Sledujte nás aj na

Kryptomenová peňaženka Coinomi čelí nepríjemnému odhaleniu. Zistilo sa, že z pohľadu bezpečnosti je táto peňaženka zraniteľná a napadnuteľná. Niektorí používatelia už údajne prišli o svoje prostriedky. Podľa správ, peňaženka posiela celý text seed fráz (recovery fráz) tretej strane, a to službe Google Translate na kontrolu pravopisu.

Tím Coinomi sa k danému problému vyjadril až včera. Peňaženka má na Google Play Store viac než pol milióna stiahnutí. Spomínaný problém sa ale týka desktopovej verzie tejto peňaženky.

Samotná peňaženka na svojej web stránke deklaruje nasledovné:

Vaše osobné kľúče nikdy neopustia vaše zariadenie. Silné šifrovanie peňaženky a kryptografia zaručujú, že vaše prostriedky zostanú v bezpečí pod vašou kontrolou.

Nálezca kritickej zraniteľnosti už sám prišiel o prostriedky

Warith Al Maawali je bezpečnostným IT konzultantom, ktorý na danú zraniteľnosť peňaženky prišiel. Vytvoril web stránku avoid-coinomi.com, kde zdieľa jeho skúsenosť a neskôr sa o tejto udalosti zmienil aj na Reddite.

Na začiatok priznávam, že je to moja chyba, že som veril peňaženke Coinomi tým, že som do nej vložil moju seed frázu z peňaženky Exodus. Chcel som presunúť niektoré aktíva, ktoré nie sú podporované na Exoduse do peňaženky Coinomi použitím rovnakých fráz.

IT konzultant ďalej vysvetľuje, že aplikácia, ktorá bola používateľmi nainštalovaná 14. februára, nebola digitálne podpísaná, na čo upozornil aj tím Coinomi cez sociálnu sieť Twitter. Warith však už vložil svoje seed frázy do nepodpísanej verzii Coinomi. Avšak 22. februára si všimol, že 90 % jeho prostriedkov z peňaženky Exodus bolo presunutých na niekoľko iných adries, pričom prvá transakcia s bitcoinom (BTC) bola 19. februára okolo 4:30 ráno nášho času. Potom nasledoval presun etherea (ETH), vrátane ERC20 tokenov, litecoin (LTC) a nakoniec aj bitcoin cash (BCH).

Warith sa pozrel bližšie na daný problém a zistil, že celá fráza v plnom znení bola poslaná na kontrolu správnosti pravopisu na doménu „googleapis.com“, ktorú vlastní spoločnosť Google. Výsledkom bolo, že niekto z Google teamu alebo hocikto, kto mal prístup na dané HTTP požiadavky posielané do googleapis.com našiel dané frázy a použil ich na odcudzenie jeho prostriedkov. Každý, kto pozná technológiu okolo kryptomien, vie, že pri založení kryptopeňaženky sa vygeneruje 12 náhodných slov (alebo aj viac), ktoré slúžia, ako bezpečnostná (recovery) fráza k prístupu do peňaženky.

Warith Coinomi oboznámil s jeho zistením, no spoločnosť na to nereagovala.

Tím Coinomi zatiaľ neprejavil žiadnu zodpovednosť v tejto veci. Stále sa ma pýtali iba na technický problém v súvislosti s odcudzenými prostriedkami, pretože sa báli o svoje meno a reputáciu. Doslovne ma bombardovali ich pripomienkami, že ak s tým pôjdem na verejnosť, bude to mať právne následky. Vraj nebudú mať žiadnu zodpovednosť za moje ukradnuté aktíva a ohrozím tým ostatných používateľov.

Warith dodáva, že pokiaľ Coinomi neprevezme zodpovednosť za ukradnuté kryptomeny, chystá sa proti nim podniknúť právne úkony on.

Coinomi sa medzi časom k danému problému vyjadrilo

Coinomi tím na svojom blogu potvrdilo, že PC peňaženka naozaj používala funkciu kontroly pravopisu/správnosti textu. Zdôrazňujú však, že tento problém sa netýka mobilných peňaženiek.

Podľa spoločnosti nešlo o chybu v ich zdrojovom kóde, ale išlo o zlú konfiguráciu pulginu pre desktopové verzie peňaženky. Coinomi ďalej tvrdí, že problém bol vyriešený už pred 6-timi dňami, ešte v ten deň, keď ich o tom informoval pán Al Maawali.

Coinomi tiež podotkla, že „Al Maawali opakovane odmietal zverejniť svoje zistenia a hrozil, že ich zverejní, ak mu nevyplatia dokopy 17 BTC, čo by vykompenzovalo ukradnuté prostriedky (ukradnuté spoločnosťou Google podľa Warith Al Maawali)“. Podľa nich by tieto prostriedky mohli byť stále pod jeho kontrolou. Spoločnosť tvrdí, že tieto prostriedky z technických dôvodov nemohli byť napadnuté.

Coinomi dodáva:

Na základe toho je dosť nepravdepodobné, že tento problém by mohol spôsobiť stratu prostriedkov, avšak seed frázy by za žiadnych okolností nemali opustiť peňaženku, ani ak sú v zašifrovanom stave, za čo sa veľmi ospravedlňujeme.

Coinomi radí, čo spraviť:

  • Pokiaľ používate Coinomi na Androide alebo iOS, nie je potrebná žiadna ďalšia akcia, keďže mobilná aplikácia nebola týmto problémom zasiahnutá.
  • Ak používate peňaženku Coinomi na stolovom počítači, tj. desktop verziu pre Windows/Linux/Mac, a vytvorili ste si úplne novú peňaženku, opäť nie je potrebná žiadna ďalšia akcia, stačí si urobiť update vášho klienta na najnovšiu verziu.
  • Ak používate desktopovú verziu Coinomi a preniesli ste si už existujúcu peňaženku do Coinomi, odporúčame vám vytvoriť si novú peňaženku a preniesť do nej vaše prostriedky. Najprv však aktualizujte svojho klienta na najnovšiu verziu.

Zdá sa, že peňaženka Coinomi vykorčulovala z daného problému celkom hladko, avšak jej meno tým určite stratilo na hodnote. Zrejme to používateľov tejto peňaženky dosť vystrašilo a nejeden sa rozhodne pre presun svojich prostriedkov niekam inam.

Zdroj: cryptonews.com



Zaujímate sa o dianie okolo kryptomien a chceli by ste sa podieľať na tvorbe obsahu KryptoPortalu? Kontaktujte nás pomocou kontaktného formulára!

Páčia sa Vám naše články a príspevky?
Podporte nás a prispejte tak k rozvoju Vášho obľúbeného informačného média. Ďakujeme!

ETH: 

0xa3B90C2d50B79Eaf466Ca3f2080fD15E0764c5A3

BTC:
15wVejhngqJbGrYhu9fF9ydKaNYSSHwWJd

loading...