اخبار بلاکچین و دنیای کریپتواخبار و مقالات

کشف یک آسیب‌پذیری جدی در کیف‌پول Coinomi

این آسیب‌پذیری باعث ارسال «کلمات کلیدی بازیابی» حساب کاربران به سرورهای شرکت گوگل و به خطر انداختن امنیت آن‌ها می‌شود

نکات برگزیده مطلب
  • کاربری با نام واریث الماولی(Warith Al Maawali) به تازگی مدعی شده که کیف‌پول‌های نسخه‌ی دسکتاپ Coinomi کلمات کلیدی بازیابی حساب کاربران را به شرکت گوگل ارسال می‌کنند و این امر باعث هک شدن حساب او و از دست رفتن بیش از ۶۰ تا ۷۰ هزار دلار رمزارز شده است. تیم توسعه‌دهنده‌ی Coinomi با تایید وجود چنین مشکلی اعلام نموده که هک شدن دارایی‌های کاربران به واسطه‌ی این آسیب‌پذیری عملاُ غیرممکن بوده و آسیب‌پذیری مذکور سریعا رفع شده است.

آسیب‌پذیری Coinomi

یکی از کاربران کیف‌پول‌‌ رمزارزی Coinomi به نام واریث الماولی(Warith Al Maawali)، اخیرا ادعا کرده که پس از بازیابی حساب خود، تمام پس‌انداز رمزارزی‌اش که حدود ۶۰ تا ۷۰ هزار دلار ارزش داشته را از دست داده است. او مدعی شده که یک آسیب‌پذیری موجود در کد‌های نسخه‌ی دسکتاپ این کیف‌پول کلمات کلیدی بازیابی حساب کاربران(یا passphrases) را برای بررسی به شرکت گوگل ارسال کرده است و این روند به طور بالقوه برای تمام کسانی که می‌خواهند حساب خود را بازیابی کنند، احتمالا رخ خواهد داد.

coinomi

این کاربرد چندین مرتبه برای ارتباط با تیم پشتیانی کیف‌پول Coinomi تلاش کرده است اما نتوانست در رابطه با این موضوع به راه‌حل مناسبی برسد، بنابراین تصمیم گرفت با انتشار این خبر در رسانه‌های اجتماعی مختلف، در رابطه با وجود این آسیب‌پذیری به دیگر کاربران اطلاع دهد.

وی با انتشار یک پست اینترنتی در پلت‌فرم Reddit توضیح داد که پس از استفاده از کلمات کلیدی بازیابی حساب خود، او متوجه‌ی تعدادی تراکنش مرموز شده و تقریبا ۹۰ درصد دارایی‌های رمزارزی خود را از دست داده است. وی در ادامه توضیح داد که با بررسی‌ها اولیه متوجه‌ی این موضوع شده که نرم‌افزار کیف‌پول Coinomi به صورت دیجیتالی امضا نشده است و این امر باعث شده که او فکر کند شاید دچار حملات Backdoor(نوعی روش عبور از مراحل احراز هویت یا کشف رمز عبور کاربران) شده است.

این کاربر پس از مدتی با تیم پشتیبانی Coinomi تماس گرفته و آن‌ها مشکل مربوط به امضاء نرم‌افزار را حل کردند. با این حال، او توانست تایید کند که نرم‌افزار ارسال شده برای او کاملا مشابه‌ی نسخه‌ی قبلی بوده است و تیم پشتیبانی تغییری در آن ایجاد نکرده است. وی سپس یک نرم‌افزار نظارت بر ترافیک اینترنتی اجرا کرد و به نتایج شوکه کننده‌ای رسید:

من برای بررسی ترافیک اینترنتی از نرم‌افزار Fiddler استفاده کردم و سپس کیف‌پول Coinomi را راه‌اندازی نمودم. اولین چیزی که متوجه شدم این بود که نرم‌افزار Coinomi از یک لینک اقدام به دانلود لیست لغات کرد. سپس بر روی گزینه‌ی «بازیابی کیف‌پول» کلیک کردم و چندین کلمه‌ی بازیابی را وارد نمودم، ناگهان این پازل حل شد. تمام کلمات بازیابی حساب به صورت متن ساده و بدون رمزنگاری، به وب‌سایت googleapis.com ارسال شد، که دامنه‌ی آن متعلق به گوگل می‌باشد! کلمات بازیابی حساب به صورت تابع بررسی نگارش به گوگل ارسال شده است. Warith Al Maawali

این کاربر همچنین یک ویدئو با عنوان «کل آزمایش» منتشر کرده است که روند بررسی این آسیب‌پذیری را نشان می‌دهد:

Coinomi hack

پاسخ Coinomi

پس از این رویداد، Coinomi یک بیانیه‌ی رسمی منتشر کرد. تیم توسعه‌دهنده‌ی این کیف‌پول سریعا با انتشار یک وصله‌ی امنیتی، این مشکل را حل نمود و تایید کرد که کیف‌پول‌های نسخه‌ی موبایل Coinomi دچار این مشکل نشده‌اند. آن‌ها همچنین توضیح دادند با اینکه گفته‌های این کاربر درست می‌باشد، اما هک شدن به وسیله‌ی این روش احتمالا غیرممکن بوده است.

