Ingegneria Sociale
Il Chief Information Security Officer di SlowMist, noto come 23pds, ha intensificato l’allerta, sottolineando che la mappa del sito della pagina presenta difetti strutturali che rendono estremamente facile per gli attori malintenzionati replicarla. Utilizzando strumenti come ResourcesSaver, gli attaccanti possono scaricare il codice front-end e distribuire siti di phishing visivamente identici, particolarmente pericoloso quando combinato con domini simili a Coinbase che potrebbero ingannare anche utenti esperti.
Il problema fondamentale è uno di normalizzazione. Ogni protocollo di sicurezza legittimo nell’industria delle criptovalute si basa su un principio non negoziabile: una frase seme non dovrebbe mai essere inserita in alcun sito web, modulo o app in nessuna circostanza — nemmeno in uno ufficiale.
Implicazioni e Pressione su Coinbase
Creando un flusso di lavoro di recupero che richiede agli utenti di digitare la loro frase in un browser, Coinbase ha — sia intenzionalmente che per disattenzione — addestrato gli utenti ad accettare un comportamento che i truffatori sfruttano regolarmente. Coinfomania ha notato che lo strumento suggerisce persino di copiare frasi da Google Drive come passaggio intermedio, aumentando ulteriormente il rischio.
L’avvertimento di ZachXBT ha un peso particolare data la sua esperienza. Nel gennaio 2026, ha esposto una truffa di impersonificazione del supporto Coinbase che ha portato a circa 2 milioni di dollari in criptovalute rubate — uno schema che si basava sul fatto che gli utenti fossero condizionati a fidarsi delle interfacce a marchio Coinbase.
Fino a giovedì, Coinbase non aveva risposto pubblicamente alle critiche, nonostante molteplici richieste di commento. L’azienda ha offerto metodi di prelievo alternativi — incluso uno strumento di prelievo commerciale separato considerato più sicuro dai ricercatori — ma non ha rimosso o modificato la pagina della frase seme.
Con dodici giorni rimanenti fino a quando Commerce sarà disabilitato permanentemente, la pressione sull’exchange per agire sta aumentando rapidamente. Per l’azienda di criptovalute più prominente quotata in borsa, le scommesse reputazionali di un evento di phishing di massa innescato dai propri strumenti di migrazione potrebbero essere difficilmente più alte.
