ZachXBT signale que la page de récupération de Coinbase Commerce demande aux utilisateurs de saisir leur phrase de récupération de 12 mots, soulevant des préoccupations de phishing et d'ingénierie sociale.
Une page en ligne sur le domaine officiel de Coinbase suscite l'alarme des chercheurs en sécurité. La page, hébergée à l'adresse withdraw.commerce.coinbase.com, demande aux utilisateurs de saisir une phrase de récupération de 12 mots dans le cadre d'un processus de récupération d'actifs lié à Coinbase Commerce. La plateforme n'a pas retiré la page.
L'enquêteur en chaîne ZachXBT a lancé l'alerte sur X, se demandant si Coinbase avait bien réfléchi à ce qu'une telle page pourrait permettre. « Donc en gros, Coinbase a une page officielle en ligne que des acteurs malveillants peuvent utiliser pour cibler les utilisateurs de Coinbase via ingénierie sociale sur la phrase de récupération si ils le veulent ? » a écrit ZachXBT. Le message a rapidement suscité des milliers d'interactions.
Quand une page officielle devient une arme
Le chercheur en sécurité evilcos a signalé la même page plus tôt sur X, affirmant que la pratique de demander aux utilisateurs d’entrer des phrases mnémoniques en clair était difficile à croire venant d’une grande plateforme. Il a indiqué que le sous-domaine semblait initialement avoir été compromis. Ce n’est pas le cas. La page est officielle.
La documentation d’aide de Coinbase Commerce, visible sur la page de récupération, explique le processus. Elle indique aux commerçants que leurs fonds peuvent être répartis sur des centaines voire des milliers d’adresses de portefeuille, car Commerce génère une nouvelle adresse pour chaque paiement reçu. Importer la phrase de récupération dans un portefeuille standard peut ne pas afficher le solde complet. En général, ces portefeuilles ne scannent que les 20 premières adresses inutilisées. Pour Bitcoin et autres actifs basés sur UTXO, Coinbase conseillait aux utilisateurs d’utiliser l’outil de retrait avant le 31 mars 2026.
La documentation indique aussi comment récupérer une phrase de récupération sauvegardée sur Google Drive, puis la saisir dans l’outil de retrait. C’est là que les chercheurs estiment que le risque réside.
Deux problèmes distincts, une page très dangereuse
Le chercheur en sécurité im23pds a publié sur X en décomposant la préoccupation en deux points distincts. D’abord, même si le lien provient d’un domaine officiel de Coinbase, demander aux utilisateurs de transmettre leur phrase mnémonique pour vérifier leurs actifs est imprudent selon toutes les normes de sécurité. Ensuite, le site présente un plan du site (sitemap) défectueux. Des attaquants pourraient utiliser des outils comme ResourcesSaver pour télécharger entièrement le code front-end et déployer une copie presque identique. Associé à un domaine ressemblant, cela facilite grandement une campagne de phishing Coinbase.
Dans un autre message antérieur, im23pds a noté sur X que la page avait été construite de manière négligente. L’équipe l’a lancée sans même mettre en place un sitemap. Ce genre d’oubli rend la page encore plus accessible à quiconque souhaite en copier la structure.
Et en plus, la page est faite très à la va-vite… sitemap non configuré, et ça a été mis en ligne direct :-)
👇 pic.twitter.com/wdzBOti5w8
— 23pds (山哥) (@im23pds) 19 mars 2026
Source : im23pds
Le danger principal est simple. Les acteurs malveillants n’ont pas besoin de pénétrer dans les systèmes de Coinbase. Ils orientent un utilisateur vers une version factice d’une page officielle existante qui demande une phrase de récupération. L’utilisateur, conditionné par la page réelle, la transmet.
Le schéma plus large
Ce n’est pas un nouveau schéma pour la plateforme. ZachXBT a déjà documenté comment des acteurs malveillants exploitent la marque Coinbase dans des campagnes d’ingénierie sociale, en usurpant l’identité et en utilisant de faux canaux de support pour vider des portefeuilles. La page de récupération de Commerce, dans ce cas, prépare le terrain pour les escrocs sans que personne n’ait besoin d’usurper quoi que ce soit.
La page reste en ligne. Coinbase n’a pas répondu publiquement aux préoccupations soulevées.
