פרצת אבטחה בארנק Coinomi – וקרב גרסאות נגד הקורבן

ארנק קוינומי (Coinomi) הוא ארנק מוכר אשר מאפשר החזקת מטבעות דיגיטליים רבים מלבד ביטקוין, אתריום ומטבעות מובילים נוספים.

הבוקר פורסמה ידיעה ברדיט מצד המשתמש warith77, שהוא חוקר אבטחת מידע, על פרצת אבטחה חמורה אשר שולחת את הסיד (12 או 24 המלים המשמשות כמפתח הפרטי) כפי שהם לשרתי גוגל.

“ראשית, אני מודה שזו הייתה טעות שלי לסמוך על ארנק קוינומי. שחזרתי את אחד הארנקים העיקריים שלי מאקסודוס באפליקציה שלהם, משום שרציתי להעביר מטבעות שאינם נתמכים באקסודוס.”

כעבור מספר ימים, מעל 90% מהמטבעות שהיו לו באקסודוס הועברו לכתובות ארנקים שונות, כשהטרנסקציה הראשונה הייתה של ביטקוין, לאחר מכן אתריום וכל טוקני ה-ERC20 שהחזיק, ולבסוף גם לייטקוין וביקאש. ווארית’ מספר שאיבד את כל חסכונותיו (כ-70 אלף דולר בשווי מטבעות דיגיטליים) ומאז שני משתמשים נוספים מדווחים על איבוד המטבעות שלהם.

הוא החל לחקור בעצמו ומצא שכל המפתח הפרטי (12 המלים) נשלחו לגוגל לצורכי בדיקת תקינות הטקסט (spellcheck). לשרתים בהם תקינות הטקסט מתבצעת יש גישה לאלפי עובדי גוגל, או לתוקפים חיצוניים שהיו בעלי גישה לתקשורת. הוא אף הוסיף הדגמה שניתן לצפות בה כאן.

לאחר מכן, לפי גרסתו של ווארית’, הוא פנה לצוות Coinomi ודיווח להם על הבאג, בתקווה שיקחו אחריות. אך הצוות לטענתו סירב לקחת אחריות ולהחזיר לו את הכספים, לכן החליט המשתמש לפרסם את הפרצה בריש גלי.

תוספת עריכה לאחר התגובה הרשמית של קוינומי

צוות קוינוימי הוציא הודעת הבהרה על פרצת האבטחה, מי נפגע ממנה ומה הצעדים שעליו לנקוט.

חשוב לציין שעל פי קוינומי, גרסאות המובייל של הארנק לא נפגעו, אלא רק גרסת הדסקטופ – ורק מי שביצע שחזור של המפתח הפרטי באמצעותה.

הפרצה נמצאה ותוקנה, כך לפי החברה, כבר באותו היום שהתקבל הדיווח.

לטענת מפתחי הארנק, ווארית’ אל מאוואלי (משתמש הרדיט warith77) סירב לשתף עמם את ממצאיו והמשיך לאיים שיפרסם את הגילוי בצורה פומבית אם לא ישלמו לו את הכסף שלכאורה נגנב (17 מטבעות ביטקוין). לפי המפתחים, אין שום דבר לדעת שאכן נגנבו הכספים, והיחידים שהיו בעלי גישה לגנוב את המטבעות היו עובדי גוגל.

כמו כן, צוות הארנק מדגיש שמעולם לא היה לו או למי מטעמו גישה למפתחות הפרטיים, אלא כאמור רק לעובדי גוגל.

אם אתם משתמשים בארנק קוינומי לדסקטופ, עליכם לעדכן מיד את הגרסה.

הדוח של חברת המחקר Cipherblade

מספר חודשים לאחר התקרית התפרסם דוח של חברת ניתוח הבלוקצ’יין סייפרבלייד (Cipherblade). לפי הדוח, צעדיו הפומביים של ווארית’ היו לא נאותים ומוגזמים.

על פי הניתוח שלהם, לאחר בחינת מספר גורמים הם פוסקים שהסבירות שהיעלמות הכספים של ווארית’ נבעה מהפרצת האבטחה – נמוכה במיוחד.

כמו כן, הצהרותיו של ווארית’ היו לא קוהרנטיות, “ובקלות חשופות לתביעת דיבה בתחומי שיפוט רבים”. לפי הניתוח, הצעדים שנקט היו על מנת להפעיל לחץ ציבורי על ארנק קוינומי כדי שיחזירו לו את כספו, אך ללא הצדקה או הוכחה.

לבסוף, טענותיו של ווארית’ על אחריותה של קוינומי היו מופרכות, שכן המפתחות הפרטיים כן היו מוצפנים. בכל אופן, הם הציעו לו סיוע בניתור ומעקב אחרי הבלוקצ’יין על מנת למנוע מהתוקף למכור את המטבעות.

ארנקי קוד סגור

ארנק Coinomi הוא אחד מיני מספר ארנקים מוכרים (כגון אקסודוס וג’קס) אשר רוב קוד התוכנה שלהם פתוח, אך כ-30% ממנו סגור (כלומר אינו פומבי).

המשמעות היא שנוצר אלמנט גדול של אמון במפתחי הארנק – הן ביכולות התכנות שלהם (שאין באגים קריטיים כפי שהתגלה כאן), והן באנשים שמאחורי הקלעים (שלא השאירו גישה אחורית למפתחות הפרטיים).

אם אינכם יודעים זאת, רצוי שתקחו זאת בחשבון. מצד אחד הנוחות שבאחזקת מספר מגוון של מטבעות באותו ארנק היא גבוהה, מצד שני ישנו אלמנט גדול של אמון במישהו שעל הנייר “לא חייב לכם כלום”.

השתדלו להקפיד על ארנק שהוא קוד פתוח, ושהמפתחות הפרטיים נמצאים בבעלותכם. הארנקים המומלצים ביותר הם ארנקי חומרה כגון לדג’ר ננו אס או ארנק טרזור. אלו ארנקים אשר שומרים על המפתחות הפרטיים שלכם בצורה הבטוחה ביותר.

מעבר לכך, ישנם ארנקים נוספים:

ארנקי ביטקוין מומלצים: אלקטרום (Electrum), אדג’ (Edge).

ארנקי אתריום מומלציםאדג’ (Edge). ארנק MyEtherWallet (ארנק ווב, לתשומת לבכם).

 

 

שתפו:

שיתוף ב email
שיתוף ב facebook
שיתוף ב whatsapp
שיתוף ב telegram
שיתוף ב twitter
בן סמוחה

בן סמוחה

שותף-מייסד של CryptoJungle, יזם צעיר, בעל ידע מקצועי נרחב בעולם הבלוקצ'יין שנצבר לאחר תקופה ארוכה של למידה, מחקר ומסחר. מייסד קהילת הבלוקצ'יין בדרום הארץ ומעביר הרצאות על עולם המטבעות הקריפטוגרפיים.
בן סמוחה

בן סמוחה

שותף-מייסד של CryptoJungle, יזם צעיר, בעל ידע מקצועי נרחב בעולם הבלוקצ'יין שנצבר לאחר תקופה ארוכה של למידה, מחקר ומסחר. מייסד קהילת הבלוקצ'יין בדרום הארץ ומעביר הרצאות על עולם המטבעות הקריפטוגרפיים.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.

חדש: קורס האונליין שלנו הושק ואתם מקבלים 30% הנחה!