Coingoback

Um investidor está alegando ter perdido entre US $ 70.000 e US $ 80.000 que segundo ele foi roubado de sua carteira de criptomoedas Coinomi.

Warith Al Mawali é um investidor no mercado de criptomoedas, ele afirma que perdeu todas as economias de sua vida, algo na ordem de US $ 60 mil a US $ 70 mil, na Coinomi – uma carteira de criptomoedas muito utilizada no Android.

Em um relato detalhado, Mawali afirmou que uma vulnerabilidade crítica encontrada na carteira levou à perda de fundos do usuário, uma vez que comprometia a chave privada de sua carteira.

Para ficar mais claro, uma chave privada é como uma espécie de “senha” para uma carteira de ativos digitais. Se a chave privada for perdida, ela não poderá ser recuperada e o fundo armazenado dentro dela será perdido permanentemente.

“Minha chave privada foi comprometida e entre US $ 60 mil a US $ 70 mil em criptomoedas foram roubados por causa da carteira Coinomi e devido a como ela manipulou minha chave privada. Estou divulgando esse problema publicamente porque Coinomi se recusou a assumir a responsabilidade e todas as minhas tentativas por meio de canais privados falharam “, disse o investidor no site Reddit.

O que aconteceu com a Coinomi?

A Coinomi começou a mudar a direção de seu projeto em 2018, eles não são mais uma carteira opensource (de código aberto), o que dificulta a auditoria do código.

Como tal, desde o ano passado, a base de código da carteira não havia sido compartilhada com o público, não permitindo que a comunidade de código aberto revisse a base de código e encontrasse possíveis falhas ou vulnerabilidades.

A vulnerabilidade que supostamente levou à perda dos fundos de Mawali na Coinomi, com base na análise realizada pelo investidor, é a função automática da caixa de texto da carteira que executa a verificação ortográfica do googleapis.com quando a frase secreta ou a chave privada é inserida.

“Então, essencialmente, a caixa de texto na qual você insere sua frase-senha é basicamente um arquivo HTML executado pelo componente do navegador Chromium e, assim que você digitar ou colar qualquer coisa na caixa de texto, ela enviará remotamente para o googleapis.com a verificação ortográfica” disse, depois de executar o programa Fiddler para monitorar e depurar todo o tráfego HTTP / HTTPS da Coinomi.

O investidor acrescentou que quem teve acesso à chave privada a usou para roubar entre $ 60.000 a $ 70.000 em criptomoedas.

Ele explicou:

    “Como resultado, alguém da equipe do Google ou quem teve acesso às solicitações HTTP enviadas para o endereço googleapis.com encontrou a frase secreta e a usou para roubar minhas criptomoedas”

Philipp Seifert, da imToken, que opera uma das maiores carteiras Ethereum no mercado global, criticou o atendimento da Coinomi.

Se o usuário perdesse a economia de sua vida por meio de uma vulnerabilidade crítica, que ainda não foi confirmada, Seifert afirmou que a empresa deveria ter respondido de forma muito mais rápida.

Mawali falou que um representante da Coinomi disse que ele é elegível a uma recompensa por ter achado a falha. Entretanto, nenhum valor foi enviado até agora.

Em 23 de fevereiro, a equipe Coinomi solicitou a Mawali que fornecesse uma divulgação detalhada de suas descobertas, mas ainda não está claro se a conversa entre o investidor e a empresa avançou a partir desse ponto

Resposta da Coinomi

A carteira enviou nesta tarde uma resposta as alegações do investidor. Nela é afirmado que todos as requisições enviadas graças ao bug na carteira de Desktop foram diretamente para o Google.

Segundo o comunicado, tais requisições eram enviadas de forma segura para os endereços do Google e retornavam uma mensagem de erro. Além de acusar Mawali de fazer chantagem pedindo 17 bitcoins para não levar essa história a público.

Foi dito que o problema foi resolvido e que só afetava a versão de Desktop da carteira, pedindo aos usuários para atualizar a wallet.

Eles concluem afirmando que é improvável que o Google tenha roubado os fundos do investidor e que é possível que essas requisições não fiquem gravadas nos servidores da empresa de buscas, jogando por água a baixo a teoria de Mawali.

Problemas de segurança?

A falha de segurança da Coinomi foi bem grave, mas pelo que sabemos a possibilidade de um funcionário do Google ter roubado essas senhas é muito baixa.

Vale ressaltar que, apesar dos problemas de segurança em diversas empresas do setor, o desconhecimento sobre criptomoedas pode levar a mais prejuízos do que qualquer hacker.

Um exemplo recente foi o alegado possível “hack” de uma corretora de bitcoins brasileira. Graças a um artigo escrito sem qualquer preocupação com os dados, a corretora foi acusada injustamente de deixar 2 mil bitcoins em uma hotwallet desprotegida, quem escreveu o artigo não foi capaz de verificar os dados do blockchain.

Antes de crucificarmos a Coinomi vamos ver a resposta do Google a esse problema. Uma outra lição a ser tirada é sempre tentar usar soluções opensource, não é garantia de segurança, mas de transparência.

E aí, o que você acha que aconteceu com as criptomoedas de Mawali?


Este tipo de conteúdo é relevante para você ou alguma pessoa que você conhece? Se for, siga e compartilhe a página do Cointimes e se mantenha sempre atualizado no mercado – FacebookTwitterInstagram.

Compre e venda Bitcoin e outras criptomoedas na Coinext
A corretora completa para investir com segurança e praticidade nas criptomoedas mais negociadas do mundo.
Cadastre-se e veja como é simples, acesse: https://coinext.com.br