A Coinbase tem enfrentado críticas severas de investigadores de criptomoedas, como ZachXBT e tanuki42, por falhas em seu sistema de segurança e pela gestão inadequada de incidentes de fraudes que estão custando milhões de dólares aos investidores mensalmente.
No dia 3 de fevereiro de 2025, ZachXBT e tanuki42, da plataforma zeroShadow, revelaram que, nos meses de dezembro de 2024 e janeiro de 2025, mais de US$ 65 milhões foram roubados de usuários da Coinbase. Eles explicaram que esse valor é uma estimativa conservadora, pois suas investigações não conseguiram acessar todas as informações relevantes, como queixas policiais, o que poderia elevar ainda mais o montante perdido. ZachXBT comentou em uma publicação no X: “Os números que apresentamos são provavelmente bem abaixo da realidade, já que os dados que usamos se baseiam apenas em mensagens diretas e roubos identificados na blockchain, sem considerar os registros de suporte ou relatórios policiais, aos quais não temos acesso”.
Segundo as investigações dos especialistas, os golpes de engenharia social têm sido a principal ameaça à segurança dos usuários da Coinbase. Eles estimaram que, ao longo de um ano, os usuários da plataforma perderam mais de US$ 300 milhões devido a fraudes desse tipo. A maioria dos ataques tem origem em agentes de ameaças localizados na Índia, que se concentram principalmente em vítimas nos Estados Unidos.
Um aspecto que chama atenção no relatório é a recomendação da Coinbase de que seus usuários evitem o uso de redes privadas virtuais (VPNs), com o intuito de não serem erroneamente sinalizados pelo sistema de segurança interno da exchange. No entanto, os investigadores apontaram que os golpistas têm bloqueado VPNs em sites de phishing, o que, para eles, evidencia a incapacidade da Coinbase de identificar e tratar a verdadeira raiz do problema.
Além dos golpes de engenharia social, ZachXBT e tanuki42 destacaram falhas persistentes de segurança na plataforma. Dentre as vulnerabilidades identificadas estão explorações envolvendo chaves de API antigas, um bug relacionado ao código de verificação e a lavagem de fundos roubados. Esses problemas não foram devidamente abordados pela Coinbase, permitindo que os criminosos continuassem suas atividades com facilidade.
ZachXBT também criticou a Coinbase por sua falta de eficácia na detecção e reporte de endereços de roubo, além da ineficiência dos seus “agentes de suporte ao cliente”. Ele também mencionou a dificuldade de oferecer suporte adequado para usuários em fusos horários fora dos Estados Unidos, o que só contribui para a frustração dos clientes.
Em sua conclusão, ZachXBT afirmou que a Coinbase precisa urgentemente tomar medidas para reverter essa situação. Ele alertou que, sem mudanças substanciais, a plataforma continuará a ser um alvo fácil para criminosos, com cada vez mais usuários perdendo milhões todos os meses devido a falhas não resolvidas na segurança.
