Um investidor está alegando ter perdido entre US $ 70.000 e US $ 80.000 que segundo ele foi roubado de sua carteira de criptomoedas Coinomi.
Warith Al Mawali é um investidor no mercado de criptomoedas, ele afirma que perdeu todas as economias de sua vida, algo na ordem de US $ 60 mil a US $ 70 mil, na Coinomi – uma carteira de criptomoedas muito utilizada no Android.
Em um relato detalhado, Mawali afirmou que uma vulnerabilidade crítica encontrada na carteira levou à perda de fundos do usuário, uma vez que comprometia a chave privada de sua carteira.
Para ficar mais claro, uma chave privada é como uma espécie de “senha” para uma carteira de ativos digitais. Se a chave privada for perdida, ela não poderá ser recuperada e o fundo armazenado dentro dela será perdido permanentemente.
“Minha chave privada foi comprometida e entre US $ 60 mil a US $ 70 mil em criptomoedas foram roubados por causa da carteira Coinomi e devido a como ela manipulou minha chave privada. Estou divulgando esse problema publicamente porque Coinomi se recusou a assumir a responsabilidade e todas as minhas tentativas por meio de canais privados falharam “, disse o investidor no site Reddit.
O que aconteceu com a Coinomi?
A Coinomi começou a mudar a direção de seu projeto em 2018, eles não são mais uma carteira opensource (de código aberto), o que dificulta a auditoria do código.
Como tal, desde o ano passado, a base de código da carteira não havia sido compartilhada com o público, não permitindo que a comunidade de código aberto revisse a base de código e encontrasse possíveis falhas ou vulnerabilidades.
A vulnerabilidade que supostamente levou à perda dos fundos de Mawali na Coinomi, com base na análise realizada pelo investidor, é a função automática da caixa de texto da carteira que executa a verificação ortográfica do googleapis.com quando a frase secreta ou a chave privada é inserida.
“Então, essencialmente, a caixa de texto na qual você insere sua frase-senha é basicamente um arquivo HTML executado pelo componente do navegador Chromium e, assim que você digitar ou colar qualquer coisa na caixa de texto, ela enviará remotamente para o googleapis.com a verificação ortográfica” disse, depois de executar o programa Fiddler para monitorar e depurar todo o tráfego HTTP / HTTPS da Coinomi.
O investidor acrescentou que quem teve acesso à chave privada a usou para roubar entre $ 60.000 a $ 70.000 em criptomoedas.
Ele explicou:
“Como resultado, alguém da equipe do Google ou quem teve acesso às solicitações HTTP enviadas para o endereço googleapis.com encontrou a frase secreta e a usou para roubar minhas criptomoedas”
Philipp Seifert, da imToken, que opera uma das maiores carteiras Ethereum no mercado global, criticou o atendimento da Coinomi.
Se o usuário perdesse a economia de sua vida por meio de uma vulnerabilidade crítica, que ainda não foi confirmada, Seifert afirmou que a empresa deveria ter respondido de forma muito mais rápida.
Mawali falou que um representante da Coinomi disse que ele é elegível a uma recompensa por ter achado a falha. Entretanto, nenhum valor foi enviado até agora.
Em 23 de fevereiro, a equipe Coinomi solicitou a Mawali que fornecesse uma divulgação detalhada de suas descobertas, mas ainda não está claro se a conversa entre o investidor e a empresa avançou a partir desse ponto
Resposta da Coinomi
A carteira enviou nesta tarde uma resposta as alegações do investidor. Nela é afirmado que todos as requisições enviadas graças ao bug na carteira de Desktop foram diretamente para o Google.
Segundo o comunicado, tais requisições eram enviadas de forma segura para os endereços do Google e retornavam uma mensagem de erro. Além de acusar Mawali de fazer chantagem pedindo 17 bitcoins para não levar essa história a público.
Foi dito que o problema foi resolvido e que só afetava a versão de Desktop da carteira, pedindo aos usuários para atualizar a wallet.
Eles concluem afirmando que é improvável que o Google tenha roubado os fundos do investidor e que é possível que essas requisições não fiquem gravadas nos servidores da empresa de buscas, jogando por água a baixo a teoria de Mawali.
Problemas de segurança?
A falha de segurança da Coinomi foi bem grave, mas pelo que sabemos a possibilidade de um funcionário do Google ter roubado essas senhas é muito baixa.
Vale ressaltar que, apesar dos problemas de segurança em diversas empresas do setor, o desconhecimento sobre criptomoedas pode levar a mais prejuízos do que qualquer hacker.
Um exemplo recente foi o alegado possível “hack” de uma corretora de bitcoins brasileira. Graças a um artigo escrito sem qualquer preocupação com os dados, a corretora foi acusada injustamente de deixar 2 mil bitcoins em uma hotwallet desprotegida, quem escreveu o artigo não foi capaz de verificar os dados do blockchain.
Antes de crucificarmos a Coinomi vamos ver a resposta do Google a esse problema. Uma outra lição a ser tirada é sempre tentar usar soluções opensource, não é garantia de segurança, mas de transparência.
E aí, o que você acha que aconteceu com as criptomoedas de Mawali?
Este tipo de conteúdo é relevante para você ou alguma pessoa que você conhece? Se for, siga e compartilhe a página do Cointimes e se mantenha sempre atualizado no mercado – Facebook, Twitter, Instagram.