Bug in der Coinomi Desktop Wallet – Eine Zusammenfassung der Ereignisse
Am Morgen des 27. Februar 2019 veröffentlichte der Twitter User „Luke Childs“ (@lukechilds) ein Video, das zeigt – wie eine Coinomi Desktop Wallet, eine Seedphrase, welche in das Feld zum wiederherstellen der Wallet vorgesehen wird, zum Prüfen der Rechtschreibung im Klartext über eine SSL Verbindung an Google (respektive die von Google zur verfügung gestellte sogenannte Spellcheck-API – welche die englische Rechtschreibung überprüft) übermittelt wird. Dies stellt selbstverständlich eine Sicherheitslücke dar, da rein hypothetisch jemand der Zugriff auf die Logs bei Google hätte, auch Zugriff auf die zur Prüfung übersandte Seedphrase hätte.
Das alles ist schon mal, sagen wir nicht so gut ;) und stellt wirklich eine eklatante Sicherheitslücke dar, welche auch in der aktuellen Version der Desktop Wallet von Coinomi gefixt wurde.
Es ist anzumerken das der beschriebene Bug auch scheinbar nur in der Desktop Wallet existierte – und somit wahrscheinlich auch nicht so viele Menschen betroffen sein sollten, da diese auch noch nicht so lange existiert – und zudem auch nur dann zum Tragen kommt, wenn ihr eure Wallet mittels der Seedphrase wiederherstellen wollt.
Nichts desto trotz steht auch noch die Sache mit den scheinbar gestohlenen Funds im Raum. Diese wurden dem Twitter-Nutzer Warith Al Maawali (@warith2020) laut eigener Aussage durch Ausnutzung des oben beschriebenen Bugs gestohlen.
Allerdings bekommt die ganze Angelegenheit einen „recht eigenartigen“ Geschmack, wenn man die vollständige Support-Konversation des Users mit dem Coinomi-Support ließt, teile davon – die an sich schon ausreichen zumindest festzustellen das der User Warith Al Maawali, gelinde gesagt, nicht sehr kooperativ ist – hat er sogar auf seiner eigenst dafür eingerichteten Homepage selbst veröffentlicht.
Diese Konversation, ebenso die Bilddatei (welche hier auch exakt von der URL des Verfassers geladen wird – Einen Mirror findet ihr hier), bestätigt schon mal die Echtheit, der Angelegenheit, da diese – wenn auch nicht vollständig, aber – deckungsgleich mit dem größeren Auszug der offiziellen Stellungnahme von Coinomi ist.
Diese könnt Ihr hier nachlesen.
>>> Zum offiziellen Statement von Coinomi auf Medium
Nun gibt es mehrere Möglichkeiten
- Ein Google Mitarbeiter, mit Zugriff auf die Logfiles hat sich die Seedphrase in ein eigenes Wallet kopiert und somit seine Coins gestohlen
- Der User hat die Coins einfach auf ein anderes Wallet transferiert und behauptet nur das sie ihm gestohlen wurden – um die gleiche Menge zurück zu erhalten, so dass er dann die Doppele Menge an Coins hätte
- Der User ist anderwertig, „schlampig“ mit seiner Seedphrase umgegangen hat sie irgendwo aufgeschrieben liegen gelassen und jemand aus seinem Umfeld hat sich seiner Coins bemächtigt
- Der User hat sich einen Trojaner irgendwo im Netz eingefangen und dieser hat seine Seedphrase gestohlen bzw. mit jener seine Coins
Für mich persönlich scheint die Variante 1 jedoch recht unwahrscheinlich, auch wenn ich diese natürlich nicht zu 100 % ausschließen kann. Aber, ich hatte zum betreffenden Zeitpunkt ebenfalls eine Coinomi-Desktop Wallet, gefüllt mit über 0,6 BTC, dessen Seedphrase ich ebenfalls über die Restore-Funktion geladen hatte in meinem Besitz. Wenn nun ein Google Mitarbeiter mit schlechten Absichten tatsächlich zugriff auf jene Logs gehabt haben sollte, so hat der diese sicherlich mit einem Skript durchsucht, da es sich wie Eingangs erwähnt um die Spellcheck-API handelt, welche von tausenden Diensten bei Eingaben die korrekte englische Schreibweise überprüft. Da hier in den Logfiles tausende englischer Wörter auftauchen sollten müsste jenes Skrip nach einem einzelnen String mit 24 Wörtern, die den 4096 Seedphrase-Wörtern entsprechen suchen und diese automatisch auf deren Funktion in einer Wallet testen. Wäre dies so gewesen, denke ich das meine 0,6 BTC ebenfalls ein netter Honeypot gewesen wären.
