Вы здесь

Обвинение криптокошелька Coinomi оказалось наполовину фейком, но пострадавших нет

Пользователь Варит аль Маавали обвинил разработчиков криптокошелька Coinomi в потере $70 тыс в результате уязвимости кода, передающей кодовую seed-фразу, вставленную в программу, администраторам googleapis.com.

Компания использовала для веб-версии кошелька интерфейс на базе веб-браузера Chromium, окно ввода ключа-фразы представляло собой HTML-файл, передававший текст для проверки правописания в незашифрованном виде.

Любой администратор googleapis.com или человек, имеющий доступ к HTML-запросам и немного разбирающийся в криптовалютах, легко мог понять, что 12 несвязных английских слов – это seed-ключ кошелька. Он принадлежал кошельку Exodus, Варит аль Маавали хотел переместить часть активов в Coinomi, но в результате, через какое-то время лишился $70 тыс в разной криптовалюте, которая была кем-то выведена на незнакомые адреса.

По словам пострадавшего разработчики Coinomi отказались с ним общаться, потому он предал уязвимость публичности, запостив видео на AvoidCoinomi.

Компания Coinomi признала баг, который возникал только в случае восстановления дескотопной версии кошелька и не касался любых других операций. Окно ввода ключа не передает не зашифрованный текст, по причинам: проверки правописания локально, отправки некорректных запросов в googleapis.com, которые сервис не обрабатывая, просто отклоняет.

Также компания продемонстрировала журналистам запись с угрозами шантажа от Варита аль Маавали и отказом назвать адреса и ключи похищенных монет, которые Coinomi хотел передать Chainalysis для внесения в «черный список». Он действует на большинстве бирж криптовалют, поэтому украденные средства были бы заблокированы при обмене.

Пострадавший отказался подтвердить факт хищения, как и наличия уязвимости, продемонстрированное видео не доказывает уязвимость вэб-интерфейса Coinomi.

386 / 0
Аватар пользователя Иван Петров
Публикацию добавил: Иван Петров
Дата публикации: чт, 02/28/2019 - 08:45

Комментарии:

Pozzi

Мне кошелек eo.finance очень понравился. Условия торговли довольно выгодные, точно не хуже остальных.

сб, 03/02/2019 - 19:30

Торгующий кошелек - это оксюморон)))

вс, 03/03/2019 - 03:23

Эрнст

Результаты работы с кошельком eo.finance меня вполне устраивают. Мое мнения, что это адекватная компания, не хуже других

вс, 03/03/2019 - 09:18

Тогда почему компания в "черных списках" Регуляторов?)))

вт, 03/05/2019 - 06:43

Добавить комментарий