Um usuário da multicarteira de criptomoedas Coinomi foi à rede social Reddit afirmar que perdeu entre US$ 60 e 70 mil dólares em criptoativos devido a uma falha no aplicativo.
Segundo ele, seu ‘seed’ (frases para recuperação) foi compartilhado como texto simples com servidor de terceiros.
“Aviso – Vulnerabilidade Crítica. A carteira Coinomi fez eu perder minhas economias. Aparentemente eu não sou o único que perdeu criptoativos recentemente”, publicou nesta terça-feira (26) Warith Al Maawali, usando o apelido ‘warith77’.
Maawali disse que foi às redes sociais para tornar o incidente público já que a Coinomi se recusou a assumir a responsabilidade e também porque ele não havia recebido retorno das inúmeras tentativas de contato com a plataforma.
Como ele descobriu o ‘bug’
O investidor, que alega ter perdidos seus fundos após adicionar as palavras de recuperação de carteira também foi no Twitter fazer sua denúncia.
Ele afirma que sua sequência de palavras (seed) foi comprometida e que perdeu entre US$ 60 mil e US$ 70 mil em criptomoedas roubadas.
“Verifique ortograficamente o seed da carteira de criptomoedas Coinomi. Evite coinomi.com”, tuitou.
De acordo com Maawali, o diretor técnico da Coinomi confirmou a gravidade da vulnerabilidade e corrigiu o problema, mas não confirmou a responsabilidade em devolver seus bens roubados.
Frase passava por correção ortográfica
Depois de ter passado pelo incidente, Maawali descobriu e explicou como evitar o problema.
Segundo ele, os usuários têm que simplesmente colocar qualquer frase aleatória (com um erro de ortografia) na caixa de texto no formulário ‘Restore Wallet’ da Coinomi. O resultado é que o erro será sublinhado em vermelho depois de ser enviado ao Google para uma verificação ortográfica.
Coinomi negou perdas
A empresa também usou as redes sociais para resumir em um artigo o que aconteceu com o aplicativo.
Leia Também
Conforme publicação no Medium nesta quarta-feira (27), a Coinomi foi contatada por Maawali através do suporte técnico no dia 22 de fevereiro a respeito de uma vulnerabilidade de segurança.
Eles afirmaram que os engenheiros confirmaram que a funcionalidade de verificação ortográfica estava habilitada, mas apenas para as carteiras da área de trabalho (desktop) e que os dispositivos móveis não foram afetados.
“Nossos engenheiros rastrearam a causa do problema, o que não era um bug em nosso código-fonte, mas sim uma opção de configuração ruim em um plug-in usado apenas em carteiras para desktop”.
Disse, também, que a frase não estava sendo transmitida em texto simples, em vez disso, ela estava sendo encapsulada em uma solicitação HTTPS, com o Google sendo o único destinatário, acrescentando:
“O seed não estava sendo transmitido, a menos que o usuário escolhesse restaurar suas carteiras desktop. As solicitações de verificação ortográfica enviadas ao API do Google não foram processadas ou armazenadas em cache e as próprias solicitações retornaram um erro (código: 400), pois foram marcadas como “solicitação incorreta” e não foram processadas posteriormente pelo Google”.
Usuário foi criticado
A empresa condenou a atitude de Maawali e disse que ele foi irresponsável ao tornar o assunto público antes de permitir que eles pudessem resolver com o Google.
Falou ainda, que eles não negociam com chantagistas e que estão sempre abertos a pesquisadores que queiram ajudar.
“Vulnerabilidades de segurança existem em todos os tipos de software e é muito importante que, quando divulgadas, elas sejam realizadas de forma adequada”.
A empresa agradeceu, ainda, a cooperação de Maawali, disse que não teria como haver perdas e divulgou toda a conversa entre ele e o suporte técnico.
Clique aqui e siga o Portal do Bitcoin no Instagram
3xBit
Inovação e segurança. Troque suas criptomoedas na corretora que mais inova do Brasil. Cadastre-se e veja como é simples, acesse: https://3xbit.com.br