Hechos clave:
-
La empresa indicó que los fondos posiblemente aún están controlados por el usuario.
-
Coinomi admite que hubo un problema, se solucionó y no generó pérdida de fondos.
El equipo de la cartera multi-activos Coinomi emitió un comunicado en el que señala que «no negocia con chantajistas», luego de que uno de sus usuarios reportó una presunta vulnerabilidad. La startup argumentó que no se trata de un error en su código fuente, sino de una opción mal configurada en un complemento usado por su monedero de escritorio de Windows.
Coinomi enfatizó, este 27 de febrero, que el usuario Warith Al Maawali actuó de manera irresponsable y lo acusó de no compartir los detalles de la supuesta falla. La empresa indicó textualmente que la persona “se negó repetidamente a revelar sus hallazgos y amenazó con hacerlos públicos si no pagábamos de inmediato el rescate de 17 BTC que compensaría los fondos ‘pirateados’”.
En su declaración, la empresa señaló que los fondos posiblemente aún están controlados por el usuario y que no pudieron ser pirateados debido a que la startup no tenía acceso a la semilla o a los criptoactivos. Coinomi admitió que hubo un problema, pero se solucionó y no generó pérdida de fondos.
El pasado 26 de febrero, el usuario anunció públicamente que una vulnerabilidad del llavero habría expuesto las frases de recuperación en un servidor de Google (googleapis.com), lo que supuestamente derivó en el robo de 70.000 dólares estadounidenses en bitcoins, ethers, tokens ERC20, litecoins y bitcoin cash. Los datos, según Al Maawali, se transmitieron en texto plano, cuestión que el equipo de Coinomi desmintió.
La semilla no se transmitía en texto sin formato, sino que se encapsulaba dentro de una solicitud HTTPS, siendo Google el único destinatario. La semilla no se transmitía en absoluto, a menos que el usuario decidiera restaurar explícitamente sus carteras de escritorio.
Coinomi
Error en el plug-in
Con relación a la falla del complemento, se informó que el programa habilitó el chequeo de las palabras de forma predeterminada en una actualización reciente, pero esta falla fue corregida el mismo día que Al Maawali contactó por primera vez al equipo de soporte. Al verificar el error, Coinomi actualizó su versión de escritorio con un parche.
El error no afectó las aplicaciones para dispositivos móviles con sistema operativo Android o iOS, según Coinomi. El equipo añadió que no ha recibido otros reportes de supuestos robos de criptoactivos. Como advertencia, y sin dar más detalles sobre posibles acciones, la empresa indicó que si se confirma que el reclamo es falso, buscará una fórmula para que este tipo de episodios no se vuelvan a presentar.
Como antecedente, Coinomi citó el caso de los usuarios Luke Childs y Jonathan Sterling, quienes en septiembre del 2017 también divulgaron públicamente supuestas fallas de la plataforma, sin utilizar los canales de soporte para verificar si la situación era cierta, lo que para Coinomi es actuar incorrectamente ya que se puede colocar en riesgo los fondos del resto de los usuarios, en caso de ser reales.
Imagen destacada por TheDigitalArtist / Pixabay.com
5