Un consultant en sécurité révèle une vulnérabilité dans le portefeuille Coinomi, plus de 60 000 $ dans une crypto prétendument piratée

Crypto-monnaie portefeuille Coinomi est une nouvelle fois impliqué dans un scandale lié à la sécurité, un consultant en sécurité déclarant avoir découvert une vulnérabilité dans le service. Le service enverrait prétendument portefeuille phrases de départ, les informations de sauvegarde nécessaires pour récupérer un crypto portefeuille, sur des serveurs non chiffrés, ce qui permet aux pirates d’intercepter potentiellement les données et de voler les fonds d’un utilisateur.

Al Maawali, un «stratège en crypto-monnaie et consultant en sécurité» basé à Oman, affirme avoir trouvé une vulnérabilité dans le bureau Coinomi portefeuille. Comme beaucoup d’autres portefeuilles logiciels, il utilise une phrase clé de 12 mots pour restaurer portefeuille dans les cas où un utilisateur perd ou endommage son ordinateur, ou dans certains cas où un utilisateur oublie son code PIN ou doit transférer des fonds vers un nouvel appareil.

Maawali a créé un site Internet expliquant l'exploit en détail après avoir prétendument perdu entre 60 000 et 70 000 dollars de crypto-monnaie.

Plus techniquement, il explique comment les phrases secrètes sont stockées en texte brut, ou non cryptées, avant d’être envoyées aux serveurs de Coinomi pour effectuer une «fonction de vérification orthographique», une fonctionnalité censée permettre aux utilisateurs d’attraper des fautes de frappe plus facilement. en entrant leurs phrases de départ de 12 mots.

Vérification orthographique de votre crypto-monnaie portefeuillele mot de passe complexe à distance avec #Coinomi 😂https://t.co/xuQnLf0vOyhttps://t.co/nasw8FfmpQ#btc $ btc $ ltc $ xmr $ trx $ xrp $ zcoin $ dash $ zcash $ gno $ eth $ ark $ bch

– Warith Al Maawali (@ warith2020) 26 février 2019

Il a documenté le bug via vidéo. À l'époque, le Coinomi Portefeuille L’équipe avait déjà fourni quelques réponses aux accusations de Maawali après qu’il eut demandé à être indemnisé pour ses pertes.

L'ensemble conversation entre Maawali et Coinomi a été posté par la société sur leur site Web. Gazouillement page après la dispute a dégénéré. Selon Maawali, l’exploit était dû à une sécurité insuffisante de la part de Coinomi. Dans le même temps, la société a répondu qu'elle ne "négociait pas avec les maîtres chanteurs" après que Maawali eut demandé à être indemnisé pour ses pertes.

Maawali a également reconnu que la vulnérabilité en matière de sécurité aurait théoriquement pu être exploitée par une personne ayant accès aux demandes envoyées au serveur, telle qu'un employé. Quelqu'un travaillant au centre de base de données utilisé par Coinomi aurait pu identifier le phrase de départ et l'a utilisé pour accéder à son crypto portefeuille voler ses fonds, selon Maawali.

Deux côtés à chaque histoire

Quelques heures après les accusations publiques de Maawali, Coinomi, basé à Londres, a publié un déclaration officielle pour répondre aux revendications.

Selon Coinomi, les ingénieurs de la société ont confirmé que la fonction de vérification orthographique était effectivement activée pour les portefeuilles de bureau, mais ils ont affirmé que toutes les phrases de semences ne sont pas transmises sans cryptage. Les données auraient été envoyées avec cryptage et uniquement aux serveurs de cloud utilisés par Coinomi pour son service.

Cependant, Coinomi a également souligné que les expressions de semences ne sont transmises que lorsque les utilisateurs choisissent de restaurer leur identité. portefeuille en utilisant la graine. Enfin, la société a affirmé que les données envoyées aux serveurs n'étaient pas «traitées, mises en cache ou stockées», ce qui laisse penser qu'il serait impossible pour un employé du serveur d'intercepter ou de localiser les semences.

