Из десктопного кошелька Coinomi украли криптовалюту на 70 тыс. долларов. Причина — в функции, которая проверяет правописание seed-фраз.
О краже средств сообщил пользователь под ником warith2020. Он загрузил кошелек с официального сайта и лишился криптовалюты практически сразу после установки и настройки.
Трейдер пояснил:
Мой основной кошелек Exodus не поддерживал некоторые активы и я решил переместить их в Coinomi, используя ту же seed-фразу.
Пропажу он заметил через несколько дней. Пользователь лишился 90% активов — это биткоины, ETH, токены ERC20, LTC и BCH общей стоимостью до 70 тыс. долларов по курсу.
Криптовалюту вывели с Exodus-кошелька на различные адреса. Сохранились только те активы, которые не поддерживались Coinomi.
Чтобы понять, как украли средства и куда их направили, трейдер отследил трафик приложения Coinomi. Он установил, что в момент запуска кошелек скачивал список слов из словаря. Пользователь добавил:
Я ввел случайную seed-фразу в поле для восстановления кошелька и обнаружил, что в виде незашифрованного текста она была передана на адрес googleapis.com для проверки правописания.
Практически каждый блокчейн-разработчик понимает, что 12 случайных английских слов могут являться seed-фразой от криптокошелька. А значит, кто-то из команды Google или разработчик, который имеет доступ к HTTP-запросам, передаваемым на googleapis.com, нашел кодовую фразу и использовал ее, чтобы украсть криптовалюту.
Пока Coinomi дала лишь уклончивые ответы в личной переписке. Трейдер заявил, что подаст на разработчиков компании в суд, «если она продолжит избегать ответственности».
Позднее в Coinomi заявили, что обнаруженная уязвимость была устранена. Она касалась только десктопной версии кошелька. Разработчики добавили:
Запросы к Google были зашифрованными и некорректными, из-за чего Google они не обрабатывались. Проверка правописания осуществлялась локально.