Пользователь Coinomi Wallet утверждает, что потерял около $70 000 из-за функции проверки правописания

[volangott]

 

 

Пользователь кошелька Coinomi утверждает, что он потерял до $70 000 в криптовалютах из-за уязвимости. По его словам, кошелек отправлял seed-фразу в Google для проверки орфографии.

 

Пользователь под ником warith на криптовалютном форуме Bitcointalk открыл тему, в которой обвинил разработчиков Coinomi в нарушении безопасности и потребовал компенсации. 14 февраля, скачав и установив приложение Coinomi, пользователь ввел в его интерфейс кодовую фразу, которую он использовал для своего основного кошелька Exodus.

«Я понимаю, что сам совершил ошибку, введя кодовую фразу своего основного кошелька. Но я скачал программное обеспечение с официального сайта, установочный файл имел цифровую подпись, а имя кошелька фигурировало на нескольких авторитетных сайтах, таких как bitcoinwiki.org. Я всего лишь хотел перевести часть своих криптоактивов, которые не поддерживались кошельком Exodus», – пишет warith.

22 февраля пользователь заметил, что с его кошелька Exodus было выведено около 90% активов. Согласно журналу транзакций, вывод средств на различные адреса начался 19 февраля – сперва биткоины, затем эфир и токены ERC-20, потом лайткоины и биткэш. Нетронутыми остались только те криптовалюты, которые не поддерживались кошельком Coinomi.

 

 

Читать полностью

[f8192]

Цитата

команда Coinomi никогда не имела доступа к кодовым фразам и активам пользователей

Это ложь, потому что Coinomi имеет закрытый исходный код. Следовательно, команда Coinomi имеет доступ к кошелькам всех своих пользователей.

[puls75]

и не думайте заводить этот кошелек! у меня забрали 12000 рипл! а когда начал писать в службу поддержки то вообще заблокировали кошелек!!!! уроды!!!!

 

[Lexis77]

Разрабы просто конченая школота. Так лохануться.... Теперь, по логике, присядут лет на 40.

[Helber]

28.02.2019 в 02:01, volangott сказал:

По его словам, кошелек отправлял seed-фразу в Google для проверки орфографии.

Ну так это не новость, я уже когда-то читал подобное (хотя есть 10% неуверенности, что именно про этот кошелек). 
 

Если койноми отсылает все сид-фразы в гугл, и гугл их читает и юзает, то почему украли у этого одного? Не разумнее ли предположить, что на устройстве с Coinomi у него нашлись зверьки? И гугл с разработчиками - не при чем?

Edited 14 Jun 2020, 05:58 by Helber

[Alex Legostev]

Так там ведь все дело в том, что он поставил пк версию, она не так популярна, вот и оказался единственным лохом, coinomi  потом заплатку выпустили для этого.

[Helber]

14 минут назад, Alex Legostev сказал:

Так там ведь все дело в том, что он поставил пк версию, она не так популярна, вот и оказался единственным лохом, coinomi  потом заплатку выпустили для этого.

Вы правы. Зря я не прочитал новость целиком.

Вопрос в том, что из двух противоречащих заявлений - неправда, вот это

 

«обнаружил, что она передается в виде незашифрованного текста на адрес googleapis.com для проверки правописания»

 

или это: 

 

«никто, кроме Google, не мог прочитать содержимое зашифрованных пакетов, содержащих кодовые фразы»

Почему он решил, что запрос нешифрованный?

 

Edited 14 Jun 2020, 06:19 by Helber

[mass]

История из первых рук)). Вчерась, находясь у меня в гостях, знакомый, обжимая сетевой кабель обнаружил, что цвета проводов какие-то странные. Ну и как обычно на своём компе с виндой начал набирать у меня на машине в поисковой строке дукдука без переключения расскладки. Я ему- это не винда, он, - да он сам переведёт!, В итоге знакомый видит, что дукдук ни черта не перевёл , понимает, что винда "умнее его". ну и пришлось ему всё-таки переключат расскалдку.

Вы работаете с криптой на ведроидо/быдлофоно/вендоуз/макентошах это полный швах, дайте больше историй по поводу

Quote

Но я скачал программное обеспечение с официального сайта, установочный файл имел цифровую подпись, а имя кошелька фигурировало на нескольких авторитетных сайтах, таких как bitcoinwiki.org.

Ну а мы , как всегда с попкорном.! ?

