Reason to trust
How Our News is Made
Strict editorial policy that focuses on accuracy, relevance, and impartiality
Ad discliamer
Morbi pretium leo et nisl aliquam mollis. Quisque arcu lorem, ultricies quis pellentesque nec, ullamcorper eu odio.
Кошелек Coinomi использовал Google API для проверки правописания seed-фраз пользователей. Один из клиентов кошелька по этой причине лишился криптовалюты на $70000.
Жи-Ши
В популярном криптокошельке Coinomi обнаружили уязвимость, которая привела к утечке персональных данных и краже криптовалюты. Один из пользователей заметил пропажу криптовалюты с одного из своих кошельков стоимостью около $70 000. Он отследил запросы, которые делало приложение, и выяснил, что кошелек Coinomi проверял правописание seed-фразы с помощью Google API. Это происходило в тот момент, когда юзер вводил кодовую фразу в поле восстановления кошелька. Его seed-фраза отправлялась как обычный текст на googleapis.com для проверки правописания.
По всей видимости, мошенники обнаружили эту уязвимость и смогли найти нужную информацию о seed-фразах на серверах Google.
Пользователи в соцсетях тут же распространили исходное сообщение, в котором расказывалось и даже показывалось на видео, как происходит проверка правописания, и отметили нелепость такого бага.
«Это не шутка!» — написал один из твиттер-юзеров.
https://twitter.com/lukechilds/status/1100613365850767360
Во всем виноваты другие разработчики
В Coinomi подтвердили наличие такого бага и сообщили, что функция проверки орфографии с помощью Google API была включена только для десктопных приложений и не касалась мобильных приложений. Команда Coinomi уточнила, что seed-фраза не передавалась в виде простого текста, а была заключена в https-запрос и отправлялась исключительно в адрес Google. Помимо этого, seed-фраза передавалась только при восстановлении доступа к криптокошельку через десктопное приложение.
«Наши инженеры выяснили причину этой проблемы, которая заключалась не в ошибки нашего исходного кода, а в неправильной конфигурации опций плагина, используемом только в десктопных кошельках. Этот плагин по умолчанию включал функцию проверки орфографии в недавном обновлении и был исправлен командой плагинов jxBrowser всего 6 дней назад. В тот же день с нами связался Варит Аль-Маавали [пользователь, потерявший криптовалюту]. Все версии десктопных приложений были исправлены сразу после того, как мы получили полное описание проблемы», — говорится в сообщении Coinomi.
Coinomi уточнила, что идентифицировала адреса, на которые была отправлена криптовалюта пострадавшего пользователя, и что они были добавлены в «черный список», что затруднит мошенникам ее обмен на биржах.
Coinomi призвали пользователей десктопных приложений обновиться до последней версии, в которую были внесены исправления.
