Connect with us

VietinCrypto

Coinomi Desktop Wallet kiểm tra chính tả các cụm từ hạt giống, và bị cáo buộc đánh cắp 70.000 đô la tiền điện tử

Công nghệ tài chính

Coinomi Desktop Wallet kiểm tra chính tả các cụm từ hạt giống, và bị cáo buộc đánh cắp 70.000 đô la tiền điện tử

Người dùng có biệt danh Warith đã báo cáo mất 60.000 — 70.000 USD sau khi cài đặt ví tiền điện tử Coinomi từ trang web chính thức.

“Ví điện Exodus chính của tôi không hỗ trợ một số tài sản và tôi quyết định chuyển chúng sang Coinomi bằng cách sử dụng cùng một cụm từ hạt giống”, anh viết.

Vài ngày sau, Warith nhận thấy 90% tài sản — Bitcoin, ETH, ERC20, LTC và BCH với tổng giá trị lên tới 70.000 USD — đã được rút từ ví Exodus của anh sang nhiều địa chỉ khác nhau. Chỉ những tài sản không được Coinomi hỗ trợ vẫn còn trong ví.

Để hiểu tình hình, Warith đã theo dõi lưu lượng truy cập của ứng dụng Coinomi và phát hiện ra rằng tại thời điểm ra mắt, nó đã tải xuống một danh sách các từ trong từ điển.

“Tôi đã nhập một cụm từ hạt giống ngẫu nhiên vào hộp khôi phục ví và thấy rằng ở dạng văn bản không được mã hóa, nó đã được gửi đến googleapis.com để kiểm tra chính tả. Mọi người được kết nối với công nghệ và tiền điện tử đều biết rằng 12 từ tiếng Anh ngẫu nhiên có thể là cụm từ hạt giống từ ví tiền điện tử. Do đó, một người nào đó trong nhóm Google hoặc ai đó có quyền truy cập vào các yêu cầu HTTP được gửi đến googleapis.com, đã tìm thấy một cụm mật khẩu và sử dụng nó để đánh cắp 60.000 — 70.000 đô la tiền điện tử”, anh cho biết thêm.

Anh đã viết một bài đăng về vụ việc trên Twitter, nhưng Coinomi chỉ trả lời lảng tránh trong thư từ cá nhân. Về vấn đề này, Warith sẵn sàng nộp đơn yêu cầu bồi thường, nếu công ty tiếp tục tránh trách nhiệm.

Sau một thời gian, một đại diện của Coinomi, trong một cuộc phỏng vấn với Trustnodes, đã nói rằng lỗ hổng được phát hiện đã bị loại bỏ và chỉ liên quan đến phiên bản ví của máy tính để bàn.

“Yêu cầu gửi tới Google đã được mã hóa và không chính xác do chúng không được Google xử lý. Kiểm tra chính tả được thực hiện tại địa phương”, đại diện nói và hứa rằng công ty sẽ sớm đưa ra thông báo chính thức về vụ việc.

Nhớ lại, vào đầu tháng 2, một lỗ hổng đã được phát hiện trong phần mềm cho các thiết bị Antminer S15, theo lý thuyết cho phép kẻ tấn công kiểm soát hoàn toàn ASIC.

Continue Reading
You may also like...
Click to comment

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *

More in Công nghệ tài chính

Facebook

Xu hướng

To Top