П.С, 99.9% населения Земли - Идиоты

[Helber]

31 минуту назад, mass сказал:

Вчерась, находясь у меня в гостях, знакомый, обжимая сетевой кабель обнаружил, что цвета проводов какие-то странные. Ну и как обычно на своём компе с виндой начал набирать у меня на машине в поисковой строке дукдука без переключения расскладки. Я ему- это не винда, он, - да он сам переведёт!, В итоге знакомый видит, что дукдук ни черта не перевёл , понимает, что винда "умнее его". ну и пришлось ему всё-таки переключат расскалдку

Ну тут дело, наверное, не в винде, а в типе ПС.

У меня на линуксе дукдук тоже не пытается исправлять раскладку, (точнее, пока набираю fhxtve, еще предлагает варианты, которые начинаются с «почему»), а яндекс правит без спросу.

 

33 минуты назад, mass сказал:

Вы работаете с криптой на ведроидо/быдлофоно/вендоуз/макентошах это полный швах, дайте больше историй по поводу

Работать, наверное, допустимо на любой популярной оси, вопрос в общей культуре пользования + поддержания в чистоте.

Масса людей с этого форума, я думаю, использует как основную ось или OS X, или windows 7, или 10, или даже android. Но массово их что-то не грабят.

[mass]

1 minute ago, Helber said:

 ...Но массово их что-то не грабят.

Всему своё время!

Quote

European Forum For New Ideas, EFNI

«Рост глобальной политической активности широких масс населения более не позволяет управлять ими с помощью извне навязанного контроля, как это было в эпохи колониализма и империализма… Неугасающее и поддерживаемое твердыми убеждениями сопротивление людей, идущее из самой глубины народа, зиждется на их политическом пробуждении и отрицании внешнего управления по историческим причинам - это сопротивление всё тяжелее и тяжелее поддается подавлению».

Всему своё...

П.С. Просьба не ассоциировать с надписью при входе в Бухенвальд.

П.п.С. Кагда массово подсаживали на автокредиты население этой страны, так-же ни кто не думал что бензин будет дороже чем во всех странах, да и трижды налог на транспорт платить ни кто не думал.

[fer_coinomi]

I apologize in advance for writing in English

 

On 2/28/2019 at 5:55 AM, f8192 said:

Это ложь, потому что Coinomi имеет закрытый исходный код. Следовательно, команда Coinomi имеет доступ к кошелькам всех своих пользователей.

This is completely false. You are confusing "closed source" with "custodial". Coinomi is a non-custodial wallet. It never has access to any of its users' recovery phrases. You can read more about it here and here.

 

14 hours ago, puls75 said:

и не думайте заводить этот кошелек! у меня забрали 12000 рипл! а когда начал писать в службу поддержки то вообще заблокировали кошелек!!!! уроды!!!!

The issue reported on this article has been fixed for nearly a year and a half. There are no known security or privacy issues in current versions of the app. Furthermore, the entire reporting of the "vulnerability" was proven to be nothing but an attempt to extort money from Coinomi. You can read the tweet and the detailed forensic report here: https://twitter.com/kimionis/status/1131945228506738688. You can contact support at support.coinomi.com in case of any issues.

[Helber]

13 минут назад, fer_coinomi сказал:

This is completely false. You are confusing "closed source" with "custodial". Coinomi is a non-custodial wallet. It never has access to any of its users' recovery phrases. You can read more about it here and here.

Perhaps the user f8192 has in mind the following. Since the source code of the Coinomi wallet is not open, the community cannot control whether the seed phrases generated by the user are transmitted to the wallet manufacturer.
I do not claim that this is so. But theoretically this is possible, especially with closed source code.

[fer_coinomi]

15 hours ago, Helber said:

Perhaps the user f8192 has in mind the following. Since the source code of the Coinomi wallet is not open, the community cannot control whether the seed phrases generated by the user are transmitted to the wallet manufacturer.
I do not claim that this is so. But theoretically this is possible, especially with closed source code.

The same thing can be said about open source projects if the user is simply downloading a compiled binary from the app store, instead of checking the source personally and compiling on their own computer. Open source apps have their own attack vectors as some have been hacked with injected malicious code or libraries. The bottom line is that billions of dollars have been kept safe with Coinomi with no loss, the article on the opening post was nothing but an attempt to extort the Coinomi team. Coinomi is the oldest multiasset wallet and one of the most secure of its category ?

[karmapolice]

Через суд компенсируют наверное. Или суперскам?)