大手仮想通貨ウォレットCoinomiは、盗難で多額の現金を失った後、ウォレットにセキュリティ上の欠陥を発見したユーザーを呼び掛けている。 このウォレットに対してユーザーはTwitter上で、当該ユーザーは実際に自分の損失に抗議しているのだから、ウォレットは責任を主張すべきだと訴えている。
メッセージを明確にしておきますが、私たちは恐喝者と交渉しません。
@warith2020とのヘルプデスク通信の全文は次のとおりです(脅迫は失敗しました)。
— Coinomi (@CoinomiWallet) 2019年2月27日
オマーンを拠点とする暗号通貨事業者でコーディング活動家のワリス・アル・マーワリ氏は、暗号通貨ウォレット Coinomi の重大な脆弱性を明らかにしました。 伝えられるところによると、ウォレットは秘密のシードフレーズを暗号化せずに第三者に送信しているとのことです。 この脆弱性により、ハッカーや詐欺師が単純なテキストで渡されたこの秘密のフレーズを使用し、ユーザーから暗号通貨を盗むことが可能になります。
その後、マーワリ氏はCoinomiウォレットを嘲笑するツイートを固定し、現在約6万~7万ドル(約6万~7万ドル)の損失を抱えている。 同氏は、窃盗はCoinomiウォレットを通じて可能となり、ウォレットによる情報の取り扱いが損失の原因であると主張した。
マーワリ氏は、ウォレットがGoogleのスペルチェッカーを使用し、秘密鍵をGoogleのサーバーに送信していると説明した。 傍受ソフトウェアを使用している人は誰でも実際にフレーズをtrac、それを使用してアカウントから資金を盗むことができます。
タイを拠点とするセキュリティ専門家ルーク・チャイルズ氏も、ツイートとビデオで、ウォレットが実際にプライベートであるはずのこの情報をサードパーティのサーバーに送信しており、その情報は傍受される可能性があることを認めた。
セキュリティの脆弱性@CoinomiWallet は、プレーン テキストのシード フレーズを入力すると、Google のリモート スペルチェッカー API に送信します。 これは冗談ではありません!
証拠としてビデオを添付しました。
@warith2020の功績です。詳細については、こちらをご覧ください: https://t.co/tCZ0hDPyJ3 pic.twitter.com/hdaPOb84A9
— ルーク・チャイルズ☂️ (@lukechilds) 2019年2月27日
マーワリ氏の公開後にウォレットが公開した会話を徹底的に読んだところ、コイノミのスタッフが何日もユーザーを足止めして、ユーザーの損失を世間に共有するよう強要していたことが明らかになった。 彼は資産の返還を要求しましたが、ウォレット管理者は彼が報奨金を受け取ると信じていたにもかかわらず、同意しませんでした。 しかし、ウォレットはまた、ハッキングがCoinomiの問題であることは証明されておらず、ユーザーへの報奨金の提供に直接矛盾しているとも主張した。