Кошелек Coinomi использовал Google API для проверки правописания seed-фраз пользователей. Один из клиентов кошелька по этой причине лишился криптовалюты на $70000.

Жи-Ши

В популярном криптокошельке Coinomi обнаружили уязвимость, которая привела к утечке персональных данных и краже криптовалюты. Один из пользователей заметил пропажу криптовалюты с одного из своих кошельков стоимостью около $70 000. Он отследил запросы, которые делало приложение, и выяснил, что кошелек Coinomi проверял правописание seed-фразы с помощью Google API. Это происходило в тот момент, когда юзер вводил кодовую фразу в поле восстановления кошелька. Его seed-фраза отправлялась как обычный текст на googleapis.com для проверки правописания.

По всей видимости, мошенники обнаружили эту уязвимость и смогли найти нужную информацию о seed-фразах на серверах Google.

Пользователи в соцсетях тут же распространили исходное сообщение, в котором расказывалось и даже показывалось на видео, как происходит проверка правописания, и отметили нелепость такого бага.

«Это не шутка!» — написал один из твиттер-юзеров.

Во всем виноваты другие разработчики

В Coinomi подтвердили наличие такого бага и сообщили, что функция проверки орфографии с помощью Google API была включена только для десктопных приложений и не касалась мобильных приложений. Команда Coinomi уточнила, что seed-фраза не передавалась в виде простого текста, а была заключена в https-запрос и отправлялась исключительно в адрес Google. Помимо этого, seed-фраза передавалась только при восстановлении доступа к криптокошельку через десктопное приложение.

«Наши инженеры выяснили причину этой проблемы, которая заключалась не в ошибки нашего исходного кода, а в неправильной конфигурации опций плагина, используемом только в десктопных кошельках. Этот плагин по умолчанию включал функцию проверки орфографии в недавном обновлении и был исправлен командой плагинов jxBrowser всего 6 дней назад. В тот же день с нами связался Варит Аль-Маавали [пользователь, потерявший криптовалюту]. Все версии десктопных приложений были исправлены сразу после того, как мы получили полное описание проблемы», — говорится в сообщении Coinomi.

Coinomi уточнила, что идентифицировала адреса, на которые была отправлена криптовалюта пострадавшего пользователя, и что они были добавлены в «черный список», что затруднит мошенникам ее обмен на биржах.

Coinomi призвали пользователей десктопных приложений обновиться до последней версии, в которую были внесены исправления.