Kryptoměnová peněženka Coinomi čelí nepříjemnému odhalení. Zjistilo se, že z pohledu bezpečnosti je tato peněženka zranitelná a napadnutelná. Někteří uživatelé už údajně přišly o své prostředky. Podle zpráv, peněženka posílá celý text seed frází (recovery frází) třetí straně, a to službě Google Translate na kontrolu pravopisu.

Tým Coinomi se k danému problému vyjádřil až včera. Peněženka má na Google Play Store více než půl milionu stažení. Zmíněný problém se ale týká desktopové verze této peněženky.
Samotná peněženka na své webové stránce deklaruje následující:

Vaše osobní klíče nikdy neopustí vaše zařízení. Silné šifrování peněženky a kryptografie zaručují, že vaše prostředky zůstanou v bezpečí pod vaší kontrolou.

Nálezce kritické zranitelnosti přišel o prostředky
Warith Al Maawali je bezpečnostním IT konzultantem, který na danou zranitelnost peněženky přišel. Vytvořil web stránku avoid-coinomi.com, kde sdílí jeho zkušenost a později se o této události zmínil i na reddite.

Na začátek přiznávám, že je to moje chyba, že jsem věřil peněžence Coinomi tím, že jsem do ní vložil mou seed frázi z peněženky Exodus. Chtěl jsem přesunout některá aktiva, které nejsou podporovány na exodus do peněženky Coinomi použitím stejných frází.

IT konzultant dále vysvětluje, že aplikace, která byla uživateli nainstalována 14. února, nebyla digitálně podepsána, na což upozornil i tým Coinomi přes sociální síť Twitter. Warith však už vložil své seed fráze do nepodepsané verzi Coinomi. Avšak 22. února si všiml, že 90% jeho prostředků z peněženky Exodus bylo převedeno na několik jiných adres, přičemž první transakce s Bitcoinem (BTC) byla 19. února kolem 4:30 ráno našeho času. Pak následoval přesun Etherea (ETH), včetně ERC20 tokenů, litecoinu (LTC) a nakonec i Bitcoin cash (BCH).

Warith se podíval blíže na daný problém a zjistil, že celá fráze v plném znění byla poslána na kontrolu správnosti pravopisu na doménu "googleapis.com", kterou vlastní společnost Google. Výsledkem bylo, že někdo z Google teamu nebo kdokoli, kdo měl přístup na dané HTTP požadavku posílány do googleapis.com našel dané fráze a použil je na odcizení jeho prostředků. Každý, kdo zná technologii kolem kryptoměn, ví, že při založení kryptopeněženky se vygeneruje 12 náhodných slov (nebo i více), které slouží jako bezpečnostní (recovery) fráze k přístupu do peněženky.
Warith Coinomi seznámil s jeho zjištěním, ale společnost na to nereagovala.

Tým Coinomi zatím neprojevil žádnou odpovědnost v této věci. Stále se mě ptali jen na technický problém v souvislosti s odcizenými prostředky, protože se báli o své jméno a reputaci. Doslovně mě bombardovaly jejich připomínkami, že pokud s tím půjdu na veřejnost, bude to mít právní následky. Prý nebudou mít žádnou odpovědnost za moje ukradené aktiva a ohrozím tím ostatní užívatele.

Warith dodává, že pokud Coinomi nepřevezme odpovědnost za ukradené kryptoměny, chystá se proti nim podniknout právní úkony.

Coinomi se mezi časem k danému problému vyjádřilo
Coinomi tým na svém blogu potvrdilo, že PC peněženka opravdu používala funkci kontroly pravopisu / správnosti textu. Zdůrazňují však, že tento problém se netýká mobilních peněženek.

Podle společnosti nešlo o chybu v jejich zdrojovém kódu, ale šlo o špatnou konfiguraci pluginu pro desktopové verze peněženky. Coinomi dále tvrdí, že problém byl vyřešen už před 6-ti dny, ještě v ten den, kdy je o tom informoval pan Al Maawali.

Coinomi také podotkla, že "Al Maawali opakovaně odmítal zveřejnit svá zjištění a hrozil, že je zveřejní, pokud mu nevyplatí dohromady 17 BTC, což by vykompenzovalo ukradené prostředky (ukradené společností Google podle Warith Al Maawali)". Podle nich by tyto prostředky mohly být stále pod jeho kontrolou. Společnost tvrdí, že tyto prostředky z technických důvodů nemohly být napadeny.
Coinomi dodává:
Je  dost nepravděpodobné, že tento problém by mohl způsobit ztrátu prostředků, avšak seed fráze by za žádných okolností neměly opustit peněženku, ani pokud jsou v zašifrovaném stavu, za což se velice omlouváme.

Coinomi radí, co udělat:
Pokud používáte Coinomi na Androidu nebo iOS, není nutná žádná další akce, neboť mobilní aplikace nebyla tímto problémem zasažena.
Pokud používáte peněženku Coinomi na stolním počítači, tj. desktop verzi pro Windows / Linux / Mac, a vytvořili jste si zcela novou peněženku, opět není nutná žádná další akce, stačí si udělat update vašeho klienta na nejnovější verzi.
Pokud používáte desktopovou verzi Coinomi a přenesli jste si již existující peněženku do Coinomi, doporučujeme vytvořit si novou peněženku a přenést do ní vaše prostředky. Nejprve však aktualizujte svého klienta na nejnovější verzi.

Zdá se, že peněženka Coinomi vykorčulovala z daného problému celkem hladce, avšak její jméno tím určitě ztratilo na hodnotě. Zřejmě to uživatelé této peněženky dost vystrašilo a nejeden se rozhodne pro přesun svých prostředků někam jinam.

Zdroj: cryptonews.com
Zdroj obrázku

Podobné články z sekce Novinky