Coinbase Commerce steht in der Kritik, nachdem Sicherheitsforscher auf eine auffällige Wiederherstellungsseite aufmerksam geworden sind, die Nutzer auffordert, ihre Seed Phrase im Klartext einzugeben. Auf Screenshots der Withdraw-Umgebung ist zu sehen, dass die Plattform Besucher dazu auffordert, eine 12 Wörter umfassende Recovery Phrase oder einen Private Key einzufügen, um Assets wiederherzustellen. Nach Einschätzung der Forscher öffnet dies die Tür für Phishing, Social Engineering und Missbrauch durch Angreifer, die diese Seite leicht nachbilden können.
Bitcoin ist bei Bitvavo und Bybit erhältlich.
Forscher schlagen Alarm wegen Wiederherstellungsseite
Die Diskussion beginnt, nachdem SlowMist-Gründer Cos auf X eine Coinbase-Commerce-Seite teilt, auf der Nutzer ihre geheime Wiederherstellungsphrase eingeben sollen. Die Seite verweist sogar auf ein Cloud-Backup und nennt Google Drive als Ort, an dem diese Daten abgerufen werden können. Das sorgt sofort für Kritik, weil eine Seed Phrase grundsätzlich niemals in eine gewöhnliche Webseite eingegeben werden sollte.
Cos bezeichnet diese Vorgehensweise als unsicher und zeigt sich überrascht, dass Coinbase eine solche Seite live geschaltet hat. In seinem Beitrag schreibt er, dass er zunächst sogar vermutet habe, der Subdomain-Name könnte möglicherweise kompromittiert worden sein. Die betreffende Seite wird in seinem Beitrag auf X genannt.
Auch Wu Blockchain greift das Thema auf und fasst die Kritik zusammen. Dem Beitrag zufolge warnt SlowMist davor, dass die Withdraw-Seite ein extrem unsicheres Verhalten zeige, weil Nutzer aufgefordert werden, ihre Mnemonic Phrase direkt einzugeben. Wu Blockchain verweist zudem auf zusätzliche Sorgen hinsichtlich eines möglichen Missbrauchs durch Kriminelle. Die Berichterstattung von Wu Blockchain findet sich in dem X-Beitrag, der dein Quellenmaterial zusammenfasst.
Phishingrisiko wächst durch leicht kopierbare Oberfläche
Blockchain-Forscher ZachXBT geht noch einen Schritt weiter. Er erklärt, dass Angreifer diese Coinbase-Seite als Vorlage für Social-Engineering-Angriffe nutzen können. Sobald ein echter Dienst den Nutzern beibringt, dass es normal sei, eine Seed Phrase in ein Webformular einzugeben, wird es erheblich leichter, Opfer auf eine gefälschte Website zu locken.
Nach Angaben von SlowMist können Angreifer zudem Frontend-Code mit Tools wie ResourcesSaver herunterladen und daraus eine nahezu identische Phishing-Umgebung erstellen. Das vergrößert das Risiko zusätzlich, weil Opfer dann nicht nur einen bekannten Markennamen sehen, sondern auch eine Oberfläche, die der Originalumgebung stark ähnelt.
Die Screenshots zeigen inzwischen eine Withdraw-Umgebung, in der mehrere Assets erscheinen, darunter Bitcoin, Litecoin, Dogecoin, Bitcoin Cash und Ethereum. Auf der gezeigten Seite stehen bei den verfügbaren Guthaben überall $0.00. Außerdem sind 0 BTC, 0 LTC, 0 DOGE, 0 BCH und 0 ETH sichtbar. Das ändert jedoch nichts am Kern der Kritik: Sicherheitsexperten halten es für inakzeptabel, dass ein zentraler Wiederherstellungsschritt geheime Wallet-Daten über eine gewöhnliche Weboberfläche abfragt.
Warum dieser Ansatz so viel Kritik hervorruft
In der Kryptobranche gilt seit Jahren eine einfache Regel: Wer die Seed Phrase besitzt, hat die Kontrolle über die Wallet. Deshalb warnen Wallets, Börsen und Sicherheitsforscher Nutzer normalerweise davor, diese Wörter jemals weiterzugeben oder irgendwo online einzugeben, außer lokal in einer vertrauenswürdigen Wallet-App während einer Wiederherstellung. Genau deshalb sorgt diese Coinbase-Commerce-Seite für so viel Unverständnis. Mehr über sichere Kryptowallets und den Schutz vor Kryptobetrug zeigt, warum dieses Thema so sensibel ist.
Ob Coinbase die Seite anpasst oder mit zusätzlichen Erläuterungen versieht, dürfte sich wahrscheinlich schon bald zeigen. Vorerst zeigt diese Situation vor allem, wie gefährlich es ist, wenn ein großer Name ein Verhalten normalisiert, das Phishing-Angreifer unmittelbar zu ihrem Vorteil nutzen können.
10 Euro kostenloses Bitcoin-Guthaben sichern
In Zusammenarbeit mit Bitvavo, einer der größten europäischen Krypto-Exchanges, dürfen wir unseren Besuchern 10 Euro in Bitcoin oder eine andere Kryptowährung schenken. Zusätzlich können Sie bis zu 10.000 € innerhalb der ersten 7 Tage nach Ihrer Registrierung komplett provisionsfrei handeln.
Starten Sie noch heute Ihr Abenteuer mit 10 Euro kostenlosem Bitcoin-Guthaben (eine Mindesteinzahlung von 10 € ist erforderlich) und erstellen Sie ein Konto über den untenstehenden Button. Die vollständigen Bedingungen zu dieser Aktion finden Sie auf der Aktionsseite.
Bitvavo verfügt über eine MiCA-Lizenz und bietet mehr als 400 Kryptowährungen an.