Imagem da matéria: Usuário relata perda de mais de R$ 200 mil por erro na carteira de criptomoedas Coinomi
(Foto: Shutterstock)

Um usuário da multicarteira de criptomoedas Coinomi foi à rede social Reddit afirmar que perdeu entre US$ 60 e 70 mil dólares em criptoativos devido a uma falha no aplicativo.

Segundo ele, seu ‘seed’ (frases para recuperação) foi compartilhado como texto simples com servidor de terceiros.

Publicidade

“Aviso – Vulnerabilidade Crítica. A carteira Coinomi fez eu perder minhas economias. Aparentemente eu não sou o único que perdeu criptoativos recentemente”, publicou nesta terça-feira (26) Warith Al Maawali, usando o apelido ‘warith77’.

Maawali disse que foi às redes sociais para tornar o incidente público já que a Coinomi se recusou a assumir a responsabilidade e também porque ele não havia recebido retorno das inúmeras tentativas de contato com a plataforma.

Como ele descobriu o ‘bug’

O investidor, que alega ter perdidos seus fundos após adicionar as palavras de recuperação de carteira também foi no Twitter fazer sua denúncia.

Ele afirma que sua sequência de palavras (seed) foi comprometida e que perdeu entre US$ 60 mil e US$ 70 mil em criptomoedas roubadas.

“Verifique ortograficamente o seed da carteira de criptomoedas Coinomi. Evite coinomi.com”, tuitou.

De acordo com Maawali, o diretor técnico da Coinomi confirmou a gravidade da vulnerabilidade e corrigiu o problema, mas não confirmou a responsabilidade em devolver seus bens roubados.

Publicidade

Frase passava por correção ortográfica

Depois de ter passado pelo incidente, Maawali descobriu e explicou como  evitar o problema.

Segundo ele, os usuários têm que simplesmente colocar qualquer frase aleatória (com um erro de ortografia) na caixa de texto no formulário ‘Restore Wallet’ da Coinomi. O resultado é que o erro será sublinhado em vermelho depois de ser enviado ao Google para uma verificação ortográfica.

Coinomi negou perdas

A empresa também usou as redes sociais para resumir em um artigo o que aconteceu com o aplicativo.

Conforme publicação no Medium nesta quarta-feira (27), a Coinomi foi contatada por Maawali através do suporte técnico no dia 22 de fevereiro a respeito de uma vulnerabilidade de segurança.

Eles afirmaram que os engenheiros confirmaram que a funcionalidade de verificação ortográfica estava habilitada, mas apenas para as carteiras da área de trabalho (desktop) e que os dispositivos móveis não foram afetados.

“Nossos engenheiros rastrearam a causa do problema, o que não era um bug em nosso código-fonte, mas sim uma opção de configuração ruim em um plug-in usado apenas em carteiras para desktop”.

Publicidade

Disse, também, que a frase não estava sendo transmitida em texto simples, em vez disso, ela estava sendo encapsulada em uma solicitação HTTPS, com o Google sendo o único destinatário, acrescentando:

“O seed não estava sendo transmitido, a menos que o usuário escolhesse restaurar suas carteiras desktop. As solicitações de verificação ortográfica enviadas ao API do Google não foram processadas ou armazenadas em cache e as próprias solicitações retornaram um erro (código: 400), pois foram marcadas como “solicitação incorreta” e não foram processadas posteriormente pelo Google”.

Usuário foi criticado

A empresa condenou a atitude de Maawali e disse que ele foi irresponsável ao tornar o assunto público antes de permitir que eles pudessem resolver com o Google.

Falou ainda, que eles não negociam com chantagistas e que estão sempre abertos a pesquisadores que queiram ajudar.

“Vulnerabilidades de segurança existem em todos os tipos de software e é muito importante que, quando divulgadas, elas sejam realizadas de forma adequada”.

A empresa agradeceu, ainda, a cooperação de Maawali, disse que não teria como haver perdas e divulgou toda a conversa entre ele e o suporte técnico.

Publicidade

Clique aqui e siga o Portal do Bitcoin no Instagram


3xBit

Inovação e segurança. Troque suas criptomoedas na corretora que mais inova do Brasil. Cadastre-se e veja como é simples, acesse: https://3xbit.com.br

VOCÊ PODE GOSTAR
Imagem criada por IA pelo Decrypt

Airdrops do Hamster Kombat e Catizen ameaçam travar a rede TON

A temporada de airdrops na TON está quase chegando, e os desenvolvedores admitem que a demanda será intensa e pode causar interrupções na rede vinculada ao Telegram
Imagem da matéria: As 7 criptomoedas que podem disparar em setembro

As 7 criptomoedas que podem disparar em setembro

O Portal do Bitcoin entrevistou analistas para saber quais as criptomoedas têm indicadores fortes para um de setembro com bom desempenho
Imagem da matéria: Jogo Magic Muffins é lançado no Telegram para enfrentar o Hamster Kombat

Jogo Magic Muffins é lançado no Telegram para enfrentar o Hamster Kombat

O jogo da Earn Alliance no Telegram, Magic Muffins, oferece uma experiência de combate baseada em toque que está vinculada ao lançamento do token ALLY da plataforma
logo da uniswap com gráficos ao fundo

Uniswap leva multa de US$ 175 mil da CFTC por oferta ilegal de ativos

A Uniswap Labs, empresa por trás da Uniswap, aceitou as acusações e pagará uma multa de US$ 175.000