Página de Coinbase Advierte sobre Riesgo de Seguridad en la Entrada de Frase Semilla

ZachXBT señala que la página de recuperación de Coinbase Commerce pide a los usuarios ingresar su frase semilla de 12 palabras, lo que genera preocupaciones de phishing y ingeniería social.

Una página en vivo en el dominio oficial de Coinbase está alertando a los investigadores de seguridad. La página, alojada en withdraw.commerce.coinbase.com, solicita a los usuarios ingresar una frase semilla de 12 palabras como parte de un proceso de recuperación de activos vinculado a Coinbase Commerce. La plataforma no ha eliminado la página.

El investigador en blockchain ZachXBT alertó en X, cuestionando si Coinbase había considerado lo que una página así podría permitir. “¿Básicamente Coinbase tiene una página oficial en vivo que los actores maliciosos pueden usar para atacar a los usuarios de Coinbase mediante ingeniería social con la frase semilla si quisieran?” escribió ZachXBT. La publicación recibió miles de interacciones casi de inmediato.

Cuando una página oficial se convierte en arma

El investigador de seguridad evilcos señaló anteriormente en X la misma página, diciendo que la práctica de pedir a los usuarios que ingresen frases mnemónicas en texto plano era difícil de creer en una plataforma importante. El investigador afirmó que el subdominio parecía haber sido comprometido inicialmente. Sin embargo, no fue así. La página es oficial.

La documentación de ayuda de Coinbase Commerce, visible en la página de recuperación, explica el proceso. Indica a los comerciantes que sus fondos pueden estar distribuidos en cientos o incluso miles de direcciones de cartera, ya que Commerce genera una nueva dirección por cada pago recibido. Al importar la frase semilla en una cartera estándar, puede que no se muestre el saldo completo. Las carteras estándar suelen escanear solo las primeras 20 direcciones no utilizadas. Para Bitcoin y otros activos basados en UTXO, Coinbase dirigió a los usuarios hacia la herramienta de retiro antes del 31 de marzo de 2026.

La documentación también instruye a los usuarios sobre cómo recuperar una frase semilla respaldada en Google Drive y luego ingresarla en la herramienta de retiro. Aquí es donde los investigadores dicen que reside el riesgo.

Dos problemas separados, una página muy peligrosa

El investigador de seguridad im23pds publicó en X que el problema se divide en dos cuestiones distintas. Primero, aunque el enlace proviene de un dominio oficial de Coinbase, solicitar a los usuarios que transmitan su frase mnemónica para verificar activos es una imprudencia desde cualquier estándar de seguridad. Segundo, el sitio web tiene un mapa del sitio defectuoso. Los atacantes podrían usar herramientas como ResourcesSaver para descargar completamente el código del front-end y desplegar una copia casi idéntica. Combinado con un dominio similar, esto facilita mucho la realización de campañas de phishing en Coinbase.

En una publicación anterior, im23pds señaló en X que la página fue construida de manera descuidada. La lanzaron sin siquiera configurar un mapa del sitio. Ese tipo de descuido hace que la página sea aún más accesible para quien quiera copiar su estructura.

而且页面做的非常不讲究… sitemap 这种不设置就直接上线了:-)
👇 pic.twitter.com/wdzBOti5w8

— 23pds (山哥) (@im23pds) 19 de marzo de 2026

Fuente: im23pds

El peligro principal es sencillo. Los actores maliciosos no necesitan hackear los sistemas de Coinbase. Solo apuntan a un usuario hacia una versión falsa de una página oficial ya existente que pide la frase semilla. El usuario, condicionado por la página real, la entrega.

El patrón más amplio aquí

Este no es un patrón nuevo para la plataforma. ZachXBT ha documentado previamente cómo los actores maliciosos explotan la marca de Coinbase en campañas de ingeniería social, usando suplantación y canales de soporte falsos para vaciar carteras. La página de recuperación de Commerce, en este caso, prepara el terreno para los estafadores sin que nadie tenga que hacerse pasar por otra persona.

La página sigue activa. Coinbase no ha respondido públicamente a las preocupaciones planteadas.