Coinomi emite alerta sobre vulnerabilidade de segurançaA Coinomi, uma das principais carteiras de criptomoedas, está criticando o usuário que descobriu uma falha de segurança em sua carteira após perder uma grande quantia de dinheiro em um roubo. Usuários da plataforma criticaram carteira
Que fique bem claro: não negociamos com chantagistas.
Segue abaixo a correspondência completa do Helpdesk com @warith2020 (uma tentativa de chantagem que deu errado):
— coinomi (@CoinomiWallet) 27 de fevereiro de 2019
Warith Al Maawali, um ativista de criptomoedas e programação baseado em Omã, revelou uma grande vulnerabilidade na carteira de criptomoedas Coinomi. Segundo relatos, a carteira envia as frases-semente secretas sem criptografia para terceiros. Essa vulnerabilidade permite que hackers e golpistas usem essa frase-semente, transmitida em texto simples, para roubar criptomoedas dos usuários.
Desde então, Maawali fixou um tweet zombando da carteira Coinomi e atualmente acumula um prejuízo de cerca de sessenta a setenta mil dólares (US$ 60 a 70 mil). Ele alegou que o roubo foi possível graças à carteira Coinomi e que o gerenciamento de informações realizado pela carteira é a razão de suas perdas.
Maawali explicou que a carteira usa um corretor ortográfico do Google e envia suas chaves secretas para o servidor do Google. Qualquer pessoa que utilize um software de interceptação pode traca frase e usá-la para roubar os fundos da conta.
Luke Childs, especialista em segurança baseado na Tailândia, também confirmou em um tweet e em um vídeo que a carteira está de fato enviando essas informações, supostamente privadas, para um servidor de terceiros, e que essas informações podem ser interceptadas.
VULNERABILIDADE DE SEGURANÇA: @CoinomiWallet envia sua frase mnemônica em texto simples para a API remota de verificação ortográfica do Google quando você a digita! Isso não é brincadeira!
Vídeo em anexo como prova.
Créditos para @warith2020 por ter encontrado o problema. Leia mais sobre isso aqui: https://t.co/tCZ0hDPyJ3 pic.twitter.com/hdaPOb84A9
— Luke Childs ☂️ (@lukechilds) 27 de fevereiro de 2019
Uma análise minuciosa da conversa tornada pública pela carteira após Maawali expor o caso revela que a equipe da Coinomi vinha protelando o usuário por dias, pressionando-o até que ele revelasse suas perdas publicamente. Ele solicitou o reembolso de seus ativos, porém, a administração da carteira se recusou, apesar de acreditar que ele receberia a recompensa. Além disso, a carteira alegou que não havia sido comprovado que o ataque hacker fosse um problema da Coinomi, contradizendo diretamente a oferta de recompensa feita ao usuário.
