Certora pondera sobre como a Coinbase poderia ter evitado o vazamento de dados em maio

O vazamento de dados da Coinbase &rsquo em maio de 2025 foi um forte lembrete de que as explorações mais assustadoras da criptografia &rsquo nem sempre acontecem no código de um aplicativo DeFi obscuro.

Ao contrário de hacks frios e calculados na lógica de programação, a engenharia social explora nossas vulnerabilidades mais humanas, com atores nefastos jogando com nosso medo e confusão para roubar milhões de dólares.

Certora , uma empresa líder em segurança de blockchain, argumenta que as trocas centralizadas precisam fazer mais para proteger seus usuários. Em um relatório recente, a Certora descreve a importância de práticas seguras de OpSec e sugere como Coinbase poderia’ter evitado que o vazamento de dados de maio acontecesse em primeiro lugar.

O vazamento de dados da Coinbase em maio colocou 69 mil usuários em risco

Em maio de 2025, os criminosos subornaram um grupo de empreiteiros offshore da Coinbase &rsquo, adquirindo dados de clientes altamente confidenciais, como passaportes, identificadores bancários e números de previdência social mascarados.

A divulgação inicial daCoinbase&rsquo indicou que o vazamento afetou menos de 1% de seus usuários que realizam transações mensais. De acordo com o escritório do Procurador-Geral do Maine, os documentos regulatórios de relatórios confirmam que o incidente colocou até 69.641 pessoas em risco de ataques de engenharia social.

Os relatórios indicam que a fuga de dados sensíveis ocorreu já em dezembro de 2024. É impossível saber a extensão dos danos que podem ter sido causados antes que a violação fosse descoberta em 11 de maio de 2025. A Coinbase, desde então, tornou inteiros os clientes afetados que foram alvos dos criminosos e perderam fundos.

Mesmo que você se considere um veterano da criptografia, você ainda não está imune aos danos que os vazamentos de dados podem causar. O cofundador da Solana Labs, Raj Gokal, provavelmente não foi enganado por um golpe de engenharia social, mas certamente não gostou de ter suas informações pessoais compartilhadas na Internet.

O que a Coinbase deveria’ter feito

Certora, uma empresa líder em segurança de blockchain, postula que a engenharia social é um dos vetores de ataque mais fáceis disponíveis para atores maliciosos. O demográfico não praticado, mas cripto-curioso, é um fruto fácil para golpistas experientes. Por que tentar encontrar fendas em protocolos auditados e endurecidos pela batalha quando você pode convencer alguém de que você ’ é um funcionário da Coinbase e “ ajuda ” eles protegem sua conta?

Embora os investidores sejam responsáveis por se educarem até um certo nível, Certora argumenta que as bolsas precisam melhorar seu jogo e “ levar em conta o fato de que insiders vulneráveis, sejam maliciosos ou não, são suscetíveis a comprometer.”

Certora defende o impulso crescente de um movimento OpSec chamado Zero Trust Architecture, ou ZTA. Simplificando, a ZTA exige que as equipas deixem de confiar na "rede da empresa" como uma bolha segura. Trabalho remoto, aplicativos em nuvem e phishing desonesto tornam esse perímetro de segurança poroso e inseguro.

As bolsas precisam perceber que seus funcionários são vulneráveis a erros de OpSec e bloquear cada recurso sensível com suas próprias regras e verificações de acesso. Cada pedido é verificado e é-lhe dada apenas a quantidade mínima absoluta de dados necessários. Dessa forma, uma única conta comprometida não pode vaguear ou causar danos maiores.

Voltando ao exemplo da Coinbase, a Certora levanta uma questão válida sobre as autoridades de acesso e a visibilidade de dados confidenciais dada a contratados no exterior. Não há razão para que um agente de apoio ao cliente tenha acesso ao passaporte de um utilizador, muito menos aos seus números de segurança social mascarados e ao histórico abrangente da conta.

Como se proteger de ataques de engenharia social

Embora a Coinbase evidentemente tenha deixado a bola cair neste caso, os indivíduos ainda são fortemente encorajados a se educar sobre as práticas de segurança. Mesmo que os investidores estejam assustados com a perspetiva de autocustódia, aqueles que armazenam ativos em bolsas centralizadas ainda se beneficiariam de algumas regras douradas e inquebráveis:

• Desconfie do contato de entrada - Nenhuma bolsa jamais entrará em contato com você pedindo sua senha, códigos 2FA ou frase-semente. Assuma que qualquer pessoa que peça estas informações tem intenções maliciosas.

• Definir uma lista de permissões de retirada - Apenas permita retiradas para selecionar endereços que você controla e bloquear todos os outros por padrão.

• Use contas de criptografia designadas - Use um e-mail e um número de contato exclusivos para todas as atividades de criptografia. Isto reduz a área de superfície dos vectores de ataque e os hackers não conseguem reunir facilmente dados suficientes para fazer spear-phish ou fazer-se passar por si.

• Definir limites de retirada - Se sua conta for comprometida, isso ajudará a evitar que hackers roubem seus ativos de uma só vez. Mesmo algumas horas podem ser a diferença entre perder tudo e bloquear sua conta no tempo.

O crescimento prolífico e a adoção da criptografia em 2025 são extremamente benéficos para a indústria. Infelizmente, o influxo de milhões de novos usuários e investidores é uma perspetiva de dar água na boca para atores mal-intencionados. As trocas precisam melhorar seu jogo para proteger os usuários, ou a indústria nunca superará os danos à reputação causados por vazamentos de segurança como o erro recente da Coinbase ’

Leia mais sobre o SolanaFloor

Prop AMMs estão dominando Solana DeFi

HumidiFi Coroado Solana’s Maior DEX por Volume de Negociação

Essenciais de segurança de criptografia