problema di coinomi sulla vulnerabilità della sicurezzaIl principale wallet di criptovalute, Coinomi, sta denunciando l'utente che ha scoperto un problema di sicurezza nel suo wallet dopo aver perso una notevole quantità di denaro nel furto. Il wallet è stato criticato su Twitter dagli utenti, affermando che l'utente in questione sta in realtà protestando per le perdite e che il wallet dovrebbe rivendicarne la responsabilità.
Il messaggio sia chiaro: non negoziamo con i ricattatori.
Ecco la corrispondenza completa dell'Helpdesk con @warith2020 (un ricatto andato male):
— coinomi (@CoinomiWallet) 27 febbraio 2019
Warith Al Maawali, un attivista omanita specializzato in criptovalute e programmazione, ha rivelato una grave vulnerabilità nel portafoglio di criptovalute Coinomi. Secondo quanto riferito, il portafoglio sta inviando frasi segrete senza alcuna crittografia a terze parti. Questa vulnerabilità consente ad hacker e truffatori di utilizzare questa frase segreta trasmessa in formato testo semplice e rubare criptovalute agli utenti.
Da allora, Maawali ha pubblicato un tweet in cui prendeva in giro il portafoglio Coinomi e attualmente ha una perdita di circa sessanta-settantamila dollari (60-70mila dollari). Ha affermato che il furto è stato reso possibile tramite il portafoglio Coinomi e che la gestione delle informazioni da parte del portafoglio è la causa delle sue perdite.
Maawali ha spiegato che il portafoglio utilizza un correttore ortografico di Google e invia le proprie chiavi segrete al server di Google. Chiunque utilizzi un software di intercettazione può effettivamente tracla frase e usarla per rubare i fondi dall'account.
Anche l'esperto di sicurezza thailandese Luke Childs ha confermato in un tweet e in un video che il portafoglio sta effettivamente inviando queste informazioni, che dovrebbero essere private, al server di terze parti e che tali informazioni possono essere intercettate.
VULNERABILITÀ DI SICUREZZA @CoinomiWallet invia la tua frase seed in testo normale all'API del correttore ortografico remoto di Google quando la inserisci! Non è uno scherzo!
Video allegato come prova.
Il merito va a @warith2020 per aver trovato il problema, leggi altri suoi commenti qui: https://t.co/tCZ0hDPyJ3 pic.twitter.com/hdaPOb84A9
— Luke Childs ☂️ (@lukechilds) 27 febbraio 2019
Un'analisi approfondita della conversazione resa pubblica dal wallet dopo la pubblicazione di Maawali rivela che lo staff di Coinomi aveva incalzato l'utente per giorni, spingendolo al punto di condividere le sue perdite con il pubblico. L'utente aveva richiesto il rimborso dei suoi asset, ma l'amministrazione del wallet non gli aveva dato il suo consenso, pur credendo che avrebbe ricevuto la ricompensa. Tuttavia, il wallet ha anche affermato che l'hack non era stato dimostrato essere un problema di Coinomi, in aperta contraddizione con la ricompensa offerta all'utente.
