- کاربری با نام واریث الماولی(Warith Al Maawali) به تازگی مدعی شده که کیفپولهای نسخهی دسکتاپ Coinomi کلمات کلیدی بازیابی حساب کاربران را به شرکت گوگل ارسال میکنند و این امر باعث هک شدن حساب او و از دست رفتن بیش از ۶۰ تا ۷۰ هزار دلار رمزارز شده است. تیم توسعهدهندهی Coinomi با تایید وجود چنین مشکلی اعلام نموده که هک شدن داراییهای کاربران به واسطهی این آسیبپذیری عملاُ غیرممکن بوده و آسیبپذیری مذکور سریعا رفع شده است.
آسیبپذیری Coinomi
یکی از کاربران کیفپول رمزارزی Coinomi به نام واریث الماولی(Warith Al Maawali)، اخیرا ادعا کرده که پس از بازیابی حساب خود، تمام پسانداز رمزارزیاش که حدود ۶۰ تا ۷۰ هزار دلار ارزش داشته را از دست داده است. او مدعی شده که یک آسیبپذیری موجود در کدهای نسخهی دسکتاپ این کیفپول کلمات کلیدی بازیابی حساب کاربران(یا passphrases) را برای بررسی به شرکت گوگل ارسال کرده است و این روند به طور بالقوه برای تمام کسانی که میخواهند حساب خود را بازیابی کنند، احتمالا رخ خواهد داد.
این کاربرد چندین مرتبه برای ارتباط با تیم پشتیانی کیفپول Coinomi تلاش کرده است اما نتوانست در رابطه با این موضوع به راهحل مناسبی برسد، بنابراین تصمیم گرفت با انتشار این خبر در رسانههای اجتماعی مختلف، در رابطه با وجود این آسیبپذیری به دیگر کاربران اطلاع دهد.
وی با انتشار یک پست اینترنتی در پلتفرم Reddit توضیح داد که پس از استفاده از کلمات کلیدی بازیابی حساب خود، او متوجهی تعدادی تراکنش مرموز شده و تقریبا ۹۰ درصد داراییهای رمزارزی خود را از دست داده است. وی در ادامه توضیح داد که با بررسیها اولیه متوجهی این موضوع شده که نرمافزار کیفپول Coinomi به صورت دیجیتالی امضا نشده است و این امر باعث شده که او فکر کند شاید دچار حملات Backdoor(نوعی روش عبور از مراحل احراز هویت یا کشف رمز عبور کاربران) شده است.
این کاربر پس از مدتی با تیم پشتیبانی Coinomi تماس گرفته و آنها مشکل مربوط به امضاء نرمافزار را حل کردند. با این حال، او توانست تایید کند که نرمافزار ارسال شده برای او کاملا مشابهی نسخهی قبلی بوده است و تیم پشتیبانی تغییری در آن ایجاد نکرده است. وی سپس یک نرمافزار نظارت بر ترافیک اینترنتی اجرا کرد و به نتایج شوکه کنندهای رسید:
من برای بررسی ترافیک اینترنتی از نرمافزار Fiddler استفاده کردم و سپس کیفپول Coinomi را راهاندازی نمودم. اولین چیزی که متوجه شدم این بود که نرمافزار Coinomi از یک لینک اقدام به دانلود لیست لغات کرد. سپس بر روی گزینهی «بازیابی کیفپول» کلیک کردم و چندین کلمهی بازیابی را وارد نمودم، ناگهان این پازل حل شد. تمام کلمات بازیابی حساب به صورت متن ساده و بدون رمزنگاری، به وبسایت googleapis.com ارسال شد، که دامنهی آن متعلق به گوگل میباشد! کلمات بازیابی حساب به صورت تابع بررسی نگارش به گوگل ارسال شده است. Warith Al Maawali
این کاربر همچنین یک ویدئو با عنوان «کل آزمایش» منتشر کرده است که روند بررسی این آسیبپذیری را نشان میدهد:
پاسخ Coinomi
پس از این رویداد، Coinomi یک بیانیهی رسمی منتشر کرد. تیم توسعهدهندهی این کیفپول سریعا با انتشار یک وصلهی امنیتی، این مشکل را حل نمود و تایید کرد که کیفپولهای نسخهی موبایل Coinomi دچار این مشکل نشدهاند. آنها همچنین توضیح دادند با اینکه گفتههای این کاربر درست میباشد، اما هک شدن به وسیلهی این روش احتمالا غیرممکن بوده است.
