Hechos clave:
-
La vulnerabilidad fue detectada por un nuevo usuario de la cartera.
-
Coinomi no se ha pronunciado públicamente al respecto.
Un usuario de Coinomi descubrió recientemente una vulnerabilidad en esta cartera multi-activos que expone las frases de recuperación en un servidor de Google. El reporte del error de código, publicado este martes 26 en horas de la noche, fue descubierto tras el robo de cerca de 70.000 dólares en criptomonedas a un usuario afectado.
De acuerdo al reporte de la vulnerabilidad, la versión actual de Coinomi Wallet para entornos Windows está enviando las palabras de recuperación de las carteras de los usuarios al dominio googleapis.com. Según evidencian dos videos realizados para probar la existencia del bug, la falla del código expone en lenguaje plano las palabras introducidas en caja de texto correspondientes a la opción “Recuperar monedero”.
Warith Al Maawali, quien descubrió la vulnerabilidad, asegura que “alguien dentro del equipo de Google o quien sea que tenga acceso a las peticiones de HTTP enviadas a googleapis.com” es el autor del robo de sus criptomonedas. Gracias a esta falla, encontraron este 14 de febrero las 12 palabras aleatorias de su frase de recuperación; lo que derivó en la sustracción maliciosa de 90% de las criptomonedas de su cartera el pasado 19 de febrero.
El robo, en el que Al Maawali perdió sus fondos en bitcoins, ether, tokens ERC20, litecoins y bitcoin cash que previamente se encontraban almacenados en una cartera EXODUS, no fue reportado al equipo de Coinomi hasta el pasado viernes 22 de febrero, cuando el afectado notó las múltiples transferencias no reconocidas.
Hasta el momento, Coinomi no se ha pronunciado públicamente con respecto a la vulnerabilidad detectada por Al Maawali y confirmada por el desarrollador Luke Childs hace pocas horas.
También se desconoce si la falla afecta a los monederos Coinomi para otros entornos distintos a Windows, y quienes tienen acceso al servidor de Google que está recibiendo las palabras de recuperación de las carteras Coinomi.
Asimismo, según Al Maawali, el servicio de soporte de la cartera se ha mantenido en contacto con el afectado por el robo; aunque no se han responsabilizado por la pérdida de los USD 70.000. No obstante, solicitaron aprobación del afectado para utilizar los servicios de Chainalysis y bloquear las direcciones que recibieron las criptomonedas robadas. Al Maawali establece en el reporte de la falla que plantea iniciar acciones legales contra la compañía desarrolladora de la cartera.
Es importante tener en consideración que esta falla en el código de seguridad de Coinomi no puede ser evitada por los usuarios con métodos básicos de ciberseguridad como el uso de software antivirus y afines. Un panorama que deja una expectativa por futuras soluciones de seguridad para los usuarios de la cartera.
En las últimas horas, al menos dos usuarios de Coinomi expresaron a través de reddit la posibilidad de haber sido hackeados, pues perdieron sus fondos en transacciones que no reconocen. En ambos casos, la comunidad de usuarios vinculó la situación a la falla de seguridad señalada por Al Maawali; mientras que el servicio de soporte se limitó a instarlos a abrir tickets de reclamos para canalizar sus casos.
Imagen destacada por Paradorn / stock.adobe.com