Welche Version letztlich wahr ist werden wir wahrscheinlich nie erfahren, bleibt – sofern du auch ein Coinomi-Desktop Nutzer bist, bleibt nur der Ratschlag eine neue Wallet anzulegen und deine Coins auf diese zu transferieren. Da der Bug in der aktuellsten Coinomi-Desktop Wallet nicht mehr besteht könnte man rein theoretisch einfach eine frische Coinomi-Wallet anlegen und die Coins auf diese transferieren. Ich habe für mich persönlich Entschieden meine Coinomi Desktop Wallet, auf der ich zudem nur Bitcoins gelagert hatte, gegen Electrum zu tauschen. Meine erste Wahl wäre eigentlich die Bitcoin Core Wallet gewesen, was ich jedoch aufgrund mangelndem Platz auf der SSD bleiben lassen musste ;).
Disclamer: Dieser Artikel basiert größtenteils auf Spekulationen und Aussagen von Einzelpersonen. Informationen hierzu habe ich auf diversen Quellen – unter anderem aus direkten Gesprächen mit unabhängigen Entwicklern zusammengetragen. Für die Korrektheit aller hier angegebenen Daten übernehme ich – selbstverständlich – keine Gewähr.
---
Dieser Artikel erschien im original am 27.02.1019 auf meinem Blog, unter:
https://crypto-logisch.com/bug-in-der-coinomi-desktop-wallet-eine-zusammenfassung-der-ereignisse/
Ich kann mich noch an die Sache erinnern, das ging hier auch bei Steemit herum.
Achso, die Lücke bezog sich garnicht auf die Smartphoneapp, sondern nur auf die Desktopversion^^
Hatte ich damals falsch aufgefasst.
Ja das haben einige falsch aufgefasst (Ich Inital eingeschlossen ^^) - Daher hab ich es auch damals für nötig empfunden schnellstmöglichst einen aufklärenden Artikel zu schreiben. (Allerdings damals noch nicht auf Steemit - Was in Zukunft anders wird ;) )
Hi @crypto-logisch,
vielen Dank für deinen ausführlichen und nicht ganz unwichtigen Beitrag. Wie Du ja bereits erwähnt hast, werden wir wohl nie erfahren, wohin die Coins verschwunuden sind. Gut, dass deine 0,6 BTC noch da sind ;-)
Upvote & Resteem von @kryptodenno
(Supporter der deutschsprachigen Krypto-Community hier auf Steemit)
Danke für den Artikel :),
Reicht eine einfache Aktualisierung des Wallets aus oder muss ich tatsächlich ein neues anlegen?
Das Update kam heute raus.
LG
Wenn du deine Wallet nie in der Desktop Wallet wiederhergestellt hast, hast du auch nie deine Seedphrase über die besagte API weitergeleitet, wenn doch, solltest du sicherheitshalber deine Coins in ein neues Wallet transferieren.
LG
Sev0
Congratulations @crypto-logisch! You have completed the following achievement on the Steem blockchain and have been rewarded with new badge(s) :
You can view your badges on your Steem Board and compare to others on the Steem Ranking
If you no longer want to receive notifications, reply to this comment with the word
STOP
Do not miss the last post from @steemitboard:
Vote for @Steemitboard as a witness to get one more award and increased upvotes!