Страницы

четверг, 28 февраля 2019 г.

Из криптовалютного кошелька Coinomi украдены средства клиента


Появилась информация о пропаже средств из популярного криптокошелька Coinomi, для устройств на базе ОС Android. Инвестор Варих аль Мавали (Warith Al Mawali) потерял криптовалюты в сумме от $60 000 до $70 000 в долларовом эквиваленте.

В своем подробном отчете Мавали утверждает, что критическая уязвимость, обнаруженная в кошельке, привела к потере средств пользователя, поскольку скомпрометировала закрытый ключ его кошелька.

В криптовалюте закрытый ключ называется парольной фразой кошелька цифрового актива. Если закрытый ключ кошелька утерян, он не может быть восстановлен, а находившаяся в нем криптовалюта утеряна навсегда.

SECURITY VULNERABILITY

@CoinomiWallet

sends your plain text seed phrase to Googles remote spellchecker API when you enter it! This is not a joke!

Video attached for proof.

Credit goes to

@warith2020

for finding the issue, read more from him here:

https://t.co/tCZ0hDPyJ3

pic.twitter.com/hdaPOb84A9

Уязвимость, которая, предположительно, привела к потере средств Мавали на Coinomi, является автоматической функцией текстового поля Coinomi, которое запускает проверку орфографии через googleapis.com при вводе ключевой фразы или личного ключа.

Это было замечено им после запуска Fiddler для мониторинга и отладки всего трафика HTTP/HTTPS от Coinomi.

В 2018 году Coinomi перешел от концепции проекта с открытым исходным кодом к проекту с закрытым исходным кодом.

С прошлого года код кошелька не была предоставлен общественности, что не позволило сообществу open-source разработчиков просматривать его и находить потенциальные ошибки или уязвимости.

Инвестор предположил, что тот, кто получил доступ к утечке личного ключа, затем использовал его для кражи криптовалюты.

В результате один из сотрудников Google или иной злоумышленник, имевший возможность просматривать HTTP-запросы, отправленные на googleapis.com, использовал полученную информацию и применил ее для кражи криптовалюты.

Blockchain и Ledger презентовали новый аппаратный кошелек Lockbox

Создан кошелек, который позволяет отправлять анонимные Bitcoin-транзакции

Кроссчейновый кошелек Swap.Online запустил Mainnet и добавил технологию атомарных свопов между BTC и EOS

Комментариев нет:

Отправка комментария