کیف پول کوینومی ادعای ذخیره اطلاعات بازیابی کاربران را تکذیب کرد

کیف پول کوینومی ادعاهای اخیر مبنی بر ارسال کلمات بازیابی کیف پول‌ها، به سرورهای گوگل (بدون رمزگذاری) را رد کرد. این شرکت با انتشار یک بیانیه رسمی در تاریخ ۲۷ فوریه، این ادعاها را تکذیب کرد.

در این بیانیه، کوینومی ادعا می‌کند که بر خلاف آنچه گزارش شده است، انتقال کلمات بازیابی توسط سرویس SSL یا همان HTTPS رمزگذاری شده، و گوگل تنها گیرنده‌ای بوده که قادر به رمزگشایی پیام است.

کوینومی یادآور می‌شود که عبارت بازیابی تنها در صورتی منتقل می‌شود که کاربر تصمیم به بازگرداندن کیف پول خود داشته باشد که این تنها بر روی نسخه دسکتاپ امکان‌پذیر است. در نهایت، کوینومی بیان می‌کند که درخواست‌های بررسی املایی عبارات که به گوگل ارسال می‌شوند، ذخیره نمی‌‌گردند، چرا که آنها توسط سرورها به‌عنوان درخواست‌های مخرب در نظرگرفته شده و بیش از این قابل پردازش نیستند.

گزارش‌ها حاکی از آن است که علت مشکل به وجود آمده، وجود یک پیکربندی مخرب در یک افزونه موجود در کیف پول کوینومی بوده است.

این شرکت ادعا می‌کند که در ۲۲ فوریه، شخصی به نام وایت المعالی (Warith Al Maawali)، در پنل کیف پول خود، در رابطه با آسیب‌پذیری موجود در کیف پولش، درخواست پشتیبانی می‌کند که طبق گفته‌هایش منجر به هک شدن کیف پول شده است. او در یک وب‌سایت اختصاصی به «از کوینمی دوری کنید» (AvoidCoinomi)، ادعای ذخیره شدن کلمات بازیابی کیف پول را مطرح می‌کند.

کوینومی این درخواست را به‌طور مشخص به‌عنوان یک موضوع با اولویت بالا برای بررسی در نظر می‌گیرد. معاون این شرکت، آنجلس لئوسیس (Angelos Leoussis)، در گروه رسمی تلگرام شرکت اظهار داشت که:

کاربر مذکور ما را تهدید کرده، ناسزا گفته و قصد اخاذی مبلغی گزاف داشته است.

در حالی که یک ویدیو در سایت AvoidCoinomi با هدف نشان دادن آسیب‌پذیری ادعا شده، درج شده است، به نظر می‌رسد که این فرد به صورت انتخابی گزینه رمزگشایی HTTPS را انتخاب می‌کند.

آقای لئوسیس نسخه‌ای از گفتگوی آقای المعالی را با کوین تلگراف به اشتراک گذاشت، جایی که کاربر ادعا می‌کند که کیف پول دارای یک دسترسی از راه‌دور (بک‌دور) است و می‌گوید:

شما فقط چند ساعت وقت دارید تا دارایی‌ها من را پس بدهید. در غیر این صورت، شواهد [sic] علیه شما را در معرض دید عموم قرار می‌دهم.

طبق اطلاعاتی که در اختیار کوین تلگراف قرار داده شده است، در روز ۲۳ فوریه، آقای المعالی از شرکت درخواست می‌کند تا دارایی‌های دیجیتال (به گفته او دزدیده شده)، یا معادل دلاری‌ آن‌ها را، برگرداند. در غیر این صورت هیچ انتخابی جز گزارش این خبر در رسانه‌های اجتماعی بزرگ نخواهد داشت. المعالی در حالی که هیچ جزئیاتی از یافته‌های خود را به اشتراک نگذاشته بود، گفته بود که تا زمانی که شرکت تمایل خود برای بازپرداخت وجوه به سرقت رفته را نشان دهد، صبر خواهد کرد.

به گفته لئوسیس، کوینومی به المعالی پاسخ داد که شرکت این ادعا را رسمی در نظر نگرفته و تقاضای جزئیات مربوط به آن را دارد. المعالی به این درخواست پاسخ می‌دهد و می‌گوید:

جزئیات را بدون اطمینان از بازپرداخت اعلام نخواهد کرد.

در تاریخ ۲۶ فوریه، کوینومی اعلام کرد که این شرکت دارایی‌های سرقت شده را در لیست سیاه سازمان Chainalysis ثبت خواهد کرد. بنابراین، هیچ صرافی آن‌ها را نمی‌پذیرد.

در دسامبر ۲۰۱۸، در ۳۵مین همایش سالانه هکرهای جهان در شهر برلین که اسناد و مدارک نفوذهای امنیتی در آن افشا می‌شود، پژوهشگران مدعی شدند که کیف پول‌های سخت‌افزاری ارز دیجیتال ترزور وان (Trezor One)، لجر نانو اس (Ledger Nano S) و لجر بلو (Ledger Blue) را هک کرده‌اند. با این حال لجر مدعی شد آسیب‌پذیری‌های کشف شده اخیر در کیف پول‌های سخت‌افزاری مورد جدی نیستند.