Un usuario en twitter de nombre Warith Al Maawali reportó la supuesta pérdida de más de $60.000 en diversas criptomonedas entre ellas bitcoin; las cuales fueron robadas de su billetera en Coinomi debido a una vulnerabilidad en la wallet de escritorio.
Al Maawali creó un sitio web para exponer públicamente la situación debido a que según él; agotó todos los canales privados de comunicación y Coinomi se negó a asumir la responsabilidad de lo sucedido con sus activos digitales, y recomienda a los usuarios retirar sus criptoactivos a otro servicio aludiendo que podrían ser robados tarde o temprano.
Según la victima del robo, la falla de seguridad tiene su origen al momento de generar la frase semilla que sirve como contraseña y que verifican la ortografía enviándolas de forma remota a los servidores de Google vía HTTP en texto plano sin ninguna seguridad.
Al Maawali comenta que «Para entender lo que está pasando, lo explicaré técnicamente. La funcionalidad principal de Coinomi se construye utilizando el lenguaje de programación Java. La interfaz de usuario está diseñada con HTML / JavaScript y representada con el navegador integrado basado en Chromium (el proyecto de código abierto de navegador web del que Google Chrome obtiene su código fuente)».
Añadiendo que «básicamente, el cuadro de texto en el que ingresa su contraseña es básicamente un archivo HTML ejecutado por el componente del navegador Chromium y una vez que escribe o pega algo en ese cuadro de texto, lo enviará de forma inmediata y discreta a googleapis.com para su revisión ortográfica».
Las pruebas presentadas en el sitio web avoid-coinomi.com muestran un video que captura el proceso por el cual Al Maawali cree que pudieron obtener sus palabras secretas; siendo esta información validada por Luke Childs, un investigador de seguridad, y un aficionado a la criptomoneda.
Some people don’t seem to be able to see the video because the quote tweet is shown instead, here’s the video: pic.twitter.com/x592HW9sEi
— Luke Childs (@lukechilds) 27 de febrero de 2019
Mientras tanto otros usuarios en Reddit también reportan pérdidas de sus bitcoin y otros criptoactivos que eran almacenados en la wallet de Coinomi. El usuario AaronFFBE mencionó lo siguiente: «Recientemente, acabo de configurar Coinomi y todo parecía estar bien, mi BTC y BCash se transfirieron en exceso, pero ahora, hace 13 horas, mi BTC y BCash se enviaron a 1CYs8 kNPm McvP mFtp nuDR e5uY rCS6 UEwj9. Simplemente no sé qué hice mal, ¿creo que debo tener un keylogger para que alguien obtenga mi información?»
Respuesta de Coinomi
Coinomi respondió por medio de un comunicado en medium a los señalamientos de la falla reportada por Al Maawali señalando que «Nuestros ingenieros confirmaron que, de hecho, la funcionalidad de revisión ortográfica estaba habilitada solo para las billeteras de escritorio; esto no afectó a las aplicaciones móviles.»
Además Coinomi señala que «La frase semilla no se transmitía en texto sin formato, sino que se encapsulaba dentro de una solicitud HTTPS con Google como único destinatario»; señalando además que sus ingenieros detectaron de inmediato la causa del problema, que no era un error en el código fuente de la aplicación, sino que era una opción de configuración incorrecta en un complemento utilizado solo en las carteras de escritorio.
En el comunicado también se puede apreciar que Coinomi afirma que Al Maawali amenazó con hacer publico todo lo sucedido si ellos no pagaban 17 btc como recompensa de sus fondos «perdidos» y que ellos creen que posiblemente aún estan controlados por él.
Discussion about this post