据称60美元的Coinomi漏洞引起了人们的关注
更新:硬件钱包Ledger首席执行官EricLarchevêque表示,“Coinomi的崩盘进一步证明了为什么软件钱包会成为灾难。当委托软件钱包使用你的资产时,你将私钥暴露在互联网上,使他们容易受到攻击。“
Coinomi的数字货币包被称为”你信任的区块链接口“,提供”安全存储,管理“的地方并交易所比特币“和其他加密货币。它的网站声称它从未“被黑客攻击或以其他方式妥协到目前为止。”但是一个据称的安全漏洞现在使这一说法受到质疑。
Coinomi已回应了这篇关于Medium的帖子中的指控,其中说明启用了拼写检查功能对于桌面钱包,但是种子短语没有作为纯文本发送,它被“封装在一个HTTPS请求中,Google是唯一的收件人。”它补充说Google没有处理,缓存或存储请求。这个问题在六天前得到解决。
安全顾问Warith Al Maawali的一份报告声称他在使用Coinomi钱包时损失了6万至7万美元。他辩称,Coinomi的内置拼写检查程序会自动检查他的种子短语,其中包括将其作为纯文本发送到Google拥有的网站。这意味着它可能被截获,导致资金损失。 Reddit还有其他类似的说法。虽然很难确认这些说法是否属实,但它确实突出了一个更大的漏洞:种子短语和在连接到互联网的计算机上输入它们的危险。
Al Maawali告诉Decrypt他在Coinomi钱包中使用了他的以太坊种子短语访问他所拥有的以他们为基础的令牌,但他已经使用的Exodus数字货币包不支持。他说一开始一切正常,因为令牌出现了,但几天之后钱包被清空了。
Patching isn’t enough. Anyone who used a vulnerable version in the past is now at risk.
We might have rogue google employees scouring their log files for leaked seeds as we speak. This could be avoided if disclosure was managed more responsibly
— udiverse (@udiWertheimer) February 27, 2019
由于这个原因,他做了一些研究并发现他认为是Coinomi钱包中的一个关键漏洞。在您输入种子短语的位置,它将通过拼写检查程序进行处理。这意味着整个种子短语将发送到Google拥有的网站。他上传了一个视频,供任何人复制这个过程,并看到该漏洞存在。
程序员MartinHabovštiak在推特上证实这个漏洞是真实的,但他认为可能有更多邪恶的原因造成这种损失。 Habovštiak认为这笔钱很可能是通过恶意软件偷来的,或者Maawali将硬币发送到他所拥有的另一个帐户,使其看起来像是被盗并试图加倍他的钱。
然而,还有其他资金报告消失在Coinomi钱包上 – 这对于任何软件钱包来说都是不常见的。用户声称他们的资金已从Coinomi钱包中消失,Reddit上有两篇帖子。虽然两者都没有指明他们将他们的种子短语导入钱包。
Al Maawali还提供了他声称与Coinomi支持的对话的截图,他们似乎接受了该漏洞存在,但否认它是造成损失的原因资金。此对话尚未经过独立验证。
此问题涉及Coinomi面临的其他问题。开源软件开发商Luke Childs指责该应用在发送用户信息时缺乏必要的加密货币措施。 Coin Flow的联合创始人Jonathan Sterling撰写的一篇博文详细介绍了这些问题,提供了据称来自Coinomi的推文截图,驳回了这些说法。
虽然有证据表明该漏洞是真实的,但却更难验证这是资金被盗的原因。还有许多其他可能性如何获取资金,包括其他数字货币包中的恶意软件或漏洞 – 如果它甚至被盗。但是这个漏洞证明了数字货币包提供商在安全性方面需要考虑一下,但不要太多。
[This article has been updated with the response from Coinomi.]