Bug in der Coinomi Desktop Wallet – Eine Zusammenfassung der Ereignisse

Crypto-Logisch by Severin Schell

Bug in der Coinomi Desktop Wallet – Eine Zusammenfassung der Ereignisse

Am Morgen des gestrigen Tages veröffentlichte der Twitter User „Luke Childs“ (@lukechilds) ein Video, das zeigt – wie eine Coinomi Desktop Wallet, eine Seedphrase, welche in das Feld zum wiederherstellen der Wallet vorgesehen wird, zum Prüfen der Rechtschreibung im Klartext über eine SSL Verbindung an Google (respektive die von Google zur verfügung gestellte sogenannte Spellcheck-API – welche die englische Rechtschreibung überprüft) übermittelt wird. Dies stellt selbstverständlich eine Sicherheitslücke dar, da rein hypothetisch jemand der Zugriff auf die Logs bei Google hätte, auch Zugriff auf die zur Prüfung übersandte Seedphrase hätte.

Das alles ist schon mal, sagen wir nicht so gut 😉 und stellt wirklich eine eklatante Sicherheitslücke dar, welche auch in der aktuellen Version der Desktop Wallet von Coinomi gefixt wurde.

Es ist anzumerken das der beschriebene Bug auch scheinbar nur in der Desktop Wallet existierte – und somit wahrscheinlich auch nicht so viele Menschen betroffen sein sollten, da diese auch noch nicht so lange existiert – und zudem auch nur dann zum Tragen kommt, wenn ihr eure Wallet mittels der Seedphrase wiederherstellen wollt.

Nichts desto trotz steht auch noch die Sache mit den scheinbar gestohlenen Funds im Raum. Diese wurden dem Twitter-Nutzer Warith Al Maawali (@warith2020) laut eigener Aussage durch Ausnutzung des oben beschriebenen Bugs gestohlen.

Allerdings bekommt die ganze Angelegenheit einen „recht eigenartigen“ Geschmack, wenn man die vollständige Support-Konversation des Users mit dem Coinomi-Support ließt, teile davon – die an sich schon ausreichen zumindest festzustellen das der User Warith Al Maawali, gelinde gesagt, nicht sehr kooperativ ist – hat er sogar auf seiner eigenst dafür eingerichteten Homepage selbst veröffentlicht.

Diese Konversation, ebenso die Bilddatei (welche hier auch exakt von der URL des Verfassers geladen wird – Einen Mirror findet ihr hier), bestätigt schon mal die Echtheit, der Angelegenheit, da diese – wenn auch nicht vollständig, aber – deckungsgleich mit dem größeren Auszug der offiziellen Stellungnahme von Coinomi ist.

Diese könnt Ihr hier nachlesen.

>>> Zum offiziellen Statement von Coinomi auf Medium

Nun gibt es mehrere Möglichkeiten

  • Ein Google Mitarbeiter, mit Zugriff auf die Logfiles hat sich die Seedphrase in ein eigenes Wallet kopiert und somit seine Coins gestohlen
  • Der User hat die Coins einfach auf ein anderes Wallet transferiert und behauptet nur das sie ihm gestohlen wurden – um die gleiche Menge zurück zu erhalten, so dass er dann die Doppele Menge an Coins hätte
  • Der User ist anderwertig, „schlampig“ mit seiner Seedphrase umgegangen hat sie irgendwo aufgeschrieben liegen gelassen und jemand aus seinem Umfeld hat sich seiner Coins bemächtigt
  • Der User hat sich einen Trojaner irgendwo im Netz eingefangen und dieser hat seine Seedphrase gestohlen bzw. mit jener seine Coins

Für mich persönlich scheint die Variante 1 jedoch recht unwahrscheinlich, auch wenn ich diese natürlich nicht zu 100 % ausschließen kann. Aber, ich hatte zum betreffenden Zeitpunkt ebenfalls eine Coinomi-Desktop Wallet, gefüllt mit über 0,6 BTC, dessen Seedphrase ich ebenfalls über die Restore-Funktion geladen hatte in meinem Besitz. Wenn nun ein Google Mitarbeiter mit schlechten Absichten tatsächlich zugriff auf jene Logs gehabt haben sollte, so hat der diese sicherlich mit einem Skript durchsucht, da es sich wie Eingangs erwähnt um die Spellcheck-API handelt, welche von tausenden Diensten bei Eingaben die korrekte englische Schreibweise überprüft. Da hier in den Logfiles tausende englischer Wörter auftauchen sollten müsste jenes Skrip nach einem einzelnen String mit 24 Wörtern, die den 4096 Seedphrase-Wörtern entsprechen suchen und diese automatisch auf deren Funktion in einer Wallet testen. Wäre dies so gewesen, denke ich das meine 0,6 BTC ebenfalls ein netter Honeypot gewesen wären.

Welche Version letztlich wahr ist werden wir wahrscheinlich nie erfahren, bleibt – sofern du auch ein Coinomi-Desktop Nutzer bist, bleibt nur der Ratschlag eine neue Wallet anzulegen und deine Coins auf diese zu transferieren. Da der Bug in der aktuellsten Coinomi-Desktop Wallet nicht mehr besteht könnte man rein theoretisch einfach eine frische Coinomi-Wallet anlegen und die Coins auf diese transferieren. Ich habe für mich persönlich Entschieden meine Coinomi Desktop Wallet, auf der ich zudem nur Bitcoins gelagert hatte, gegen Electrum zu tauschen. Meine erste Wahl wäre eigentlich die Bitcoin Core Wallet gewesen, was ich jedoch aufgrund mangelndem Platz auf der SSD bleiben lassen musste ;). 

Disclamer: Dieser Artikel basiert größtenteils auf Spekulationen und Aussagen von Einzelpersonen. Informationen hierzu habe ich auf diversen Quellen – unter anderem aus direkten Gesprächen mit unabhängigen Entwicklern zusammengetragen. Für die Korrektheit aller hier angegebenen Daten übernehme ich – selbstverständlich – keine Gewähr.

Tags: , , , , ,

Kommentar verfassen