Au lieu de cela, Coinomi affirme que la vérification orthographique a été mise en œuvre correctement. Selon l'entreprise, le piratage était dû à une "mauvaise configuration":

«Nos ingénieurs ont immédiatement recherché la cause de ce problème, qui n'était pas un bogue dans notre code source, mais une mauvaise option de configuration dans un plug-in utilisé uniquement dans les portefeuilles de bureau. Toutes les versions de bureau ont été corrigées immédiatement après la réception du message. divulgation complète, et nous avons ensuite commencé à explorer davantage les implications de ce problème afin de fournir à nos utilisateurs les conseils appropriés et de les informer du plan d’action à prendre, le cas échéant. "

De plus, Coinomi affirme que Maawali ne coopérerait pas à moins d'être indemnisé:

“[He] refusé de divulguer ses conclusions et gardé [sic] menacé de rendre (l'affaire) publique "à moins que le paiement de 17 BTC a été fait pour le dédommager des fonds prétendument volés.

Que le message soit clair, nous ne négocions pas avec des maîtres chanteurs.

Voici la correspondance complète du Helpdesk avec @ warith2020 (un chantage a mal tourné):

👉 https://t.co/N8cogTK8nu 👈

– coinomi (@CoinomiWallet) 27 février 2019

La société a également souligné qu'aucune autre information faisant état de portefeuilles de bureau compromis n'avait été portée à l'attention de la société. En conséquence, la société "enquête sur l’authenticité des affirmations de Maawali", allant jusqu’à dire que le piratage était "plus probable … un hôte infecté plutôt que Google. [the server service] voler ces fonds. "

Cela dit, la société affirme également que si elle se trompe dans son évaluation de l’incident, elle remédiera à la situation des personnes concernées.

Coinomi et autres controverses

Coinomi a connu un incident similaire dans le passé. En 2017, deux utilisateurs revendiqué L’application Android de Coinomi était alimentée par des serveurs sans cryptage. Encore une fois, cela signifiait que les adresses Bitcoin qui étaient diffusées sur le réseau sans cryptage les exposaient au vol. Les deux utilisateurs ont également rendu public avec la faille de la vie privée.

Comme toujours, le vol et le piratage semblent être un problème récurrent dans le secteur des crypto-monnaies. Par conséquent, les utilisateurs de chiffrement doivent rester vigilants et choisir soigneusement les services auxquels ils font confiance avec leurs pièces.

Engagement pour la transparence: L'auteur de cet article est investi et / ou a un intérêt dans un ou plusieurs des actifs abordés dans ce post. CryptoSlate ne cautionne aucun projet ou actif pouvant être mentionné ou associé à cet article. Veuillez en tenir compte lors de l’évaluation du contenu de cet article.

Avertissement: Les opinions de nos écrivains sont uniquement les leurs et ne reflètent pas l'opinion de CryptoSlate. Aucune des informations que vous lisez sur CryptoSlate ne doit être considérée comme un conseil en investissement, et CryptoSlate ne soutient aucun projet pouvant être mentionné ou associé à cet article. L'achat et le commerce de crypto-devises doivent être considérés comme une activité à haut risque. Veuillez faire votre propre diligence raisonnable avant de prendre toute action liée au contenu de cet article. Enfin, CryptoSlate ne prend aucune responsabilité si vous perdez de l'argent en échangeant des crypto-monnaies.

As-tu aimé cet article? Rejoignez-nous.

Obtenez des actualités blockchain et des aperçus cryptographiques.

Suivez @cryptoslate Rejoignez-nous sur Telegram

Traduction de l’article de Eduardo Argueta : Article Original

L’article Un consultant en sécurité révèle une vulnérabilité dans le portefeuille Coinomi, plus de 60 000 $ dans une crypto prétendument piratée est apparu en premier sur BlockBlog.

https://blockblog.fr/un-consultant-en-securite-revele-une-vulnerabilite-dans-le-portefeuille-coinomi-plus-de-60-000-dans-une-crypto-pretendument-piratee/