O Coinomi Wallet negou as alegações recentes de que seu software envia frases de recuperação da carteira para os servidores remotos de verificação ortográfica do Google em texto simples (não criptografado). A empresa refutou as alegações em um comunicado oficial publicado em 27 de fevereiro.
Na declaração, Coinomi afirma que, ao contrário do que foi relatado, a transmissão da frase foi criptografada via SSL (HTTPS), com o Google sendo o único destinatário capaz de descriptografar a mensagem.
Coinomi observa que a frase só foi transmitida se o usuário escolheu restaurar sua carteira e apenas na versão desktop. Por fim, Coinomi afirma que as solicitações de verificação ortográfica enviadas ao Google não foram armazenadas em cache nem armazenadas, pois foram sinalizadas como solicitações inválidas pelos servidores e não foram processadas posteriormente.
A causa do problema foi declaradamente uma configuração ruim em um software plug-in contido na versão para desktop das carteiras Coinomi.
A empresa alega que em 22 de fevereiro Warith Al Maawali criou um pedido de suporte em seu conselho a respeito de uma vulnerabilidade contida em sua carteira que, segundo Maawali, levou a uma carteira a ser invadida, como ele afirma no site dedicado AvoidCoinomi.
Coinomi supostamente sinalizou a solicitação como alta prioridade e investigou o assunto. O COO da empresa, Angelos Leoussis, disse no grupo oficial da empresa, no Telegram, que o usuário continuou “ameaçando, xingando e nos chantageando por quantidades insanas”.
Enquanto um vídeo postado no AvoidCoinomi visa demonstrar a vulnerabilidade alegada, parece mostrar que a opção para descriptografar HTTPS está selecionada no software.
Leoussis compartilhou uma suposta cópia da conversa com Maawali com o Cointelegraph, onde o usuário sugere que a carteira contém um backdoor e declara:
"Você tem poucas horas para devolver meus ativos de volta ou eu vou a público com todas as provas contra você".
De acordo com informações compartilhadas com a Cointelegraph, em 23 de fevereiro, Maawali solicitou que a empresa reembolsasse os ativos cripto supostamente roubados ou seu equivalente em dólares, afirmando que de outra forma ele “não tem outra escolha senão reportar isso nas mídias sociais”. compartilhe os detalhes de suas descobertas, dizendo que ele esperará até que a empresa mostre sua disposição de devolver os fundos supostamente roubados.
Per Leoussis, Coinomi respondeu que a empresa não considerou isso como uma divulgação responsável e pediu detalhes sobre a suposta vulnerabilidade. Maawali aparentemente respondeu ao pedido afirmando que não divulgaria detalhes sem garantia de reembolso.
Em 26 de fevereiro, Coinomi supostamente declarou que a empresa reportará os ativos roubados à Chainalysis, que colocará os fundos em uma lista negra para que nenhuma exchange os aceite.
Em dezembro de 2018, os pesquisadores foram capazes de demonstrar que conseguiram cortar o Trezor One, Carteiras de hardware Ledger Nano S e Ledger Blue. Na conferência 35C3 Refreshing Memories, os pesquisadores usaram várias estratégias diferentes para tentar comprometer as carteiras. A equipe Ledger também afirmou que as supostas vulnerabilidades descobertas em suas carteiras de hardware não eram críticas.