Die große Kryptowährungs-Brieftasche Coinomi ruft den Benutzer, der einen Sicherheitsfehler in seiner Brieftasche gefunden hat, nachdem er bei dem Diebstahl eine beträchtliche Menge Geld verloren hat. Das Wallet wurde auf Twitter von Benutzern darauf hingewiesen, dass der besagte Benutzer tatsächlich gegen seine Verluste protestiert und das Wallet die Verantwortung übernehmen sollte.
Lassen Sie die Botschaft klar sein: Wir verhandeln nicht mit Erpressern.
Hier ist die vollständige Helpdesk-Korrespondenz mit @warith2020 (eine fehlgeschlagene Erpressung):
– Coinomi (@CoinomiWallet) 27. Februar 2019
Warith Al Maawali, ein im Oman ansässiger Kryptowährungs- und Programmieraktivist, enthüllte eine große Schwachstelle in der Kryptowährungs-Brieftasche Coinomi. Berichten zufolge sendet die Brieftasche die geheimen Seed-Phrasen ohne jegliche Verschlüsselung an die Drittanbieter. Diese Schwachstelle ermöglicht es Hackern und Betrügern, diese geheime Phrase zu verwenden, die in einfachem Text weitergegeben wird, und Kryptowährung von den Benutzern zu stehlen.
Maawali hat seitdem einen Tweet angeheftet, in dem er sich über die Coinomi-Brieftasche lustig macht, und steht derzeit bei einem Verlust von etwa sechzig- bis siebzigtausend Dollar (60.000 bis 70.000 $). Er behauptete, dass der Diebstahl durch die Coinomi-Brieftasche ermöglicht wurde und der Umgang mit Informationen durch die Brieftasche der Grund für seine Verluste sei.
Maawali hat erklärt, dass die Brieftasche eine Google-Rechtschreibprüfung verwendet und ihre geheimen Schlüssel an den Google-Server sendet. Jeder, der eine Abhörsoftware verwendet, kann die Phrase tatsächlich trac und damit das Geld vom Konto stehlen.
Der in Thailand ansässige Sicherheitsexperte Luke Childs hat auch in einem Tweet und einem Video bestätigt, dass das Wallet tatsächlich diese angeblich privaten Informationen an den Server des Drittanbieters sendet und die Informationen abgefangen werden können.
SICHERHEITSVULNERABILITÄT @CoinomiWallet sendet Ihre Klartext-Seed-Phrase an Googles Remote-Spellchecker-API, wenn Sie sie eingeben! Das ist kein Witz!
Video zum Beweis angehängt.
geht an @warith2020 für das Auffinden des Problems. Lesen Sie hier mehr von ihm: https://t.co/tCZ0hDPyJ3 pic.twitter.com/hdaPOb84A9
— Luke Childs ☂️ (@lukechilds) 27. Februar 2019
Eine gründliche Lektüre des Gesprächs, das von der Brieftasche veröffentlicht wurde, nachdem Maawali an die Öffentlichkeit gegangen war, zeigt, dass die Mitarbeiter von Coinomi den Benutzer tagelang aufgehalten hatten, um ihn an den Punkt zu bringen, an dem er seine Verluste mit der Öffentlichkeit teilen würde. Er beantragte eine Rückerstattung seines Vermögens, aber die Brieftaschenverwaltung stimmte ihm nicht zu, obwohl sie ihm geglaubt hatte, dass er das Kopfgeld erhalten würde. Die Brieftasche behauptete jedoch auch, dass sich der Hack nicht als Coinomi-Problem herausgestellt habe, was in direktem Widerspruch zu ihrem Prämienangebot an den Benutzer stehe.