Kryptoměnová peněženka Coinomi čelí nepříjemnému odhalení. Zjistilo se, že z pohledu bezpečnosti je tato peněženka zranitelná a napadnutelná. Někteří uživatelé už údajně přišli o své prostředky. Podle zpráv peněženka posílá celý text seed frází (recovery frází) třetí straně, a to službě Google Translate na kontrolu pravopisu.

Tým Coinomi se k danému problému vyjádřil teprve nedávno. Peněženka má na Google Play Store více než půl milionu stažení. Zmíněný problém se ale týká desktopové verze této peněženky.

Samotná peněženka na své webové stránce deklaruje následující:

„Vaše osobní klíče nikdy neopustí vaše zařízení. Silné šifrování peněženky a kryptografie zaručují, že vaše prostředky zůstanou v bezpečí pod vaší kontrolou.“

Nálezce kritické zranitelnosti už sám přišel o prostředky

Warith Al Maawali je bezpečnostním IT konzultantem, který na danou zranitelnost peněženky přišel. Vytvořil webovou stránku avoid-coinomi.com, kde sdílí jeho zkušenost a později se o této události zmínil i na Redditu.

„Na začátek přiznávám, že je to moje chyba, že jsem věřil peněžence Coinomi tím, že jsem do ní vložil mou seed frázi z peněženky Exodus. Chtěl jsem přesunout některá aktiva, která nejsou podporována na Exodusu, do peněženky Coinomi použitím stejných frází.“

IT konzultant dále vysvětluje, že aplikace, která byla uživateli nainstalována 14. února, nebyla digitálně podepsána, na což upozornil i tým Coinomi přes sociální síť Twitter. Warith však už vložil své seed fráze do nepodepsané verze Coinomi. Avšak 22. února si všiml, že 90 % jeho prostředků z peněženky Exodus bylo převedeno na několik jiných adres, přičemž první transakce s Bitcoinem (BTC) byla 19. února kolem 4:30 ráno našeho času. Poté následoval přesun Etherea (ETH), včetně ERC-20 tokenů, Litecoinu (LTC) a nakonec i Bitcoinu Cash (BCH).

Warith se podíval blíže na daný problém a zjistil, že celá fráze v plném znění byla poslána na kontrolu správnosti pravopisu na doménu Googleapis.com, kterou vlastní společnost Google. Výsledkem bylo, že někdo z Google teamu nebo kdokoli, kdo měl přístup na dané HTTP požadavky posíláné do Googleapis.com, našel dané fráze a použil je na odcizení jeho prostředků. Každý, kdo zná technologii kolem kryptoměn, ví, že při založení kryptopeněženky se vygeneruje 12 náhodných slov (nebo i více), která slouží jako bezpečnostní (recovery) fráze k přístupu do peněženky.

Warith společnost Coinomi obeznámil s jeho zjištěním, ale nereagovala na to.

„Tým Coinomi zatím neprojevil žádnou zodpovědnost v této věci. Stále se mě ptali jen na technický problém v souvislosti s odcizenými prostředky, protože se báli o své jméno a reputaci. Doslova mě bombardovali jejich připomínkami, že pokud s tím půjdu na veřejnost, bude to mít právní následky. Prý nebudou mít žádnou zodpovědnost za má ukradená aktiva a ohrozím tím ostatní uživatele.“

Warith dodává, že pokud Coinomi nepřevezme zodpovědnost za ukradené kryptoměny, chystá se proti nim podniknout právní úkony on.

Coinomi se mezi časem k danému problému vyjádřila

Coinomi tým na svém blogu potvrdil, že PC peněženka opravdu používala funkci kontroly pravopisu / správnosti textu. Zdůrazňují však, že tento problém se netýká mobilních peněženek.

Podle společnosti nešlo o chybu v jejich zdrojovém kódu, ale šlo o špatnou konfiguraci pluginu pro desktopové verze peněženky. Coinomi dále tvrdí, že problém byl vyřešen už před 6ti dny, ještě v ten den, kdy je o tom informoval pan Al Maawali.

Coinomi také podotkla, že Al Maawali opakovaně odmítal zveřejnit svá zjištění a hrozil, že je zveřejní, pokud mu nevyplatí dohromady 17 BTC, což by vykompenzovalo ukradené prostředky (ukradené společností Google podle Waritha Al Maawaliho). Podle nich by tyto prostředky mohly být stále pod jeho kontrolou. Společnost tvrdí, že tyto prostředky z technických důvodů nemohly být napadeny.

Coinomi dodává:

„Na základě toho je dost nepravděpodobné, že tento problém by mohl způsobit ztrátu prostředků. Seed fráze by za žádných okolností neměly opustit peněženku, ani pokud jsou v zašifrovaném stavu, za což se velice omlouváme.“

Coinomi radí, co udělat:

  • Pokud používáte Coinomi na Androidu nebo iOS, není nutná žádná další akce, neboť mobilní aplikace nebyla tímto problémem zasažena.
  • Pokud používáte peněženku Coinomi na stolním počítači, tj. desktopovou verzi pro Windows / Linux / Mac, a vytvořili jste si zcela novou peněženku, opět není nutná žádná další akce. Stačí si udělat update vašeho klienta na nejnovější verzi.
  • Pokud používáte desktopovou verzi Coinomi a přenesli jste si již existující peněženku do Coinomi, doporučujeme si vytvořit novou peněženku a přenést do ní vaše prostředky. Nejprve však aktualizujte svého klienta na nejnovější verzi.

Zdá se, že peněženka Coinomi vybruslila z daného problému celkem hladce, avšak její jméno tím určitě ztratilo na hodnotě. Zřejmě to uživatele této peněženky dost vystrašilo a nejeden se rozhodne pro přesun svých prostředků někam jinam.

7 nejčastějších kryptopodvodů a jak se jim vyhnout

Originální verze tohoto článku byla publikována na našem slovenském webu kryptoportal.sk

Zdroj: cryptonews.com