Coinomi-Problem aufgrund einer SicherheitslückeDie große Kryptowährungs-Wallet Coinomi kritisiert einen Nutzer, der nach einem Diebstahl, der ihm einen erheblichen Geldbetrag kostete, eine Sicherheitslücke in seiner Wallet entdeckt hatte. Auf Twitter werfen Nutzer dem Wallet vor, lediglich gegen seine Verluste zu protestieren; Coinomi solle die Verantwortung übernehmen.
Um es klarzustellen: Wir verhandeln nicht mit Erpressern.
Hier ist der vollständige Schriftverkehr mit dem Helpdesk an @warith2020 (ein missglückter Erpressungsversuch):
— coinomi (@CoinomiWallet) 27. Februar 2019
Warith Al Maawali, ein in Oman ansässiger Krypto- und Programmieraktivist, deckte eine schwerwiegende Sicherheitslücke in der Krypto-Wallet Coinomi auf. Die Wallet sendet die geheimen Seed-Phrasen offenbar unverschlüsselt an Dritte. Diese Schwachstelle ermöglicht es Hackern und Betrügern, die im Klartext übermittelten geheimen Phrasen zu missbrauchen und Kryptowährungen von Nutzern zu stehlen.
Maawali hat daraufhin einen Tweet veröffentlicht, in dem er sich über die Coinomi-Wallet lustig macht, und beläuft sich aktuell auf einen Verlust von etwa 60.000 bis 70.000 US-Dollar. Er behauptet, der Diebstahl sei durch die Coinomi-Wallet ermöglicht worden und der Umgang der Wallet mit den Daten sei die Ursache für seine Verluste.
Maawali erklärte, dass die Wallet die Google-Rechtschreibprüfung nutzt und ihre geheimen Schlüssel an den Google-Server sendet. Jeder, der eine Abhörsoftware verwendet, kann diese Phrase tracund damit das Guthaben vom Konto stehlen.
Der in Thailand ansässige Sicherheitsexperte Luke Childs bestätigte ebenfalls in einem Tweet und einem Video, dass die Wallet diese eigentlich privaten Informationen tatsächlich an den Server eines Drittanbieters sendet und dass diese Informationen abgefangen werden können.
SICHERHEITSSCHWÄCHE: @CoinomiWallet sendet Ihre unverschlüsselte Seed-Phrase beim Eingeben an die Google-API für Rechtschreibprüfung! Das ist kein Scherz!
Als Beweis ist ein Video beigefügt.
Ein Dank geht an @warith2020 für das Auffinden des Problems. Mehr dazu hier: https://t.co/tCZ0hDPyJ3 pic.twitter.com/hdaPOb84A9
— Luke Childs ☂️ (@lukechilds) 27. Februar 2019
Eine genaue Analyse des vom Wallet nach Maawalis Veröffentlichung freigegebenen Gesprächsverlaufs zeigt, dass die Coinomi-Mitarbeiter den Nutzer tagelang hingehalten und ihn so weit getrieben hatten, dass er seine Verluste öffentlich machte. Er forderte die Rückerstattung seiner Guthaben, doch die Wallet-Administration verweigerte ihm diese, obwohl sie ihm die Auszahlung der Belohnung zugesichert hatte. Gleichzeitig behauptete das Wallet jedoch, der Hack sei nicht auf Coinomi zurückzuführen, was im direkten Widerspruch zu ihrem Belohnungsangebot an den Nutzer steht.
