Крупный криптовалютный кошелек Coinomi обращается к пользователю, который обнаружил сбой в системе безопасности своего кошелька после потери крупной суммы денег в результате кражи. Кошелек был вызван в Твиттере пользователями, что указанный пользователь на самом деле протестует против своих потерь, и кошелек должен взять на себя ответственность .
Пусть сообщение будет ясным, мы не ведем переговоры с шантажистами.
Вот полная переписка службы поддержки с @warith2020 (неудачный шантаж):
— койноми (@CoinomiWallet) 27 февраля 2019 г.
Варит Аль Маавали, криптовалютный активист из Омана, обнаружил серьезную уязвимость в криптовалютном кошельке Coinomi. Сообщается, что кошелек отправляет секретные начальные фразы без какого-либо шифрования третьим лицам. Эта уязвимость позволяет хакерам и мошенникам использовать эту секретную фразу, переданную в виде простого текста, и красть криптовалюту у пользователей.
С тех пор Маавали опубликовал твит, высмеивающий кошелек Coinomi, и в настоящее время теряет от шестидесяти до семидесяти тысяч долларов (60–70 тысяч долларов). Он утверждал, что кража стала возможной через кошелек Coinomi, и обработка информации кошельком является причиной его потерь.
Маавали объяснил, что кошелек использует проверку орфографии Google и отправляет свои секретные ключи на сервер Google. Любой, кто использует программное обеспечение для перехвата, может trac фразу и использовать ее для кражи средств со счета.
Эксперт по безопасности из Таиланда Люк Чайлдс также подтвердил в твите и видео, что кошелек действительно отправляет эту информацию, которая должна быть конфиденциальной, на сторонний сервер, и эта информация может быть перехвачена.
УЯЗВИМОСТЬ ЗАЩИТЫ @CoinomiWallet отправляет исходную фразу в виде обычного текста в API удаленной проверки орфографии Google, когда вы ее вводите! Это не шутка!
Видео прилагается для доказательства.
Спасибо @warith2020 за обнаружение проблемы, подробнее читайте здесь: https://t.co/tCZ0hDPyJ3 pic.twitter.com/hdaPOb84A9
— Люк Чайлдс ☂️ (@lukechilds) 27 февраля 2019 г.
Тщательное чтение разговора, обнародованного кошельком после того, как Maawali стал достоянием общественности, показывает, что сотрудники Coinomi задерживали пользователя в течение нескольких дней, подталкивая его к тому, чтобы он поделился своими потерями с общественностью. Он запросил возврат своих активов, однако администрация кошелька не согласилась с ним, несмотря на то, что поверила ему, что он получит награду. Тем не менее, кошелек также утверждал, что взлом не был проблемой Coinomi, что прямо противоречит их предложению вознаграждения пользователю.