تیم توسعهدهنده همچنین توضیح داد که عدم رسیدگی به مشکل این کاربر و اجتناب از حل آن، دروغ بوده است. به گفتههای اعضای تیم Coinomi، آنها به این کاربر پاسخ دادهاند و خواستار اطلاعات بیشتر در رابطه با موضوع بودهاند. با این حال، وی حاضر به همکاری نشده است:
طی روزهای گذشته، کاربر واریث الماولی بارها از ارائهی یافتههای خود به ما خودداری کرده است و تهدید کرده بود که در صورت عدم پرداخت ۱۷ واحد رمزارز بیتکوین(مقدار رمزارزی که به گفتهی خود توسط گوگل به سرقت رفته) به او، این موضوع را عمومی خواهد کرد. احتمالا این داراییهای رمزارزی هنوز هم تحت کنترل این کاربر قرار دارد و به دلیل مشکلات کیفپول Coinomi هک نشدهاند. Coinomi Developers
تیم توسعهدهندهی تیم Coinomi همچنین دلایلی ارائه کرد که نشان دهد هک شدن به واسهی ارسال دادهها به سرورهای شرکت گوگل عملی نیست:
- تیم Coinomi هرگز به این کلمات کلیدی بازیابی حساب و یا دارایی کاربران دسترسی ندارد.
- هیچکس به غیر از گوگل توانایی خواندن بستههای رمزگذاری شدهی حاوری عبارات کلیدی را ندارد.
- گوگل هرگونه درخواست ارائه شده توسطjxBrowser و یا Chromium را رد میکند زیرا ساختار آنها حاوی یک کلید API گوگل معتبر نیست. گوگل درخواستهای مذکور را هرگز پردازش نمیکند.
تیم توسعهدهندهی Coinomi در نهایت نوشت:
در نهایت باید گفت: آیا مشکلی در کیفپول نسخهی دسکتاپی ما وجود داشته؟ بله، چنین مشکلی وجود داشت و پس از اینکه به ما اعلام شد، تنها طی چند ساعت رفع گردید. آیا این مشکل باعث از دست رفتن داراییهای کاربران میشود؟ عملا خیر، چنین چیزی ممکن نیست. Coinomi Developers
کاربر واریث الماولی در ادامه اظهار نموده که «در صورت اینکه توسعهدهندگان Coinomi در رابطه با این موضوع کاری انجام ندهند و مسئولیت آن را بر عهده نگیرند، علیه این شرکت اقدامات قانونی انجام خواهد داد». با این وجود او هیچ نظر یا اطلاعاتی در رابطه با بیانیهی شرکت Coinomi ارائه نکرد.
گرچه استفاده از کیفپولهای گرم(Hot Wallets) امنیت به ارمغان میآورد، اما به یاد داشته باشید که این کیفپولها خطرات احتمالی قابل توجهی به همراه دارند و در زمان نگهداری حجم زیادی از داراییهای رمزارزی، باید این مورد را در نظر داشته باشید. در صورتی که قصد ذخیرهسازی حجم زیادی رمزارز را دارید، بهترین گذینه کیفپولهای سرد(Cold Wallets) یا کیفپولهای سختافزاری هستند که هرگونه امکان دسترسی افراد غیرمجاز به داراییهای رمزارزی را از بین میبرند.
اریک لارچکیو(Eric Larchevêque) مدیرعامل کمپانی لدجر(Ledger تولید کنندهی کیفپولهای سختافزاری) در جدیدترین گفتههای خود اعلام نموده که کیفپولهای سختافزاری در حال حاضر امنترین و مناسبترین گزینه برای کسانی هستند که قصد ذخیرهسازی حجم زیادی دارایی رمزارزی را دارند. وی در مصاحبهی خود اعلام نموده:
مشکلات پیش آمده برای کیفپول Coinomi نشان میدهد که چرا کیفپولهای نرمافزاری یک فاجعه هستند. هنگامی که از کیفپولهای نرمافزاری برای نگهداری داراییهای خودتان استفاده میکنید، شما در معرض افشاء کلید خصوصی در فضای اینترنت قرار دارید، که در نهایت باعث آسیبپذیری داراییهای شما در مقابل حملات هک میشود. استفاده از روشهای ذخیرهسازی سرد و کیفپولهای سختافزاری تنها راهی هستند که سرمایهگذاران میتوانند با استفاده از آن، در رابطه با امنیت کلید خصوصی خود اطمینان کامل داشته باشند.. Eric Larchevêque
نظر شما در رابطه با این آسیبپذیری چیست؟ آیا از دست رفتن دارایی کاربران به واسطهی این آسیبپذیری ممکن است؟ نظرات خود را با ما به اشتراک بگذارید.
