ZachXBT signale que la page de récupération de Coinbase Commerce demande aux utilisateurs de saisir leur phrase de récupération de 12 mots, soulevant des préoccupations de phishing et d'ingénierie sociale.
Une page en ligne sur le domaine officiel de Coinbase suscite une alerte de sécurité chez les chercheurs. La page, hébergée à l’adresse withdraw.commerce.coinbase.com, demande aux utilisateurs de saisir une phrase de récupération de 12 mots dans le cadre d’un processus de récupération d’actifs lié à Coinbase Commerce. La plateforme n’a pas retiré la page.
L’enquêteur en chaîne ZachXBT a lancé l’alerte sur X, se demandant si Coinbase avait réfléchi aux risques qu’une telle page pourrait engendrer. « Donc, en gros, Coinbase a une page officielle en ligne que des acteurs malveillants peuvent utiliser pour cibler les utilisateurs de Coinbase via ingénierie sociale sur la phrase de récupération si ils le veulent ? » a écrit ZachXBT. Le message a rapidement suscité des milliers d’interactions.
Quand une page officielle devient une arme
Le chercheur en sécurité evilcos a signalé la même page plus tôt sur X, affirmant que demander aux utilisateurs d’entrer une phrase mnémonique en clair était difficile à croire venant d’un grand échange. Il a indiqué que le sous-domaine semblait initialement compromis, mais ce n’était pas le cas. La page est officielle.
La documentation d’aide de Coinbase Commerce, visible sur la page de récupération, explique le processus. Elle indique que les fonds des commerçants peuvent être répartis sur des centaines, voire des milliers d’adresses de portefeuille, car Commerce génère une nouvelle adresse pour chaque paiement reçu. Importer la phrase de récupération dans un portefeuille standard peut ne pas afficher le solde complet. En effet, ces portefeuilles ne scannent généralement que les 20 premières adresses non utilisées. Pour Bitcoin et autres actifs basés sur UTXO, Coinbase conseillait aux utilisateurs d’utiliser l’outil de retrait avant le 31 mars 2026.
La documentation indique aussi comment récupérer une phrase de récupération sauvegardée sur Google Drive, puis la saisir dans l’outil de retrait. C’est là que les chercheurs voient un risque.
Deux problèmes distincts, une page très dangereuse
Le chercheur en sécurité im23pds a publié sur X en décomposant la problématique en deux points. D’abord, même si le lien provient d’un domaine officiel de Coinbase, demander aux utilisateurs de transmettre leur phrase mnémonique pour vérifier leurs actifs est une négligence selon toutes les normes de sécurité. Ensuite, le site possède un plan du site (sitemap) défectueux. Des attaquants pourraient utiliser des outils comme ResourcesSaver pour télécharger tout le code front-end et déployer une copie presque identique. Associé à un domaine ressemblant, cela facilite grandement une campagne de phishing Coinbase.
Dans un autre message antérieur, im23pds a noté que la page avait été construite de manière négligente, sans même avoir mis en place un sitemap. Ce genre d’oubli rend la page encore plus accessible à quiconque souhaite en copier la structure.
Et la page est faite très à la va-vite… sitemap non configuré, et ça a été mis en ligne direct :-)
👇 pic.twitter.com/wdzBOti5w8
— 23pds (山哥) (@im23pds) 19 mars 2026
Source : im23pds
Le danger principal est simple. Les acteurs malveillants n’ont pas besoin de pirater les systèmes de Coinbase. Ils orientent un utilisateur vers une version factice d’une page officielle existante qui demande une phrase de récupération. L’utilisateur, conditionné par la page réelle, la transmet.
Le schéma plus large
Ce n’est pas un nouveau procédé pour l’échange. ZachXBT a déjà documenté comment des acteurs malveillants exploitent la marque Coinbase dans des campagnes d’ingénierie sociale, en usurpant l’identité et en utilisant de faux canaux de support pour vider des portefeuilles. La page de récupération de Commerce, dans ce cas, prépare le terrain pour les escrocs sans qu’il soit nécessaire d’usurper une identité.
La page reste en ligne. Coinbase n’a pas répondu publiquement aux préoccupations soulevées.
