Opasan propust za jedan od boljih walleta
Baš sam čitao neki dan na twitteru. Zvuči stvarno nevjerojatno da si tako nešto može dozvoliti tako poznati novčanik. Ako je istina onda su stvarno zeznuli stvar. Ja Coinomi koristim na mobitelu i bio sam super zadovoljan. Sad mi je dalo misliti, ko zna kakvih još propusta može biti. Problem je što nitko ne garntira da je konkurencija išta bolja.
Upravo tako! Za ovo se saznalo (barem ako sam dobro shvatio) zato što je ekipa izgubila hrpu kripto valuta koje je držala u Coinomi walletu. Vjerujem da će i ostali mobilni walleti sad provjeriti je li ovaj problem i kod njih, ali tko garantira da negdje drugdje ne postoji jednako opasan propust? Zato je najbolje hardware wallet i "prst u uvo"
Niti sam htio, niti bi bilo u redu komentirati ovaj događaj prije kraja istrage. Nije 'ekipa' izgubila hrpu kripto valuta već samo jedan lik Warith Al Maawali iz Omana. Preslik njegove komunikacije s helpdesk službom možete pročitati ovdje. https://cdn.coinomi.com/static/images/support/ticket900882_high.jpg
Ukratko, lik tvrdi da aplikacija koju je skinuo sa službene stranice ima backdoor i da je ostao bez 60 -70k (ne govori u kojoj fiat valuti je to izračunao) kada je svoju frazu (samo 18 riječi) sa Exodus walleta 'isprobao' na Coinomi desktop walletu. Također tvrdi da ima mnogo walleta u svom kompu (da li u njima koristi istu frazu nije napisao). Tvrdi da je baš Coinomi Wallet kriv za gubitak jer su mu ukradene samo valute koje Coinomi podržava.
Na prvu, morate priznati, dosta sumnjiva komunikacija (bez obzira na stres zbog gubitka) pogotovo što poslije odbija preći na sigurnu kriptiranu komunikaciju Skypeom uz potvrdu identiteta svojim osobnim dokumentima. Ne želi reći ni koji OS koristi jer kaže da on misli da to nije bitno itd. Umjesto toga lik prijeti.
Cijelo to vrijeme Coinomi nastoji od njega dobiti što više podataka da suze područje istrage što se moglo dogoditi s propustom u aplikaciji. Istovremeno se provjeravaju sve transakcije i komunicira se sa svim mogućim partnerima kako bi se blokiralo korištenje otuđenih sredstava jer ona nisu slana dalje sa adresa na koje su prebačene. Na većini poznatih mjenjačnica i mixera ove adrese su već blokirane i neće biti moguć depozit sa njih. Ako iznos ostane na njima vjrojatno će se budućim forkovima ove adrese 'spržiti'.
Coinomi nalazi propust u jxbrowser/chromium pluginu
in our mentioned case (only applicable to desktops due to jxbrowser/chromium) it was an *encrypted* api call which was not processed or stored by google anyway as it was a dummy request (no valid api, just a setting being on by default - funny how jxbrowser devs disabled that setting the DAY the reporter "discovered" this
Službena izjava Coinomija https://medium.com/coinomi/official-statement-on-spell-check-findings-547ca348676b Sumnjivo i vama jel'da...
Edit:
Published on Mar 3, 2019 - by Warith Al Maawali iz Omana
My Official Response to Coinome Spell Check Scandal https://www.youtube.com/watch?v=eP1WAkTJXw0
a ovo je njegov kanal na YouTube Tech and Crypto Vibes https://www.youtube.com/channel/UC2JjqM4eyDfrmw9tVFAGQCA/featured
Ovdje je i njegova prva https://avoid-coinomi.com/ i druga izjava https://avoid-coinomi.com/second_statement.html
----------------------------------------------------------------------------------------------------------------------
Neću zauzimati stranu već ću samo nabrojati neke činjenice:
1. Svi znamo poslovicu da 'ne treba sva jaja držati u istoj košari'... Imati $70.000 i držati sve pod jednom pass frazom i to u više walleta istovremeno jednostavno 'ne pije vode' za čovjeka kakvim se ovaj lik predstavlja https://www.youtube.com/watch?v=qYVWSxJ6hUw i https://www.facebook.com/warith.almaawali . Jednostavno nevjerojatno! Imati vlog sa videima o sigurnosti, a onda ovako postupati sa svojim portfoliom... jednostavno ne vjerujem i priča je šuplja kao švicarski sir.
2. Kaže da je Coinomi instalirao jer ima i one valute koje Exodus nema, a svuda spominje samo BTC, LTC, BCH i ETH što se i vidi u Coinomi novčaniku na njegovom videu. Koristi Exodusovu frazu od 18 riječi iako može koristiti 24 riječi u Coinomiju. Ne pušim... nikako.
3. Kako to da 'lopov' nije 'ukradene' kriptovalute odmah prebacio na neke druge adrese ili ih provukao kroz neki mixer da im se izgubi svaki trag? Da li je 'lopov' svjestan da će ostati bez ukradenoga ako sve kriptovalute ostanu na tim adresama? Postoji li uopće lopov ili će netko tek naknadno ostati bez $70.000 kad otkrije da su adrese 'spržene'?
4. I sad kad ste već mislili da držim stranu Coinomiju... Luke Childs https://twitter.com/lukechilds je prije više od godinu dana na zatvorenom Slack kanalu Coinomija ukazivao na ovaj problem 'sends your plain text seed phrase to Googles remote spellchecker API when you enter it' , ali je bio dosta drzak za jednog klinca, pa mi se čini da ga nisu shvatili ozbiljno. Problem je ipak pokrpan u staroj verziji desktop novčanika, ali mi nije jasno kako se ponovo vratio u novoj verziji???
U cijelu ovu priču Warith Al Maawali je uvukao i Google odnosno optužio je Googleove zaposlenike, a Coinomi ima intenzivne razgovore sa Googleom. U svakom slučaju potroših cijeli dan da saznam što se dešava
Za kompletno objašnjenje pogledajte ovdje Ivan on Tech https://www.youtube.com/watch?v=5WgD8YOqfLM
Ova priča od prije par mjeseci dobila je nastavak. Kome se ne da čitati sve itaknut ću samo Disclaimer
CipherBlade’s review of this situation was requested by Coinomi, and we were compensated for our time. Our conclusions, however, are independent and have not been influenced by this fact.
First, the security of our industry is our primary concern, and had we judged it likely that the Coinomi wallet bug was, indeed, responsible for a loss of funds, or had we determined that Coinomi handled the situation inappropriately, we would have taken no shame in publishing our findings to that effect, no matter their protests.
And second, the fact that Al Maawali’s course of action is improper and ineffective is entirely independent of the question of the cause of his loss of funds. For it to be called out as such is not only in Coinomi’s interest, but also in the interest of every other person and company in the cryptocurrency world.
Svi koji želite pročitati cijeli članak link je ovdje https://medium.com/@cipherblade/how-not-to-react-when-your-cryptocurrency-is-stolen-92f7c72616af