Coinbase criticado por un proceso de recuperación de frase semilla "increíble"

El método de recuperación "increíble" de Coinbase desata la indignación por la seguridad

El 19 de marzo, un investigador senior de seguridad criticó públicamente a Coinbase por una función de recuperación de billetera que solicita a los usuarios que ingresen su frase semilla mnemónica completa en texto plano. Yu Xian, el fundador de la firma de seguridad blockchain SlowMist, describió la práctica en las redes sociales como "increíble", destacando un riesgo de seguridad fundamental. Requerir que un usuario escriba o pegue su clave maestra en un formulario web la expone a ataques de portapapeles, keyloggers y esquemas de phishing, anulando efectivamente el principio de seguridad central de mantener una frase semilla sin conexión en todo momento. Esta elección de diseño transfiere la responsabilidad de asegurar el entorno digital completamente al usuario, un punto de fallo significativo incluso para individuos técnicamente competentes.

La vulnerabilidad de la frase semilla permite el presunto robo de 176 millones de dólares en Bitcoin

Los riesgos exactos asociados con las frases semilla expuestas se demuestran claramente en un caso reciente del Tribunal Superior del Reino Unido. Un demandante, Ping Fai Yuen, alega que su esposa robó 2.323 Bitcoins, valorados en aproximadamente 176 millones de dólares, utilizando secretamente una cámara de seguridad para grabar su frase semilla y las credenciales de su billetera. Los documentos judiciales muestran que los fondos fueron posteriormente transferidos a 71 direcciones diferentes en diciembre de 2023. Este caso proporciona un ejemplo dramático y real de cómo incluso la proximidad física puede comprometer una frase semilla si alguna vez se expone visualmente. El presunto robo subraya la necesidad crítica de procesos de recuperación que no requieran que los usuarios revelen su clave secreta maestra en ningún formato digital u observable.

La industria avanza hacia billeteras "sin semilla" con tecnología Passkey

En respuesta directa a las debilidades inherentes de las frases semilla gestionadas por el usuario, la industria está avanzando hacia métodos de autenticación más robustos. La firma de infraestructura de Bitcoin Breez integró recientemente el inicio de sesión Passkey en su SDK, permitiendo a los desarrolladores construir billeteras de autocustodia que no dependen de las frases tradicionales de 12 palabras para el acceso rutinario. Esta tecnología, basada en el estándar FIDO2 WebAuthn, utiliza biometría en el dispositivo como Face ID o escaneos de huellas dactilares para autenticar a los usuarios y derivar claves. La clave privada nunca sale del hardware seguro del dispositivo, como el Secure Enclave de Apple o el chip Titan de Android, protegiéndola de amenazas en línea. Este cambio reformula el modelo de seguridad en torno a las protecciones familiares a nivel de dispositivo, con el objetivo de hacer que la autocustodia sea más segura y accesible para una audiencia general.