• BTC8007.326947210.27%
  • ETH250.3052210580.85%
  • XRP0.38331427510.58%
  • BCH400.7830747840.79%
  • LTC101.6940487991.14%
  • ראשי » ארנקים » פרצת אבטחה חמורה בארנק Coinomi – המפתחות הפרטיים חשופים
    ארנק קוינומי

    פרצת אבטחה חמורה בארנק Coinomi – המפתחות הפרטיים חשופים

    ארנק קוינומי (Coinomi) הוא ארנק מוכר אשר מאפשר החזקת מטבעות דיגיטליים רבים מלבד ביטקוין, אתריום ומטבעות מובילים נוספים.

    הבוקר פורסמה ידיעה ברדיט מצד המשתמש warith77, שהוא חוקר אבטחת מידע, על פרצת אבטחה חמורה אשר שולחת את הסיד (12 או 24 המלים המשמשות כמפתח הפרטי) כפי שהם לשרתי גוגל.

    "ראשית, אני מודה שזו הייתה טעות שלי לסמוך על ארנק קוינומי. שחזרתי את אחד הארנקים העיקריים שלי מאקסודוס באפליקציה שלהם, משום שרציתי להעביר מטבעות שאינם נתמכים באקסודוס."

    כעבור מספר ימים, מעל 90% מהמטבעות שהיו לו באקסודוס הועברו לכתובות ארנקים שונות, כשהטרנסקציה הראשונה הייתה של ביטקוין, לאחר מכן אתריום וכל טוקני ה-ERC20 שהחזיק, ולבסוף גם לייטקוין וביקאש. ווארית' מספר שאיבד את כל חסכונותיו (כ-70 אלף דולר בשווי מטבעות דיגיטליים) ומאז שני משתמשים נוספים מדווחים על איבוד המטבעות שלהם.

    הוא החל לחקור בעצמו ומצא שכל המפתח הפרטי (12 המלים) נשלחו לגוגל לצורכי בדיקת תקינות הטקסט (spellcheck). לשרתים בהם תקינות הטקסט מתבצעת יש גישה לאלפי עובדי גוגל, או לתוקפים חיצוניים שהיו בעלי גישה לתקשורת. הוא אף הוסיף הדגמה שניתן לצפות בה כאן.

    לאחר מכן, פנה לצוות Coinomi ודיווח להם על הבאג, בתקווה שיקחו אחריות. אך הצוות סירב לקחת אחריות ולהחזיר לו את הכספים, לכן החליט המשתמש לפרסם את הפרצה בריש גלי.

    תוספת עריכה לאחר התגובה הרשמית של קוינומי

    צוות קוינוימי הוציא הודעת הבהרה על פרצת האבטחה, מי נפגע ממנה ומה הצעדים שעליו לנקוט.

    חשוב לציין שעל פי קוינומי, גרסאות המובייל של הארנק לא נפגעו, אלא רק גרסת הדסקטופ – ורק מי שביצע שחזור של המפתח הפרטי באמצעותה.

    הפרצה נמצאה ותוקנה, כך לפי החברה, כבר באותו היום שהתקבל הדיווח.

    לטענת מפתחי הארנק, ווארית' אל מאוואלי (משתמש הרדיט warith77) סירב לשתף עמם את ממצאיו והמשיך לאיים שיפרסם את הגילוי בצורה פומבית אם לא ישלמו לו את הכסף שלכאורה נגנב (17 מטבעות ביטקוין). לפי המפתחים, אין שום דבר לדעת שאכן נגנבו הכספים, והיחידים שהיו בעלי גישה לגנוב את המטבעות היו עובדי גוגל.

    כמו כן, צוות הארנק מדגיש שמעולם לא היה לו או למי מטעמו גישה למפתחות הפרטיים, אלא כאמור רק לעובדי גוגל.

    אם אתם משתמשים בארנק קוינומי לדסקטופ, עליכם לעדכן מיד את הגרסה (או לחלופין להחליף ארנק).

    ארנקי קוד סגור

    ארנק Coinomi הוא אחד מיני מספר ארנקים מוכרים (כגון אקסודוס וג'קס) אשר רוב קוד התוכנה שלהם פתוח, אך כ-30% ממנו סגור (כלומר אינו פומבי).

    המשמעות היא שנוצר אלמנט גדול של אמון במפתחי הארנק – הן ביכולות התכנות שלהם (שאין באגים קריטיים כפי שהתגלה כאן), והן באנשים שמאחורי הקלעים (שלא השאירו גישה אחורית למפתחות הפרטיים).

    אם אינכם יודעים זאת, רצוי שתקחו זאת בחשבון. מצד אחד הנוחות שבאחזקת מספר מגוון של מטבעות באותו ארנק היא גבוהה, מצד שני ישנו אלמנט גדול של אמון במישהו שעל הנייר "לא חייב לכם כלום".

    השתדלו להקפיד על ארנק שהוא קוד פתוח, ושהמפתחות הפרטיים נמצאים בבעלותכם. הארנקים המומלצים ביותר הם ארנקי חומרה כגון לדג'ר ננו אס או ארנק טרזור. אלו ארנקים אשר שומרים על המפתחות הפרטיים שלכם בצורה הבטוחה ביותר.

    מעבר לכך, ישנם ארנקים נוספים:

    ארנקי ביטקוין מומלצים: אלקטרום (Electrum), אדג' (Edge).

    ארנקי אתריום מומלציםאדג' (Edge). ארנק MyEtherWallet (ארנק ווב, לתשומת לבכם).

     

     

    אודות בן סמוחה

    בן סמוחה
    שותף-מייסד של CryptoJungle, יזם צעיר, בעל ידע מקצועי נרחב בעולם הבלוקצ'יין שנצבר לאחר תקופה ארוכה של למידה, מחקר ומסחר. מייסד קהילת הבלוקצ'יין בדרום הארץ ומעביר הרצאות על עולם המטבעות הקריפטוגרפיים.

    עשוי לעניין אותך גם...

    פייסבוק מטבע דיגיטלי

    רשת BBC: פייסבוק תשיק את המטבע GlobalCoin בשנת 2020

    0שיתופים שתפו בפייסבוק צייצו בטוויטר שתפו בלינקדאין שלחו ב-WhatsApp לאחר שהקימה השבוע חברת טכנולוגיה-פיננסית חדשה …

    כתיבת תגובה

    האימייל לא יוצג באתר. שדות החובה מסומנים *

    This site uses Akismet to reduce spam. Learn how your comment data is processed.

    לשיתוף הפוסט לחצו כאן

    תודה רבה על השיתוף ! 

    עשו לנו לייק ותמיד תהיו מעודכנים:

     

    שתפו את הפוסט עם חברים