Проблема Coinomi связана с уязвимостью системы безопасностиКрупнейший криптовалютный кошелёк Coinomi критикует пользователя, обнаружившего уязвимость в системе безопасности после кражи крупной суммы денег. Пользователи в Твиттере написали, что пользователь на самом деле протестует против своих потерь, и что кошелёк должен взять на себя ответственность .
Давайте ясно скажем: мы не ведем переговоров с шантажистами.
Вот полная переписка службы поддержки с @warith2020 (шантаж пошел не по плану):
— coinomi (@CoinomiWallet) 27 февраля 2019 г.
Варит Аль Маавали, криптовалютный активист и программист из Омана, раскрыл серьёзную уязвимость криптовалютного кошелька Coinomi. Сообщается, что кошелёк отправляет третьим лицам секретные сид-фразы без шифрования. Эта уязвимость позволяет хакерам и мошенникам использовать эту секретную фразу, переданную в виде простого текста, и красть криптовалюту у пользователей.
Мавали с тех пор опубликовал твит, высмеивающий кошелёк Coinomi, и в настоящее время несёт убытки в размере около шестидесяти-семидесяти тысяч долларов (60-70 тысяч долларов). Он утверждает, что кража стала возможной благодаря кошельку Coinomi, и именно обработка информации этим кошельком стала причиной его потерь.
Маавали объяснил, что кошелёк использует проверку орфографии Google и отправляет свои секретные ключи на сервер Google. Любой, кто использует программу перехвата, может tracфразу и использовать её для кражи средств со счёта.
Эксперт по безопасности из Таиланда Люк Чайлдс также подтвердил в своем твите и видео, что кошелек действительно отправляет эту информацию, которая должна быть конфиденциальной, на сторонний сервер, и эта информация может быть перехвачена.
УЯЗВИМОСТЬ БЕЗОПАСНОСТИ: @CoinomiWallet отправляет вашу исходную фразу в виде простого текста в API удалённой проверки орфографии Google при её вводе! Это не шутка!
В качестве доказательства прилагается видео.
Благодарим @warith2020 за обнаружение проблемы, подробнее читайте здесь: https://t.co/tCZ0hDPyJ3 pic.twitter.com/hdaPOb84A9
— Люк Чайлдс ☂️ (@lukechilds) 27 февраля 2019 г.
Внимательное прочтение переписки, опубликованной кошельком после того, как Maawali стал публичным, показывает, что сотрудники Coinomi несколько дней уговаривали пользователя поделиться своими потерями с общественностью. Он запросил возврат средств, однако администрация кошелька отказалась, хотя и верила, что он получит награду. При этом кошелёк также заявил, что взлом не был доказан как проблема Coinomi, что прямо противоречит предложению о награде пользователю.
