Десктоп-кошелек Coinomi проверяет правописание seed-фраз. Функция позволила украсть $70 000 в криптовалюте

hacker
hacker

Пользователь под ником warith сообщил о пропаже $60 000 – $70 000 после установки криптовалютного кошелька Coinomi с официального сайта.

«Мой основной кошелек Exodus не поддерживал некоторые активы и я решил переместить их в Coinomi, используя ту же seed-фразу», – пишет он.

Через несколько дней warith заметил, что 90% активов — биткоины, ETH, токены ERC20, LTC и BCH общей стоимостью до $70 000 — были выведены с его Exodus-кошелька на различные адреса. В кошельке остались только те активы, которые не поддерживались Coinomi.

Чтобы разобраться в ситуации, warith отследил трафик приложения Coinomi и выяснил, что в момент запуска оно скачивало список слов из словаря.

«Я ввел случайную seed-фразу в поле для восстановления кошелька и обнаружил, что в виде незашифрованного текста она была передана на адрес googleapis.com для проверки правописания. 

Все, кто связан с технологиями и криптовалютами, знают, что 12 случайных английских слов могут являться seed-фразой от криптокошелька. Таким образом, кто-то из команды Google или некто имеющий доступ к HTTP-запросам, передаваемым на googleapis.com, обнаружил кодовую фразу и использовал ее, чтобы украсть $60 000 — $70 000 в криптовалюте», – пишет warith.

Десктоп-кошелек Coinomi проверяет правописание seed-фраз. Функция позволила украсть $70 000 в криптовалюте

Пользователь написал пост об инциденте в Twitter, однако добился от Coinomi только уклончивых ответов в личной переписке. В связи с этим warith готов предъявить компании исковые требования, «если она продолжит избегать ответственности».

Спустя некоторое время представитель Coinomi в беседе с изданием Trustnodes сообщил, что обнаруженная уязвимость была устранена и касалась только десктопной версии кошелька.

«Запросы к Google были зашифрованными и некорректными, из-за чего Google они не обрабатывались. Проверка правописания осуществлялась локально», — заявил он, пообещав, что компания вскоре подготовит официальный комментарий по инциденту.

Напомним, ранее в феврале была обнаружена уязвимость в ПО для устройств Antminer S15, которая в теории позволяет злоумышленникам полностью взять под контроль ASIC.

Подписывайтесь на новости ForkLog в Twitter!

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK