کشف آسیب پذیری جدی در کیف پول Coinomi و روش محافظت کاربران از خود
ساناز موسوی | 1397.12.09

کشف آسیب پذیری جدی در کیف پول Coinomi و روش محافظت کاربران از خود

طبق گزارش های منتشر شده، یک آسیب پذیری جدی در کیف پول رمز ارز های Coinomi کشف شده که باعث از دست رفتن سرمایه برخی کاربران آن گردیده است. هرچند تیم Coinomi می گوید که مشکل را حل کرده اند و «بسیار بعید است که چنین مشکلی منجر به از دست رفتن سرمایه شود». طبق ادعاهای موجود در اینترنت، این کیف پول که بیش از نیم میلیون بار از Google Play Store دانلود شده، برای اسپل چک، متن رمزنگاری نشده ی عبارت seed را به سرورهای گوگل ارسال می کرد. این ادعا توسط Coinomi رد شده است.

بیشتر بخوانید: کدام کیف پول (والت) سخت افزاری رمز ارز ها برای شما مناسب تر است؟

Warith Al Maawali، که یک مشاور امنیت فناوری اطلاعات است، کاشف مسئله به شمار می آید. او وبسایتی به نام avoid-coinomi.com ایجاد کرده و در آن روایت خودش از ماجرا را بیان نمود. وی سپس آن روایت را به Reddit نیز منتقل کرد.

Al Maawali اینطور توضیح می دهد که: «پیش از هر چیز می پذیرم که در اعتماد به کیف پول Coinomi به عنوان یکی از کیف پول های اصلی خودم اشتباه کردم. من قصد داشتم برخی دارایی ها را که توسط کیف پول Exodus با seed مشابه پشتیبانی نمی شد را انتقال دهم».

به گفته ی تیم Coinomi، اپلیکیشن اصلی آنها که در تاریخ ۱۴ فوریه توسط این کاربر نصب شده، امضای دیجیتالی که او توجه تیم پشتیبانی در توییتر را به آن جلب کرده است را ندارد. اما او رمز عبور کیف پول Exodus خود را در کیف پول امضا نشده اش وارد کرده بود.

کشف آسیب پذیری جدی در کیف پول Coinomi و روش محافظت کاربران از خود

security vulnerability coinomi wallet discovered/ Source

در تاریخ ۲۲ فوریه او متوجه شده که: «بیش از ۹۰ درصد دارایی های کیف پول Exodus اش به چندین آدرس کیف پول مختلف منتقل شده و اولین تراکنشش با BTC در تاریخ ۱۹ فوریه ساعت 3:30 UTC صبح انجام شده است. این داستان با انتقال ETH (شامل توکن های ERC20LTC و BCH ادامه یافته است».

وقتی او شروع به بررسی این موضوع کرده، متوجه شده که کل رمز عبور به صورت رمز نگاری نشده با هدف اسپل چک به دامنه ی googleapis.com متعلق به Google ارسال می شود. Wraith توضیح می دهد: «بنابراین، هرکسی از تیم Google یا هر شخصی که درخواست های HTTP را که به آدرس googleapis.com ارسال می شود ارزیابی می کند، رمز عبور را یافته و حدود ۶۰ تا ۷۰ هزار دلار آمریکا دارایی رمز ارزی را (به ارزش فعلی بازار) سرقت کرده است».

وی گفت که یافته هایش را با Coinomi به اشتراک گذاشته است اما آنها بازخورد مورد انتظار وی را نشان نداده اند. او نوشت: «تیم Coinomi واکنش خاصی نشان نداد و از من درمورد مسائل فنی پشت این باگ پرسیدند زیرا نگران تصویر و شهرت عمومی خود بودند. آنها مسئولیت قانونی من در صورت عمومی کردن اطلاعاتم را به من یادآوری کردند (مرا تهدید کردند) و مسئولیت قانونی خود را در قبال دزدی دارایی های دیجیتال من فراموش کردند؛ همانطور که خطری که متوجه دیگر کاربران بود را فراموش کرده بودند». در نهایت او گفت که اگر آنها مسئولیت باگ امنیتی خود را نپذیرند دست به اقدام قانونی علیه Coinomi LTD شرکت مستقر در انگلستان خواهد زد.

در این میان، برخی دیگر از کاربران نیز ادعا می کنند که دارایی های خود را از دست داده اند. Coinomi در پاسخ در یک پست وبلاگی تایید کرد که قابلیت اسپل چک فقط برای کیف پول های دسکتاپ فعال بوده و بنابراین خطری متوجه کیف پول های موبایلی نیست.

بیشتر بخوانید: بهترین کیف پول های دسکتاپ برای رمزارز ها در سال 2018 کدام اند؟

طبق گفته ی کمپانی، باگی در کد اصلی وجود نداشته بلکه پیکربندی بد در پلاگین مورد استفاده در نسخه دسکتاپ کیف پول، منبع مشکل بوده است. آنها ادعا کردند که مشکل را ۶ روز پیش موقع تماس Al Maawali حل کرده اند.

Coinomi گفت که «Al Maawali بارها از افشای یافته ی خود سر باز زد و تهدید کرد که درصورت پرداخت نکردن 17 BTC به عنوان جریمه، این موضوع را عمومی خواهد کرد و آن را به صورت هک سرمایه ها (طبق آنچه Al Maawali مدعی شده، دزدی توسط گوگل) جلوه خواهد داد، هرچند هنوز هم به نظر می رسد این ماجرا توسط خودش کنترل می شود». این شرکت مدعیست که به دلایل فنی Coinomi، امکان هک دارایی ها وجود نداشته است.

کشف آسیب پذیری جدی در کیف پول Coinomi و روش محافظت کاربران از خود

security vulnerability coinomi wallet discovered/ Source

آنها گفتند: «با توجه به حقایق فوق بسیار نامحتمل است که چنین مسئله ای باعث از دست رفتن سرمایه شود، هرچند تحت هیچ شرایط عبارت seed حتی به صورت رمزنگاری شده نباید روی شبکه باشد و ما به خاطر این موضوع صادقانه عذرخواهی می کنیم».

کاربران Coinomi می توانند اقدامات زیر را برای اطمینان از امنیت خود انجام دهند:

  • اگر کاربر اندروید یا iOS این کیف پول هستید به هیچ اقدامی نیاز ندارید؛ ورژن های موبایل هیچ تاثیری از این اتفاق نپذیرفته اند.
  • اگر از ورژن دسکتاپ Coinomi استفاده می کنید و یک کیف پول جدید با دسکتاپتان ساخته اید، باز هم نیاز به اقدام خاصی به جز بروز رسانی کلاینت خود به آخرین ورژن ندارید.
  • اگر از ورژن دسکتاپ Coinomi و کیف پول قدیمی آن استفاده می کنید، توصیه می کنیم که یک کیف پول جدید بسازید و پس از اینکه کلاینت خود را به آخرین ورژن آپدیت کردید سرمایه تان را به آن منتقل کنید.

توجه!
مطالب صرفا برای اهداف خبری و آموزشی ارائه می شوند و نباید به عنوان مشاوره ی تجاری از طرف کوین ایران و نویسندگانش مورد استفاده قرار گیرند.

Source