Пользователь Coinomi заявил о потере $70 000 из-за функции проверки правописания кодовых фраз в кошельке
-
Пользователь форума Bitcointalk под ником warith рассказал историю о том, как он потерял $60 000 – $70 000 из-за уязвимости популярного криптовалютного кошелька Coinomi.
Автор утверждает, что 14 февраля скачал и установил приложение Coinomi, после чего ввёл в его интерфейс кодовую фразу от своего основного кошелька на базе Exodus. «Я доверял им, потому что скачал ПО с их сайта, установочный файл имел цифровую подпись, а их имя фигурировало на нескольких признанных сайтах, таких как bitcoinwiki.org. Я хотел переместить некоторые активы, которые не поддерживались кошельком Exodus, используя ту же кодовую фразу», – пишет он.
22 февраля пользователь заметил в интерфейсе Exodus, что 90% активов с его кошелька было выведено на различные адреса – сначала биткоины, затем ETH, ERC20-токены, LTC и, наконец, BCH. В кошельке остались только те активы, которые поддерживались Exodus, но не поддерживались Coinomi.
Проанализировав клиент Coinomi, автор выяснил, что весь интерфейс кошелька написан на HTML/JavaScript и отображается при помощи браузера на базе Chromium. «Я начал отслеживать трафик. Первая вещь, которая бросилась мне в глаза, заключалась в том, что приложение Coinomi в момент запуска стало скачивать список слов из словаря».
После этого пользователь ввёл случайную кодовую фразу в поле для восстановления кошелька и обнаружил, что в виде незашифрованного текста она была передана на адрес googleapis.com для проверки правописания. В качестве альтернативного метода проверки автор ввёл слово с орфографической ошибкой, которое, ожидаемо, было подчёркнуто красным.
«По сути, текстовое поле, в которое вы вводите свою кодовую фразу, является HTML-файлом, запускаемым компонентом браузера Chromium. Как только вы в него что-то введёте, данные будут немедленно и без уведомления переданы googleapis.com для проверки правописания. Таким образом, кто-то из команды Google или имеющий доступ к HTTP-запросам, передаваемым на googleapis.com, обнаружил кодовую фразу и использовал её, чтобы украсть $60 000 - $70 000 в криптовалютных активах. Все, кто связан с технологиями и криптовалютами, знают, что 12 случайных английских слов могут являться кодовой фразой от криптовалютного кошелька», – пишет warith.
Команда Coinomi официально не прокомментировала этот инцидент. Автор, однако, заявил, что она удалила свой комментарий к его претензии в Twitter и давала уклончивые ответы в личной переписке, добавив, что он намеревается предъявить компании исковые требования, если она продолжит избегать ответственности.
-
еще один пример того, что нечего использовать мобильные кошельки для хранения крупных сумм в криптовалюте.
-
Участник @ivan-ivanov написал в Пользователь Coinomi заявил о потере $70 000 из-за функции проверки правописания кодовых фраз в кошельке:
еще один пример того, что нечего использовать мобильные кошельки для хранения крупных сумм в криптовалюте.
ну так такую хрень могли и в кошельке на компе получить ....
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
@casio перевел бы на Бинанс, там надежнее средства хранить и многие монеты поддерживаются.
-
Участник @ivan-ivanov написал в Пользователь Coinomi заявил о потере $70 000 из-за функции проверки правописания кодовых фраз в кошельке:
@casio перевел бы на Бинанс, там надежнее средства хранить и многие монеты поддерживаются.
ну потом задним умом легко все придумывать... зачем он вообще туда полез не понятно.
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
@casio я всегда это говорил: лучше держать деньги на надежной бирже, а не на онлайн-кошельке.
-
Участник @ivan-ivanov написал в Пользователь Coinomi заявил о потере $70 000 из-за функции проверки правописания кодовых фраз в кошельке:
@casio я всегда это говорил: лучше держать деньги на надежной бирже, а не на онлайн-кошельке.
деньги лучше держать на своем холодном кошельке...
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
@casio не все хотят заморачиваться с этими холодными кошельками. да и на них можно потерять средства.
-
Участник @ivan-ivanov написал в Пользователь Coinomi заявил о потере $70 000 из-за функции проверки правописания кодовых фраз в кошельке:
@casio не все хотят заморачиваться с этими холодными кошельками. да и на них можно потерять средства.
ну тут риск 90 к 10, в пользу онлайн кошельков или кошельков на бирже.
-
@ivan-ivanov Ну так Coinomi это и не онлайн-кошелек. Это холодный кошелек для смартфона.
[Браузер РЕАЛЬНО платит в ВТС !] https://cryptotabbrowser.com/126494
Кран 1-100 сат/час.https://www.bestchange.com/?p=1L4m6LtB2ogvYBqYYZV1gNej9spvh94abJ
Немецкий кран ( 5 лет работы) http://yannik.biz/?ref=43519 -
@garryncha как по мне, сочетание так себе )
-
@ivan-ivanov Ну этот кошелек в принципе мало чем отличается от других подобных легких холодных кошельков.
[Браузер РЕАЛЬНО платит в ВТС !] https://cryptotabbrowser.com/126494
Кран 1-100 сат/час.https://www.bestchange.com/?p=1L4m6LtB2ogvYBqYYZV1gNej9spvh94abJ
Немецкий кран ( 5 лет работы) http://yannik.biz/?ref=43519 -
Участник @garryncha написал в Пользователь Coinomi заявил о потере $70 000 из-за функции проверки правописания кодовых фраз в кошельке:
@ivan-ivanov Ну этот кошелек в принципе мало чем отличается от других подобных легких холодных кошельков.
Самая большая дыра у этих кошельков сид фраза... Вот она тут и сработала.
-
@garryncha вы на примере увидели, как там данные передаются. это же просто ужас.
-
Участник @ivan-ivanov написал в Пользователь Coinomi заявил о потере $70 000 из-за функции проверки правописания кодовых фраз в кошельке:
@garryncha вы на примере увидели, как там данные передаются. это же просто ужас.
ну шифровать набранный текст для проверки это как бы излишнее решение будет.
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
@casio ну раз лишнее, тогда пусть пользователи и дальше расстаются со своими деньгами.
-
Участник @ivan-ivanov написал в Пользователь Coinomi заявил о потере $70 000 из-за функции проверки правописания кодовых фраз в кошельке:
@casio ну раз лишнее, тогда пусть пользователи и дальше расстаются со своими деньгами.
ну там просто в форме нужно отключить такую проверку и будет всем счастье ...
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
@casio не все это понимают. или вы думаете, что все пользователи освоили курсы компьютерной безопасности.
-
Участник @ivan-ivanov написал в Пользователь Coinomi заявил о потере $70 000 из-за функции проверки правописания кодовых фраз в кошельке:
@casio не все это понимают. или вы думаете, что все пользователи освоили курсы компьютерной безопасности.
это не для пользователей , я про девов сейчас ... хотя и пользователи могут такое отменить вроде ..
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
@casio для разработчиков это вообще эпик фэйл. допускать такие ошибки в кошельке, который претендует на серьезность, просто позор.