تیم توسعه‌دهنده همچنین توضیح داد که عدم رسیدگی به مشکل این کاربر و اجتناب از حل آن، دروغ بوده است. به گفته‌های اعضای تیم Coinomi، آن‌ها به این کاربر پاسخ داده‌اند و خواستار اطلاعات بیشتر در رابطه با موضوع بوده‌اند. با این حال، وی حاضر به همکاری نشده است:

طی روز‌های گذشته، کاربر واریث الماولی بار‌ها از ارائه‌ی یافته‌های خود به ما خودداری کرده است و تهدید کرده بود که در صورت عدم پرداخت ۱۷ واحد رمزارز بیت‌کوین(مقدار رمزارزی که به گفته‌ی خود توسط گوگل به سرقت رفته) به او، این موضوع را عمومی خواهد کرد. احتمالا این دارایی‌های رمزارزی هنوز هم تحت کنترل این کاربر قرار دارد و به دلیل مشکلات کیف‌پول Coinomi هک نشده‌اند. Coinomi Developers

تیم‌ توسعه‌دهنده‌ی تیم Coinomi همچنین دلایلی ارائه کرد که نشان دهد هک شدن به واسه‌ی ارسال داده‌ها به سرور‌های شرکت گوگل عملی نیست:

  • تیم Coinomi هرگز به این کلمات کلیدی بازیابی حساب و یا دارایی کاربران دسترسی ندارد.
  • هیچ‌کس به غیر از گوگل توانایی خواندن بسته‌های رمزگذاری شده‌ی حاوری عبارات کلیدی را ندارد.
  • گوگل هرگونه درخواست ارائه شده توسطjxBrowser و یا Chromium را رد می‌کند زیرا ساختار آن‌ها حاوی یک کلید API گوگل معتبر نیست. گوگل درخواست‌های مذکور را هرگز پردازش نمی‌کند.

تیم توسعه‌دهنده‌ی Coinomi در نهایت نوشت:

در نهایت باید گفت: آیا مشکلی در کیف‌پول نسخه‌ی دسکتاپی ما وجود داشته؟ بله، چنین مشکلی وجود داشت و پس از اینکه به ما اعلام شد، تنها طی چند ساعت رفع گردید. آیا این مشکل باعث از دست رفتن دارایی‌های کاربران می‌شود؟ عملا خیر، چنین چیزی ممکن نیست. Coinomi Developers

کاربر واریث الماولی در ادامه اظهار نموده که «در صورت اینکه توسعه‌دهندگان Coinomi در رابطه با این موضوع کاری انجام ندهند و مسئولیت آن را بر عهده نگیرند، علیه این شرکت اقدامات قانونی انجام خواهد داد». با این وجود او هیچ نظر یا اطلاعاتی در رابطه با بیانیه‌ی شرکت Coinomi ارائه نکرد.

گرچه استفاده از کیف‌پول‌های گرم(Hot Wallets) امنیت به ارمغان می‌آورد، اما به یاد داشته باشید که این کیف‌پول‌ها خطرات احتمالی قابل توجهی به همراه دارند و در زمان نگهداری حجم زیادی از دارایی‌های رمزارزی، باید این مورد را در نظر داشته باشید. در صورتی که قصد ذخیره‌سازی حجم زیادی رمزارز را دارید، بهترین گذینه کیف‌پول‌های سرد(Cold Wallets) یا کیف‌پول‌های سخت‌افزاری هستند که هرگونه امکان دسترسی افراد غیرمجاز به دارایی‌های رمزارزی را از بین می‌برند.

اریک لارچکیو(Eric Larchevêque) مدیرعامل کمپانی لدجر(Ledger تولید کننده‌ی کیف‌پول‌های سخت‌افزاری) در جدید‌ترین گفته‌های خود اعلام نموده که کیف‌پول‌های سخت‌افزاری در حال حاضر امن‌ترین و مناسب‌ترین گزینه برای کسانی هستند که قصد ذخیره‌سازی حجم زیادی دارایی رمزارزی را دارند. وی در مصاحبه‌ی خود اعلام نموده:

Eric Larchevêqueمشکلات پیش آمده برای کیف‌پول Coinomi نشان می‌دهد که چرا کیف‌پول‌های نرم‌افزاری یک فاجعه هستند. هنگامی که از کیف‌پول‌های نرم‌افزاری برای نگهداری دارایی‌های خودتان استفاده می‌کنید، شما در معرض افشاء کلید خصوصی در فضای اینترنت قرار دارید، که در نهایت باعث آسیب‌پذیری دارایی‌های شما در مقابل حملات هک می‌شود. استفاده از روش‌های ذخیره‌سازی سرد و کیف‌پول‌های سخت‌افزاری تنها راهی هستند که سرمایه‌گذاران می‌توانند با استفاده از آن، در رابطه با امنیت کلید خصوصی خود اطمینان کامل داشته باشند.. Eric Larchevêque

نظر شما در رابطه با این آسیب‌پذیری چیست؟ آیا از دست رفتن دارایی کاربران به واسطه‌ی این آسیب‌پذیری ممکن است؟ نظرات خود را با ما به اشتراک بگذارید.

[تعداد: 1   میانگین: 5/5]

منبع
CointelegraphEthereumworldnews

بهادر قلندرپور

علاقه‌مند به دنیای رمزارزها و تکنولوژی بلاک‌چین کارگردان بازی "تاریک‌‌تر از سایه" دانشجوی مهندسی پزشکی

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا