5 месяцев назад

Из криптовалютного кошелька Coinomi украдены средства клиента

Кража криптовалюты из Coinomi
Кража криптовалюты из Coinomi

Появилась информация о пропаже средств из популярного криптокошелька Coinomi, для устройств на базе ОС Android. Инвестор Варих аль Мавали (Warith Al Mawali) потерял криптовалюты в сумме от $60 000 до $70 000 в долларовом эквиваленте.

В своем подробном отчете Мавали утверждает, что критическая уязвимость, обнаруженная в кошельке, привела к потере средств пользователя, поскольку скомпрометировала закрытый ключ его кошелька.

В криптовалюте закрытый ключ называется парольной фразой кошелька цифрового актива. Если закрытый ключ кошелька утерян, он не может быть восстановлен, а находившаяся в нем криптовалюта утеряна навсегда.

УЯЗВИМОСТЬ БЕЗОПАСНОСТИ. CoinomiWallet отправляет вашу кодовую фразу в API удаленной проверки орфографии Googles при ее вводе! Это не шутка! Для доказательства прилагается видеоподтверждение. 

Уязвимость, которая, предположительно, привела к потере средств Мавали на Coinomi, является автоматической функцией текстового поля Coinomi, которое запускает проверку орфографии через googleapis.com при вводе ключевой фразы или личного ключа.

«Текстовое поле, в котором вводится фраза-пароль, в основном представляет собой HTML-файл, исполняемый браузером Chromium, и после того, как вы введете или вставите что-либо в это текстовое поле, оно немедленно и осторожно отправит его на googleapis.com для проверки орфографии», — сказал Мавали.

Это было замечено им после запуска Fiddler для мониторинга и отладки всего трафика HTTP/HTTPS от Coinomi.

«Мой закрытый ключ был скомпрометирован, и криптовалюта на $60-70 тыс была украдена из кошелька Coinomi. Я раскрываю эту проблему публично, потому что Coinomi отказался взять на себя ответственность, и все мои попытки решить ситуацию в частном порядке провалилась», — сказал инвестор.

В 2018 году Coinomi перешел от концепции проекта с открытым исходным кодом к проекту с закрытым исходным кодом.

С прошлого года код кошелька не была предоставлен общественности, что не позволило сообществу open-source разработчиков просматривать его и находить потенциальные ошибки или уязвимости.

Инвестор предположил, что тот, кто получил доступ к утечке личного ключа, затем использовал его для кражи криптовалюты.

В результате один из сотрудников Google или иной злоумышленник, имевший возможность просматривать HTTP-запросы, отправленные на googleapis.com, использовал полученную информацию и применил ее для кражи криптовалюты.

Читайте также:

Blockchain и Ledger презентовали новый аппаратный кошелек Lockbox

Создан кошелек, который позволяет отправлять анонимные Bitcoin-транзакции

Кроссчейновый кошелек Swap.Online запустил Mainnet и добавил технологию атомарных свопов между BTC и EOS