Coinomi錢包解決了漏洞問題
Coinomi Wallet否認了最近有關其軟體以純文字(未加密)將錢包恢復種子短語傳送到谷歌遠端拼寫檢查伺服器的說法。該公司在2月27日發表的一份官方宣告中駁斥了這一說法。
Coinomi在宣告中聲稱,與報告的內容不同,種子短語傳輸是通過SSL (HTTPS)加密的,谷歌是唯一能夠解密訊息的接收方。
Coinomi指出,只有當用戶選擇恢復錢包時,這個短語才會被傳輸,而且只能在桌面版本中傳輸。最後,Coinomi聲明發送到谷歌的拼寫檢查請求沒有被快取或儲存,因為它們被伺服器標記為壞請求,沒有進一步處理。
據報道,問題的原因是桌面版Coinomi wallet中包含的外掛軟體配置錯誤。
該公司聲稱,2月22日,Warith Al Maawali在其董事會上就其錢包中包含的一個漏洞提出了支援請求。Maawali在其專用網站AvoidCoinomi上稱,該漏洞導致錢包被黑客攻擊。
據稱,Coinomi將該請求標記為高優先順序,並對此事進行了調查。該公司的COO Angelos Leoussis在公司的官方電報組上說,該使用者一直在“威脅、咒罵和勒索我們,索取數額驚人的錢財”。
在AvoidCoinomi上釋出的一段視訊旨在展示所謂的漏洞,但似乎顯示在軟體中選擇瞭解密HTTPS的選項。
Leoussis在Cointelegraph上分享了一份據稱與Maawali對話的副本,使用者暗示錢包中有一個後門,並宣告:“你只有幾個小時的時間來歸還我的資產,否則我將公開所有不利於你的(原文如此)證據。”
根據Cointelegraph分享的資訊,2月23日,馬瓦利要求該公司退還據稱被盜的加密資產或等值的美元,並表示,否則他“除了在社交媒體上報道此事外別無選擇”。不過,他沒有透露調查結果的細節,表示他將等到該公司表明願意退還據稱被盜資金的時候。
Coinomi迴應說,該公司不認為這是一個負責任的披露,並要求提供有關所謂漏洞的細節。Maawali似乎迴應了這一要求,聲稱在沒有退款保證的情況下,他不會透露細節。
據稱,Coinomi在2月26日宣佈,該公司將向連鎖分析公司報告這些被盜資產,連鎖分析公司將把這些資金列入黑名單,因此不會有交易所接受這些資金。
據報道,2018年12月,研究人員能夠證明他們能夠破解Trezor One,Ledger Nano S和Ledger Blue硬體錢包。 在35C3重新整理回憶會議上,研究人員使用了幾種不同的策略來試圖破壞錢包。 Ledger團隊還聲稱,其硬體錢包中發現的漏洞並不重要。